Kẻ lừa đảo đánh cắp Chainlink bằng cách lạm dụng giao dịch phê duyệt token

Updated: 25/02/2021 at 21:07

Nghiên cứu mới đã làm nổi bật các lỗ hổng tiềm ẩn trong quy trình phê duyệt giao dịch có thể cho phép kẻ xấu ăn cắp token.

Báo cáo được xuất bản bởi nhà cung cấp ví tiền điện tử MyCrypto, tuyên bố rằng có thể có lỗ hổng bảo mật trong cơ chế phê duyệt mà các nhà tạo lập thị trường tự động (AMM) sử dụng trước khi có thể tiến hành giao dịch hoặc hoán đổi token.

Theo nghiên cứu, chức năng này cho phép bên thứ ba thay mặt bạn gửi token từ tài khoản của bạn. Những kẻ xấu đã học cách khai thác điều này vì người dùng đang chủ yếu quan tâm đến những trò gian lận nhằm vào các khóa riêng của họ;

“Khai thác phê duyệt token là một cách tiếp cận thông minh vì người dùng thường nghĩ: Nếu họ không có khóa của tôi thì họ không thể ký giao dịch, vì vậy họ không thể ăn cắp tài sản của tôi”.

Người nắm giữ LINK bị nhắm mục tiêu

Báo cáo đã nêu bật một vụ lừa đảo hiện đang nhắm mục tiêu đến những người nắm giữ LINK. Kẻ lừa đảo sử dụng chiến dịch gửi thư độc hại nêu chi tiết một nâng cấp giả mạo cho token, hứa hẹn giảm gas và hỗ trợ các giao dịch khổng lồ.

“Lời hứa ít gas hơn đánh trúng vào tâm lý lo ngại hiện tại của người dùng, vì vậy họ “nâng cấp “càng sớm càng tốt mà không cần suy nghĩ”.

Các tác nhân độc hại đang xuất bản một hợp đồng đã được xác minh on-chain bằng cách sử dụng lệnh yêu cầu phê duyệt token để làm cho nó trông hợp pháp hơn. Người dùng được nhắc thiết lập phê duyệt cho địa chỉ ví của họ, sau đó cho phép hacker rút token LINK.

Báo cáo đã cung cấp các ví dụ sử dụng địa chỉ đã bật chức năng “phê duyệt” và những địa chỉ này đã bị đánh cắp token.

Cho đến nay, những kẻ lừa đảo đã chuyển 266 token LINK, trị giá khoảng 7.200 đô la tại thời điểm viết bài. Tuy nhiên, địa chỉ mà họ đang gửi token có số dư hiện tại là 1.111 token LINK, giá trị khoảng 30.000 đô la.

@sniko đã tìm thấy 4 tài khoản bị lừa đảo phê duyệt token nhắm mục tiêu đến chủ sở hữu LINK. 2 tài khoản đã bị rút hết LINK! Nếu bạn sở hữu bất kỳ quyền nào trong số này, vui lòng thu hồi quyền truy cập cho…”

Nghiên cứu kết luận rằng có thể cùng một tác nhân xấu đã thực hiện nhiều chiến dịch.

Tự bảo vệ mình

Để không bị mắc bẫy của những trò gian lận như vậy, báo cáo khuyên người dùng nên xem xét kỹ người hoặc những gì họ chấp thuận để sử dụng token của họ. Báo cáo cho biết công cụ revoke.cash có thể thu hồi sự cho phép.

Cũng cần đảm bảo rằng danh sách gửi thư và cập nhật đến từ nguồn và dự án chính thức, vì số lượng giả mạo tiếp tục tràn lan.

Với giá tiền điện tử tăng cao, người dùng và nhà đầu tư cần cảnh giác hơn vì các trò lừa đảo sẽ ngày càng gia tăng về số lượng và mức độ tinh vi.

Thùy Trang

Theo Beincrypto

Được đề cập trong bài viết
Bình luận
Đang tải
Mới cập nhật

Đồng sáng lập Ethereum, Vitalik Buterin, một lần nữa khiến thế giới crypto chao đảo – lần này là do anh đã bán 2 nghìn tỷ token meme DOG trên Uniswap V4. Những token này nhiều khả năng đã được gửi vào ví của Buterin mà không có sự đồng... ...

Giá Zilliqa (ZIL) tiếp tục biến động mạnh, chủ yếu do sự bất ổn của thị trường chung. Altcoin này đã gặp khó khăn trong việc duy trì đà tăng ổn định, thường xuyên dao động bởi các yếu tố bên ngoài. Tuy nhiên, sự xuất hiện của Zilliqa 2.0... ...

Gần đây, giá Bitcoin đã có dấu hiệu phục hồi, đưa đồng tiền này tiến gần đến ngưỡng quan trọng 108.000 đô la. Mặc dù sự phục hồi này mang lại niềm hy vọng cho nhà đầu tư, nhưng mức kháng cự chính vẫn chưa được xác nhận là hỗ... ...

Thị trường token Layer-2 (L2) đang thu hút sự chú ý mạnh mẽ từ cộng đồng và các nhà đầu tư, đặc biệt trong bối cảnh Ethereum tiếp tục phải đối mặt với các vấn đề về khả năng mở rộng. Tuy nhiên, mức định giá cao ngất ngưởng của... ...

Giá XRP đã duy trì sự ổn định trong phạm vi từ $2 đến $2,6 kể từ đầu tháng 3 mà không có xu hướng rõ ràng. Tuy nhiên, một số yếu tố đang dần chỉ ra rằng sự “trì trệ” này có thể sẽ sớm nhường chỗ cho một... ...

Pi Core Team, nhóm phát triển Pi Network, đã chính thức công bố ra mắt hàng loạt cải tiến quan trọng trong những ngày gần đây, đánh dấu cột mốc quan trọng khi kỷ niệm sự kiện Pi2Day. Mới đây, Pi Core Team đã công bố một loạt bản cập... ...

Token gốc của Hedera, HBAR, đang phải đối mặt với áp lực bán mạnh mẽ, giảm gần 5% trong ngày, dẫn đến mức lỗ 22% trong suốt 30 ngày qua. Sự giảm giá này phản ánh tình trạng chung của thị trường, khi sức ép bán tháo đã kéo giá... ...

CEO của Coinbase, Brian Armstrong, mới đây đã tiết lộ rằng sàn giao dịch này đang đều đặn mua vào Bitcoin mỗi tuần — một động thái được nhiều người xem là bước đầu trong chiến lược xây dựng kho dự trữ. Trong chia sẻ ngày 27/6, Armstrong cho biết... ...

Token Layer-1 Aptos (APT) hiện đang dẫn đầu về hiệu suất hoạt động trong thị trường crypto, ghi nhận mức tăng gần 10% chỉ trong một ngày. Sự bứt phá này diễn ra ngay sau khi Bitwise nộp biểu mẫu S-1 cập nhật lên Ủy ban Chứng khoán và Giao... ...

Những bước tiến thần tốc trong lĩnh vực điện toán lượng tử đang làm dấy lên lo ngại ngày càng lớn về tính bảo mật của Bitcoin. Một số chuyên gia giờ đây tin rằng Q-Day – thời điểm máy tính lượng tử đủ mạnh để phá vỡ các thuật toán... ...

Xem thêm bài viết
Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode