Token ERC-20 là một trong những tài sản bị đánh cắp thường xuyên nhất trong ngành công nghiệp tiền điện tử và thậm chí một số bản cập nhật nhằm khắc phục sự cố cũng vô tình tạo điều kiện cho hành vi trộm cắp.
Theo dữ liệu từ Scam Sniffer, tiêu chuẩn token rất phổ biến của mạng lưới Ethereum chiếm 89,5% trong số lượng tiền điện tử trị giá 71,5 triệu USD bị mất do các vụ phishing scam vào tháng 3/2024.
Các token này đã bị đánh cắp do nạn nhân vô tình bị lừa đảo và phê duyệt các chức năng như “permit” và “increase Allowance”. Các chức năng nhằm nâng cao hiệu quả của tiêu chuẩn token đã gây ra các lỗ hổng mới.
Được giới thiệu lần đầu tiên vào năm 2015, token ERC-20 có rất nhiều lỗ hổng bảo mật và khó có thể khắc phục sớm.
Mikko Ohtamaa, đồng sáng lập của giao thức đầu tư thuật toán Trading Strategy, nói: “Vấn đề là do những quyết định tồi tệ trong quá trình thiết kế ERC-20 và Ethereum”.
Ông cho biết các vấn đề liên quan đến thiết kế token chủ yếu xảy ra trên Ethereum và Solana.
“Sự cố đã được khắc phục trên các chain khác như MultiversX, Radix, các chain dựa trên Cosmos,…”
Nhưng bản chất bất biến của hợp đồng thông minh làm nỗ lực khắc phục những sai sót của ERC-20 trở nên phức tạp.
Ethereum là mạng lưới bị tấn công phishing ( nhiều nhất | Nguồn: Scam Sniffer
Tấn công phishing: Permit2 của Uniswap
“Permit2” của Uniswap, hợp đồng thông minh ra mắt vào năm 2022, nhằm mục đích cải thiện giao dịch bằng cách cho phép người dùng cấp phê duyệt hàng loạt token cho DApps. Điều này giúp loại bỏ nhu cầu phê duyệt riêng cho từng giao dịch, tiết kiệm phí gas trong quy trình.
Permit2 tương tự như người tiền nhiệm của nó, “permit” từ Đề xuất cải tiến Ethereum-2612, với tính năng phê duyệt token off-chain. Vì điều này không xảy ra on-chain nên việc ký các tin nhắn này không phải chịu phí gas.
EIP-2612 là phần mở rộng ERC-20, nghĩa là đây là tính năng tùy chọn. Nhưng hầu hết các token ERC-20 đang lưu hành trên thị trường đều không có tiện ích bổ sung này, nghĩa là người dùng không phải lúc nào cũng có thể thu được lợi ích khi tương tác với DApps.
Và đó là lúc Permit2 của Uniswap xuất hiện. Hợp đồng trung gian này mở rộng EIP-2612 đến toàn bộ token ERC-20 trên nền tảng của nó.
Nhưng bản cập nhật có giá trị dành cho những người tham gia DeFi tại một trong những sàn giao dịch phi tập trung lớn nhất thế giới đã khiến một số nhà nghiên cứu gióng lên hồi chuông cảnh báo.
Khoảng một tuần sau khi Uniswap phát hành hợp đồng mới vào tháng 11/2022, nhà nghiên cứu bảo mật, Roman Rakhlin, đã xuất bản bài viết trên Medium để chứng minh cách mà tội phạm có thể lấy được chữ ký cấp phép thông qua các kế hoạch phishing, cuối cùng là đánh cắp token mà nạn nhân hoàn toàn không chút nghi ngờ.
Cách hoạt động của trò lừa đảo Permit2 | Nguồn: Roman Rakhlin
“Khoảng một tháng sau khi xuất bản bài viết, một số drainer thực sự bắt đầu sử dụng chữ ký permit”.
Uniswap đã không đưa ra bất kỳ bình luận nào về vấn đề này.
ERC-20 và lừa đảo trong không gian tiền điện tử
Thế nhưng, token ERC-20 vẫn là một bước tiến lớn khi được giới thiệu hơn 8 năm trước. Chúng đã cung cấp khuôn khổ chung cho phép tạo ra các token có thể thay thế mới trên Ethereum và hoạt động trơn tru theo các quy tắc được xác định trước.
Các chức năng cốt lõi của tiêu chuẩn, như cơ chế “phê duyệt”, cho phép chủ sở hữu token quản lý tài sản của họ trong hệ sinh thái phi tập trung và cấp quyền di chuyển tài sản, từ đó thúc đẩy sự phát triển của DeFi.
Có sự khác biệt giữa token gốc của Ethereum, Ether và token ERC-20, đặc biệt là cách mà chúng tương tác với các hợp đồng thông minh.
Đầu tiên, việc gửi Ether tới một hợp đồng thông minh rất đơn giản. Người dùng chỉ cần gửi Ether giống như cách họ gửi nó đến ví của người khác.
Nhưng token ERC-20 yêu cầu phê duyệt khi tương tác với các hợp đồng thông minh khác. Những kẻ lừa đảo có thể nhắm vào quy trình xác nhận này để đánh lừa người dùng ký các tin nhắn giả mạo.
Mikhail Vladimirov, nhà phát triển Ethereum và kiểm toán hợp đồng thông minh, nói rằng: “Bản thân tiêu chuẩn này đã có sai sót”.
Vào năm 2016, Vladimirov là tác giả của bài báo mô tả vectơ tấn công “phê duyệt” trong đó những thay đổi về số lượng token được phê duyệt có thể bị các thực thể độc hại khai thác nhằm di chuyển số tiền lớn hơn mức cho phép ban đầu của chủ sở hữu token.
Chẳng hạn, Alice sở hữu 1.000 token và muốn giao dịch chúng trên DEX. Alice sử dụng chức năng “phê duyệt” để cho phép DEX chi tiêu 500 token, nhưng sau đó thay đổi ý định và muốn giao dịch nhiều hơn.
Alice có thể tăng số lượng token được phê duyệt bằng cách đặt hạn mức thành 0 và sau đó phê duyệt 800 token. Trong kịch bản giả định này, kẻ tấn công có thể tận dụng khoảng thời gian thay đổi hạn mức trong tích tắc để chi tiêu nhiều token hơn Alice dự định.
Về mặt lý thuyết, cuộc tấn công này có thể khá khó thực hiện vì nó phụ thuộc vào việc nhắm mục tiêu trong khoảng thời gian ngắn, khi Alice sửa đổi phê duyệt của mình.
Bài viết đã đề xuất giải pháp cho cuộc tấn công giả định này là cho phép người dùng thay đổi hạn mức thay vì đặt hạn mức mới.
Việc áp dụng các chức năng “increaseAllowance” và “decreaseAllowance” vào năm 2017 đã bắt đầu giải quyết rủi ro về các cuộc tấn công “phê duyệt” bằng cách cho phép chủ sở hữu điều chỉnh số lượng token đã được phê duyệt mà không cần đặt lại hoàn toàn.
Với các chức năng này, Alice không còn phải đặt lại về 0 mà có thể trực tiếp thay đổi hạn mức của mình thành 800 token.
Lev Menshikov, nhà nghiên cứu bảo mật tại công ty kiểm toán Oxorio, cho biết: “Chức năng increasedAllowance nhằm giải quyết vấn đề này, nhưng lại tạo ra những vấn đề bổ sung cho người dùng cuối”.
Trong một vụ lừa đảo, những kẻ bất hợp pháp có thể gửi tin nhắn phishing yêu cầu người dùng tăng hạn mức token của họ vì những lý do có vẻ hợp lý, chẳng hạn như yêu cầu hạn mức cao hơn để người dùng tiếp tục tận hưởng các dịch vụ mà không bị gián đoạn hoặc thông qua biện pháp bảo mật giả mạo, yêu cầu người dùng tăng lượng token được phê duyệt .
Điều này cho phép hacker di chuyển các token đã được phê duyệt từ ví của người dùng sang ví của họ, trong một số trường hợp có thể rút cạn ví.
Token ERC-20: Lời nguyền bất biến
IncreaseAllowance đã bị xóa khỏi hợp đồng ERC-20 vào năm ngoái và chuyển sang hợp đồng gia hạn sau khi nhà nghiên cứu bảo mật độc lập Pcaversaccio nêu lên mối lo ngại về khả năng lừa đảo được kích hoạt bởi chức năng này.
“Vì hợp đồng là bất biến nên người dùng không thể thay đổi chúng”, Pcaversaccio nói.
Đối với các token hiện có đã được lưu hành, việc sửa đổi là không khả thi do tính chất bất biến của blockchain.
Tuy nhiên, bằng cách sử dụng các proxy hoặc hợp đồng trung gian có thể nâng cấp, các dự án có khả năng loại bỏ các chức năng không cốt lõi như “increaseAllowance” và “permit”, giống như cách Permit2 của Uniswap mang chức năng “permit” đến với các token ERC- 20 thiếu khả năng này.
Nhà nghiên cứu pcaversaccio đề xuất loại bỏ các chức năng kích hoạt các âm mưu phishing | Nguồn: OpenZeppelin
Nhưng pcaversaccio cho biết thêm rằng, chức năng “phê duyệt” phải được giữ lại vì nó thuộc về thông số kỹ thuật ERC-20 ban đầu. Điều đó có nghĩa là vectơ tấn công sẽ tồn tại mãi mãi.
“Tính bất biến là một tính năng, không phải là lỗi trên layer thực thi”. Vấn đề nằm ở layer ứng dụng như DApp và ví.
Vladimirov thừa nhận có những sai sót trong thiết kế ERC-20 nhưng ông cho rằng, sự gia tăng các vụ lừa đảo chủ yếu là do các vấn đề kỹ thuật, chiến thuật thao túng nhằm lừa những người tương tác với hệ thống bảo mật.
Ông lập luận rằng, ví nên cung cấp các định dạng đơn giản hơn hoặc dễ đọc hơn thay vì các thuật ngữ hoặc đoạn code kỹ thuật thường gây nhầm lẫn cho người dùng và khiến họ dễ bị lừa đảo hơn.
Các vấn đề phê duyệt token dường như là ưu tiên hàng đầu của Ethereum | Nguồn: Eric Connor
Vladimirov nói: “Thật không may, chúng ta không thể yêu cầu tất cả ví thực hiện mọi việc theo đúng cách, đặc biệt nếu cộng đồng không thể thống nhất với nhau rằng đâu là phương thức đúng”.
Ohtamaa đề nghị cộng đồng bảo mật không coi lừa đảo là vấn đề được ưu tiên hàng đầu vì chúng chủ yếu ảnh hưởng đến những người dùng có kiến thức thấp hoặc do giao diện người dùng bị lỗi gây ra.
“Một số nhà nghiên cứu bảo mật thậm chí còn kiêu ngạo hơn khi nói rằng, đó là ‘sự ngu ngốc của người dùng’ hoặc điều gì đó mà ‘các nhà phát triển ví và giao diện người dùng nên khắc phục’, đùn đẩy vấn đề mà họ gây ra cho người khác”.
Các cuộc tấn công phishing nhắm đến chuyên gia
Tuy nhiên, ngày càng có nhiều người giao dịch thường xuyên trong hệ sinh thái Ethereum bắt đầu trở thành nạn nhân của những trò lừa đảo phổ biến.
Ngay cả những chuyên gia, chẳng hạn như Necksus, người khai thác crypto và cộng tác viên với nền tảng pháp y Intelligence On Chain, cũng đã trở thành nạn nhân của các chiến thuật lừa đảo phức tạp.
Necksus tuyên bố bản thân đã mất khoảng $ 20.000 trong một vụ phishing scam, cho biết: “Các khoản lỗ khá lớn nhưng bản thân đang nỗ lực dần dần để khôi phục chúng”.
Necksus cho biết ông đã bị lừa truy cập trang web của dự án truyền thông Web3 giả mạo từ tài khoản của một nghệ sĩ NFT vốn đã bị hacker chiếm quyền kiểm soát .
“Tôi không biết điều đó cho đến khi quá muộn”, ông nói.
Nhà đồng sáng lập nền tảng DeFi, Pickle Finance, người hoạt động với bút danh “Larry the Cucumber” và “Beary the Cucumber”, cũng trở thành nạn nhân của một vụ phishing scam gần đây có liên quan đến chức năng “permit”.
Không giống như hầu hết nạn nhân, Larry the Cucumber đã sử dụng các biện pháp phòng ngừa bổ sung, chẳng hạn như trình mô phỏng cho phép người dùng xem lại tình huống trước khi hoàn tất giao dịch.
Beary the Cucumber trở thành nạn nhân của chức năng permit | Nguồn: Beary the Cucumber
Menshikov của Oxorio cảnh báo các nhà đầu tư rằng, các xu hướng phishing mới vẫn đang tiếp tục xuất hiện.
“Các cuộc tấn công nhằm vào chủ sở hữu Tên miền ENS đang ngày càng trở nên phức tạp”.
Trong kế hoạch phishing dạng này, kẻ tấn công gửi thông báo email giả đến chủ sở hữu tên miền ENS để dụ họ đến trang web gia hạn giả mạo, nơi tiền của họ có thể bị đánh cắp.
Vladimirov tuyên bố rằng, tính bất biến của hợp đồng thông minh và số lượng token không ngừng tăng lên khiến bất kỳ giải pháp on-chain nào cũng sẽ gặp khó khăn trong việc ngăn chặn các cuộc tấn công và lưu ý rằng các chiến thuật lừa đảo thông qua mạng xã hội đã tồn tại từ rất lâu trước khi không gian tiền điện tử xuất hiện.
Thay vào đó, ông nói rằng, các giải pháp thực sự sẽ đến từ sự phát triển của các công cụ bảo mật, có thể cảnh báo người dùng về các vectơ tấn công.
Theo Larry the Cucumber, người dùng có thể tự bảo vệ mình khỏi nhiều cuộc tấn công bằng cách sử dụng các công cụ bảo mật như WalletGuard và Pocket Universe, nơi họ có thể quét URL để phát hiện các rủi ro như drainer.
Nguyên tắc chung của Pcaversaccio để tránh phishing scam là phải nghi ngờ mọi người và mọi thứ: “Hãy thận trọng với mọi thứ mà người dùng ký hoặc phê duyệt”.
Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn
Theo dõi Twitter (X): https://twitter.com/tapchibtc_io
Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin
- Bom tấn Wormhole airdrop 775 triệu USD thu hút hàng loạt kẻ lừa đảo và memecoin nhái
- Layer 2 Base chứng kiến thiệt hại từ các vụ lừa đảo tăng 1.880%
- Immunefi: Thiệt hại về tiền điện tử do hack và lừa đảo lên tới 336 triệu đô la trong Q1
Việt Cường
Theo Cointelegraph