Trang chủ Tạp chí Tin tức Scam -Hack Lỗi thiết kế ERC-20 của Ethereum tạo cơ hội cho những kẻ...

Lỗi thiết kế ERC-20 của Ethereum tạo cơ hội cho những kẻ lừa đảo tiền điện tử

Token ERC-20 là một trong những tài sản bị đánh cắp thường xuyên nhất trong ngành công nghiệp tiền điện tử và thậm chí một số bản cập nhật nhằm khắc phục sự cố cũng vô tình tạo điều kiện cho hành vi trộm cắp.

Theo dữ liệu từ Scam Sniffer, tiêu chuẩn token rất phổ biến của mạng lưới Ethereum chiếm 89,5% trong số lượng tiền điện tử trị giá 71,5 triệu USD bị mất do các vụ phishing scam vào tháng 3/2024.

Các token này đã bị đánh cắp do nạn nhân vô tình bị lừa đảo và phê duyệt các chức năng như “permit” và “increase Allowance”. Các chức năng nhằm nâng cao hiệu quả của tiêu chuẩn token đã gây ra các lỗ hổng mới.

Được giới thiệu lần đầu tiên vào năm 2015, token ERC-20 có rất nhiều lỗ hổng bảo mật và khó có thể khắc phục sớm.

Mikko Ohtamaa, đồng sáng lập của giao thức đầu tư thuật toán Trading Strategy, nói: “Vấn đề là do những quyết định tồi tệ trong quá trình thiết kế ERC-20 và Ethereum”.

Ông cho biết các vấn đề liên quan đến thiết kế token chủ yếu xảy ra trên Ethereum và Solana.

“Sự cố đã được khắc phục trên các chain khác như MultiversX, Radix, các chain dựa trên Cosmos,…”

Nhưng bản chất bất biến của hợp đồng thông minh làm nỗ lực khắc phục những sai sót của ERC-20 trở nên phức tạp.

Ethereum là mạng lưới bị tấn công phishing ( nhiều nhất | Nguồn: Scam Sniffer

Tấn công phishing: Permit2 của Uniswap

“Permit2” của Uniswap, hợp đồng thông minh ra mắt vào năm 2022, nhằm mục đích cải thiện giao dịch bằng cách cho phép người dùng cấp phê duyệt hàng loạt token cho DApps. Điều này giúp loại bỏ nhu cầu phê duyệt riêng cho từng giao dịch, tiết kiệm phí gas trong quy trình.

Permit2 tương tự như người tiền nhiệm của nó, “permit” từ Đề xuất cải tiến Ethereum-2612, với tính năng phê duyệt token off-chain. Vì điều này không xảy ra on-chain nên việc ký các tin nhắn này không phải chịu phí gas.

EIP-2612 là phần mở rộng ERC-20, nghĩa là đây là tính năng tùy chọn. Nhưng hầu hết các token ERC-20 đang lưu hành trên thị trường đều không có tiện ích bổ sung này, nghĩa là người dùng không phải lúc nào cũng có thể thu được lợi ích khi tương tác với DApps.

Và đó là lúc Permit2 của Uniswap xuất hiện. Hợp đồng trung gian này mở rộng EIP-2612 đến toàn bộ token ERC-20 trên nền tảng của nó.

Nhưng bản cập nhật có giá trị dành cho những người tham gia DeFi tại một trong những sàn giao dịch phi tập trung lớn nhất thế giới đã khiến một số nhà nghiên cứu gióng lên hồi chuông cảnh báo.

Khoảng một tuần sau khi Uniswap phát hành hợp đồng mới vào tháng 11/2022, nhà nghiên cứu bảo mật, Roman Rakhlin, đã xuất bản bài viết trên Medium để chứng minh cách mà tội phạm có thể lấy được chữ ký cấp phép thông qua các kế hoạch phishing, cuối cùng là đánh cắp token mà nạn nhân hoàn toàn không chút nghi ngờ.

Cách hoạt động của trò lừa đảo Permit2 | Nguồn: Roman Rakhlin

“Khoảng một tháng sau khi xuất bản bài viết, một số drainer thực sự bắt đầu sử dụng chữ ký permit”.

Uniswap đã không đưa ra bất kỳ bình luận nào về vấn đề này.

ERC-20 và lừa đảo trong không gian tiền điện tử

Thế nhưng, token ERC-20 vẫn là một bước tiến lớn khi được giới thiệu hơn 8 năm trước. Chúng đã cung cấp khuôn khổ chung cho phép tạo ra các token có thể thay thế mới trên Ethereum và hoạt động trơn tru theo các quy tắc được xác định trước.

Các chức năng cốt lõi của tiêu chuẩn, như cơ chế “phê duyệt”, cho phép chủ sở hữu token quản lý tài sản của họ trong hệ sinh thái phi tập trung và cấp quyền di chuyển tài sản, từ đó thúc đẩy sự phát triển của DeFi.

Có sự khác biệt giữa token gốc của Ethereum, Ether và token ERC-20, đặc biệt là cách mà chúng tương tác với các hợp đồng thông minh.

Đầu tiên, việc gửi Ether tới một hợp đồng thông minh rất đơn giản. Người dùng chỉ cần gửi Ether giống như cách họ gửi nó đến ví của người khác.

Nhưng token ERC-20 yêu cầu phê duyệt khi tương tác với các hợp đồng thông minh khác. Những kẻ lừa đảo có thể nhắm vào quy trình xác nhận này để đánh lừa người dùng ký các tin nhắn giả mạo.

Mikhail Vladimirov, nhà phát triển Ethereum và kiểm toán hợp đồng thông minh, nói rằng: “Bản thân tiêu chuẩn này đã có sai sót”.

Vào năm 2016, Vladimirov là tác giả của bài báo mô tả vectơ tấn công “phê duyệt” trong đó những thay đổi về số lượng token được phê duyệt có thể bị các thực thể độc hại khai thác nhằm di chuyển số tiền lớn hơn mức cho phép ban đầu của chủ sở hữu token.

Chẳng hạn, Alice sở hữu 1.000 token và muốn giao dịch chúng trên DEX. Alice sử dụng chức năng “phê duyệt” để cho phép DEX chi tiêu 500 token, nhưng sau đó thay đổi ý định và muốn giao dịch nhiều hơn.

Alice có thể tăng số lượng token được phê duyệt bằng cách đặt hạn mức thành 0 và sau đó phê duyệt 800 token. Trong kịch bản giả định này, kẻ tấn công có thể tận dụng khoảng thời gian thay đổi hạn mức trong tích tắc để chi tiêu nhiều token hơn Alice dự định.

Về mặt lý thuyết, cuộc tấn công này có thể khá khó thực hiện vì nó phụ thuộc vào việc nhắm mục tiêu trong khoảng thời gian ngắn, khi Alice sửa đổi phê duyệt của mình.

Bài viết đã đề xuất giải pháp cho cuộc tấn công giả định này là cho phép người dùng thay đổi hạn mức thay vì đặt hạn mức mới.

Việc áp dụng các chức năng “increaseAllowance” và “decreaseAllowance” vào năm 2017 đã bắt đầu giải quyết rủi ro về các cuộc tấn công “phê duyệt” bằng cách cho phép chủ sở hữu điều chỉnh số lượng token đã được phê duyệt mà không cần đặt lại hoàn toàn.

Với các chức năng này, Alice không còn phải đặt lại về 0 mà có thể trực tiếp thay đổi hạn mức của mình thành 800 token.

Lev Menshikov, nhà nghiên cứu bảo mật tại công ty kiểm toán Oxorio, cho biết: “Chức năng increasedAllowance nhằm giải quyết vấn đề này, nhưng lại tạo ra những vấn đề bổ sung cho người dùng cuối”.

Trong một vụ lừa đảo, những kẻ bất hợp pháp có thể gửi tin nhắn phishing yêu cầu người dùng tăng hạn mức token của họ vì những lý do có vẻ hợp lý, chẳng hạn như yêu cầu hạn mức cao hơn để người dùng tiếp tục tận hưởng các dịch vụ mà không bị gián đoạn hoặc thông qua biện pháp bảo mật giả mạo, yêu cầu người dùng tăng lượng token được phê duyệt .

Điều này cho phép hacker di chuyển các token đã được phê duyệt từ ví của người dùng sang ví của họ, trong một số trường hợp có thể rút cạn ví.

Token ERC-20: Lời nguyền bất biến

IncreaseAllowance đã bị xóa khỏi hợp đồng ERC-20 vào năm ngoái và chuyển sang hợp đồng gia hạn sau khi nhà nghiên cứu bảo mật độc lập Pcaversaccio nêu lên mối lo ngại về khả năng lừa đảo được kích hoạt bởi chức năng này.

“Vì hợp đồng là bất biến nên người dùng không thể thay đổi chúng”, Pcaversaccio nói.

Đối với các token hiện có đã được lưu hành, việc sửa đổi là không khả thi do tính chất bất biến của blockchain.

Tuy nhiên, bằng cách sử dụng các proxy hoặc hợp đồng trung gian có thể nâng cấp, các dự án có khả năng loại bỏ các chức năng không cốt lõi như “increaseAllowance” và “permit”, giống như cách Permit2 của Uniswap mang chức năng “permit” đến với các token ERC- 20 thiếu khả năng này.

Nhà nghiên cứu pcaversaccio đề xuất loại bỏ các chức năng kích hoạt các âm mưu phishing | Nguồn: OpenZeppelin

Nhưng pcaversaccio cho biết thêm rằng, chức năng “phê duyệt” phải được giữ lại vì nó thuộc về thông số kỹ thuật ERC-20 ban đầu. Điều đó có nghĩa là vectơ tấn công sẽ tồn tại mãi mãi.

“Tính bất biến là một tính năng, không phải là lỗi trên layer thực thi”. Vấn đề nằm ở layer ứng dụng như DApp và ví.

Vladimirov thừa nhận có những sai sót trong thiết kế ERC-20 nhưng ông cho rằng, sự gia tăng các vụ lừa đảo chủ yếu là do các vấn đề kỹ thuật, chiến thuật thao túng nhằm lừa những người tương tác với hệ thống bảo mật.

Ông lập luận rằng, ví nên cung cấp các định dạng đơn giản hơn hoặc dễ đọc hơn thay vì các thuật ngữ hoặc đoạn code kỹ thuật thường gây nhầm lẫn cho người dùng và khiến họ dễ bị lừa đảo hơn.

Các vấn đề phê duyệt token dường như là ưu tiên hàng đầu của Ethereum | Nguồn: Eric Connor

Vladimirov nói: “Thật không may, chúng ta không thể yêu cầu tất cả ví thực hiện mọi việc theo đúng cách, đặc biệt nếu cộng đồng không thể thống nhất với nhau rằng đâu là phương thức đúng”.

Ohtamaa đề nghị cộng đồng bảo mật không coi lừa đảo là vấn đề được ưu tiên hàng đầu vì chúng chủ yếu ảnh hưởng đến những người dùng có kiến thức thấp hoặc do giao diện người dùng bị lỗi gây ra.

“Một số nhà nghiên cứu bảo mật thậm chí còn kiêu ngạo hơn khi nói rằng, đó là ‘sự ngu ngốc của người dùng’ hoặc điều gì đó mà ‘các nhà phát triển ví và giao diện người dùng nên khắc phục’, đùn đẩy vấn đề mà họ gây ra cho người khác”.

Các cuộc tấn công phishing nhắm đến chuyên gia

Tuy nhiên, ngày càng có nhiều người giao dịch thường xuyên trong hệ sinh thái Ethereum bắt đầu trở thành nạn nhân của những trò lừa đảo phổ biến.

Ngay cả những chuyên gia, chẳng hạn như Necksus, người khai thác crypto và cộng tác viên với nền tảng pháp y Intelligence On Chain, cũng đã trở thành nạn nhân của các chiến thuật lừa đảo phức tạp.

Necksus tuyên bố bản thân đã mất khoảng $ 20.000 trong một vụ phishing scam, cho biết: “Các khoản lỗ khá lớn nhưng bản thân đang nỗ lực dần dần để khôi phục chúng”.

Necksus cho biết ông đã bị lừa truy cập trang web của dự án truyền thông Web3 giả mạo từ tài khoản của một nghệ sĩ NFT vốn đã bị hacker chiếm quyền kiểm soát .

“Tôi không biết điều đó cho đến khi quá muộn”, ông nói.

Nhà đồng sáng lập nền tảng DeFi, Pickle Finance, người hoạt động với bút danh “Larry the Cucumber” và “Beary the Cucumber”, cũng trở thành nạn nhân của một vụ phishing scam gần đây có liên quan đến chức năng “permit”.

Không giống như hầu hết nạn nhân, Larry the Cucumber đã sử dụng các biện pháp phòng ngừa bổ sung, chẳng hạn như trình mô phỏng cho phép người dùng xem lại tình huống trước khi hoàn tất giao dịch.

Beary the Cucumber trở thành nạn nhân của chức năng permit | Nguồn: Beary the Cucumber

Menshikov của Oxorio cảnh báo các nhà đầu tư rằng, các xu hướng phishing mới vẫn đang tiếp tục xuất hiện.

“Các cuộc tấn công nhằm vào chủ sở hữu Tên miền ENS đang ngày càng trở nên phức tạp”.

Trong kế hoạch phishing dạng này, kẻ tấn công gửi thông báo email giả đến chủ sở hữu tên miền ENS để dụ họ đến trang web gia hạn giả mạo, nơi tiền của họ có thể bị đánh cắp.

Vladimirov tuyên bố rằng, tính bất biến của hợp đồng thông minh và số lượng token không ngừng tăng lên khiến bất kỳ giải pháp on-chain nào cũng sẽ gặp khó khăn trong việc ngăn chặn các cuộc tấn công và lưu ý rằng các chiến thuật lừa đảo thông qua mạng xã hội đã tồn tại từ rất lâu trước khi không gian tiền điện tử xuất hiện.

Thay vào đó, ông nói rằng, các giải pháp thực sự sẽ đến từ sự phát triển của các công cụ bảo mật, có thể cảnh báo người dùng về các vectơ tấn công.

Theo Larry the Cucumber, người dùng có thể tự bảo vệ mình khỏi nhiều cuộc tấn công bằng cách sử dụng các công cụ bảo mật như WalletGuard và Pocket Universe, nơi họ có thể quét URL để phát hiện các rủi ro như drainer.

Nguyên tắc chung của Pcaversaccio để tránh phishing scam là phải nghi ngờ mọi người và mọi thứ: “Hãy thận trọng với mọi thứ mà người dùng ký hoặc phê duyệt”.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter (X): https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

Việt Cường

Theo Cointelegraph

MỚI CẬP NHẬT

MicroStrategy-bong-bong-bitcoin

MicroStrategy có tạo nên bong bóng Bitcoin không?

Chiến lược mua Bitcoin (BTC) của MicroStrategy đã thu hút sự chú ý từ các nhà đầu tư, nhưng liệu nó có khả thi...

Quai Network ra mắt testnet cuối cùng với phần thưởng 10 triệu token QUAI

Quai Network đã chính thức ra mắt testnet cuối cùng, đánh dấu bước tiến quan trọng trong quá trình phát triển của nền tảng....

Solana vượt $260 để đạt mức giá cao nhất mọi thời đại mới sau...

Sau ba năm dài, Solana đã chính thức vượt qua mức giá cao nhất mọi thời đại, thiết lập cột mốc mới trên 260 USD...

CEO Galaxy Digital cho rằng việc Bitcoin đạt $100.000 chỉ là “mới bắt đầu”

Mike Novogratz, CEO của Galaxy Digital, tin rằng mức giá $100.000 của Bitcoin chỉ mới là "bắt đầu" đối với vua tiền điện tử...
rektcoin-aidrop-chay-hang

Rekt Coin ra mắt cùng airdrop sau khi Rekt Drink cháy hàng

Rekt Brands vừa thông báo rằng token của họ, REKT, sẽ chính thức ra mắt vào lúc 17 giờ chiều thứ Sáu (giờ Việt...

Dự đoán giá Cardano (ADA) cho tháng 11 năm 2024

Bên cạnh mức tăng ấn tượng gần 50% trong tuần qua để quay lại Top 10 đồng coin lớn nhất thị trường, Cardano (ADA) đang...

Hội đồng cố vấn tiền điện tử do Trump đề xuất có thể thành...

Hội đồng Cố vấn Tiền điện tử do Tổng thống đắc cử Donald Trump đề xuất có thể thành lập một quỹ dự trữ...

Giá Coin hôm nay 22/11: Bitcoin lập đỉnh mới trên $99.000, altcoin và phố...

Bitcoin tiếp tục lập đỉnh mới tại $99.014 sau khi tăng vọt hơn 4% trong ngày hôm qua. Chứng khoán Mỹ Hợp đồng futures trên thị...

FTX kỳ vọng kế hoạch tái cấu trúc sẽ có hiệu lực vào tháng...

Sàn giao dịch FTX, sau khi nộp đơn xin phá sản vào năm 2022, hôm nay thông báo rằng kế hoạch tái cấu trúc...

SEC đang tham gia với các đơn vị đăng ký ETF Solana

Triển vọng cho các quỹ ETF Solana giao ngay đang có những bước tiến đáng kể, khi Ủy ban Chứng khoán và Giao dịch...
MicroStrategy hoàn tất việc huy động 3 tỷ đô la để mua thêm Bitcoin khi MSTR giảm 25%

MicroStrategy hoàn tất việc huy động 3 tỷ đô la để mua thêm Bitcoin

MicroStrategy (MSTR) hoàn tất đợt phát hành trái phiếu chuyển đổi 3 tỷ USD với lãi suất 0%, đáo hạn vào tháng 12/2029, dự...

Tài sản ròng của các quỹ Bitcoin ETF tại Hoa Kỳ chính thức vượt...

Các quỹ Bitcoin ETF của Hoa Kỳ đã phá vỡ 100 tỷ đô la tài sản ròng lần đầu tiên vào ngày 21 tháng...

47 tỷ USD BTC có thể chảy vào Bitcoin L2 vào năm 2030 –...

Bộ phận nghiên cứu của Galaxy Digital ước tính rằng khoảng 47 tỷ USD thanh khoản Bitcoin có thể được chuyển vào mạng lưới...

Chỉ số memecoin tăng vọt khi các đợt niêm yết mới tiếp tục thúc...

Lĩnh vực memecoin dẫn đầu đà tăng trưởng thị trường trong tuần qua giữa xu hướng tăng giá rộng rãi. Chỉ số GMMEME, tăng 3,94%,...

Chủ tịch SEC Gary Gensler chính thức thông báo sẽ từ chức

Chủ tịch Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) Gary Gensler, nổi tiếng với lập trường cứng rắn về quy định...
hack

Hoa Kỳ buộc tội 5 thủ phạm trong âm mưu hack 11 triệu đô...

Các công tố viên Hoa Kỳ vừa buộc tội 5 người thuộc một nhóm tội phạm đã tham gia hack hàng chục doanh nghiệp...