Trong bối cảnh thị trường tiền mã hóa ngày càng phát triển, các mối đe dọa an ninh mạng cũng ngày càng tinh vi và phức tạp hơn. Gần đây, một vụ việc điển hình đã làm dấy lên hồi chuông cảnh báo về các lỗ hổng trong quá trình ký giao dịch permit trên nền tảng Ethereum. Một hacker đã thành công lấy cắp hơn 440.000 USD bằng USDC sau khi chủ ví vô tình ký phải một chữ ký “permit” độc hại, gây thiệt hại nghiêm trọng cho các nhà đầu tư cá nhân và cộng đồng tiền mã hóa.
Tổng quan về vụ việc mất tiền 440.000 USD qua permit
Theo báo cáo của nền tảng chống lừa đảo Scam Sniffer, vụ việc xảy ra vào đầu tuần này khi một chủ ví Ethereum đã vô tình ký một giao dịch permit độc hại. Chỉ sau một thao tác ký, hacker đã lấy quyền kiểm soát toàn bộ lượng USDC trong ví, rút sạch số tiền tương đương hơn 440.000 USD. Đây là một trong những vụ lừa đảo có thiệt hại lớn nhất liên quan đến kỹ thuật permit từ trước tới nay.
Trong tháng 11, tổng số tiền bị rút trộm qua các vụ tấn công phishing đã lên tới gần 7,77 triệu USD, qua hơn 6.000 nạn nhân, tăng 137% so với tháng 10 mặc dù số lượng nạn nhân giảm 42%. Đặc biệt, các vụ tấn công “whale hunting” – săn tìm những ví lớn – ngày càng phổ biến, trong đó có các khoản thiệt hại lên tới hơn 1,2 triệu USD chỉ trong một lần ký permit.
Hiểu rõ về lừa đảo Permit trên Ethereum
Permit là gì?
Permit là một hàm trong tiêu chuẩn token ERC-20 của Ethereum, cho phép người dùng ủy quyền cho các ứng dụng hoặc hợp đồng thông minh truy cập và chi tiêu token của mình mà không cần phải gửi giao dịch riêng biệt để cấp phép. Tính năng này tạo điều kiện thuận lợi cho các hoạt động giao dịch, tự động hóa và tích hợp các dịch vụ DeFi.
Cơ chế hoạt động của lừa đảo permit
Tuy nhiên, chính tính tiện lợi này lại trở thành lỗ hổng tiềm ẩn. Các nhóm lừa đảo lợi dụng việc người dùng ký một yêu cầu permit giả mạo, trông như các thao tác hợp lệ và bình thường. Khi người dùng ký, quyền truy cập của kẻ tấn công sẽ được cấp phép toàn quyền kiểm soát token trong ví.
Kẻ tấn công có thể rút sạch token ngay lập tức hoặc chờ đợi thời điểm thích hợp để nạn nhân nạp thêm token, từ đó mở rộng phạm vi thiệt hại. Các dApp độc hại thường ngụy trang nội dung, giả mạo địa chỉ hợp đồng hoặc tạo các yêu cầu ký giả mạo khiến người dùng dễ lầm tưởng là thao tác hợp lệ.
Tại sao permit scam khó nhận biết?
Theo chuyên gia Tara Annison, trưởng bộ phận sản phẩm tại Twinstake, điểm nguy hiểm của các vụ lừa đảo permit là sự chủ quan của người dùng. Kẻ tấn công có thể chờ đợi thời điểm phù hợp để thực hiện hành vi rút tiền, thậm chí còn kéo dài thời hạn hiệu lực của chữ ký để tăng khả năng thành công.
Người dùng thường ký vào các yêu cầu mà không kiểm tra kỹ nội dung, dẫn đến việc cấp quyền cho kẻ xấu mà không nhận thức rõ hậu quả. Các cuộc tấn công phishing này thường mạo danh các hoạt động như airdrop miễn phí, trang web giả mạo dự án hoặc cảnh báo bảo mật giả mạo để dụ người dùng kết nối ví và ký giao dịch.
Những nỗ lực phòng chống và cảnh báo từ cộng đồng
Các biện pháp cảnh báo từ ví tiền mã hóa
Các ví tiền mã hóa như MetaMask đã phát triển các tính năng cảnh báo về các trang web đáng ngờ, đồng thời chuyển đổi dữ liệu giao dịch sang định dạng dễ hiểu hơn để người dùng dễ nhận biết các thao tác rủi ro. Một số ví khác cũng đã nâng cao khả năng cảnh báo các hoạt động có nguy cơ cao.
Tuy nhiên, các kẻ tấn công vẫn liên tục thay đổi chiến thuật, gây khó khăn cho các biện pháp phòng chống tự nhiên của các nền tảng ví.
Khuyến nghị kiểm tra kỹ trước khi ký
Chuyên gia Harry Donnelly, sáng lập Circuit, nhấn mạnh rằng người dùng cần kiểm tra kỹ địa chỉ gửi, hợp đồng liên quan và giới hạn cấp phép trước khi ký bất kỳ yêu cầu nào. Đặc biệt, cần cảnh giác với các yêu cầu cấp quyền chi tiêu không giới hạn, vốn là mục tiêu của các kẻ tấn công.
Các biện pháp tự bảo vệ cho người dùng
- Hiểu rõ hành động sau khi ký: Người dùng cần biết chính xác những thao tác sẽ diễn ra sau khi ký, tránh ký vào những yêu cầu không rõ ràng hoặc không đáng tin cậy.
- Kiểm tra nội dung hợp lệ của yêu cầu: Đảm bảo chức năng được gọi đúng như mong muốn, tránh ký vào các yêu cầu thao tác không rõ ràng.
- Không ký chỉ vì dApp yêu cầu hoặc để nhận thưởng: Thường xuyên có thái độ cảnh giác, không vội vàng ký mà chưa xác minh rõ nội dung.
- Sử dụng các tính năng cảnh báo của ví: Các ví như MetaMask đã tích hợp cảnh báo rõ ràng, hỗ trợ người dùng nhận diện các hoạt động có nguy cơ cao.
Khả năng khắc phục và những hạn chế
Theo chia sẻ của ông Martin Derka, đồng sáng lập Zircuit Finance, khả năng lấy lại tiền sau các vụ tấn công phishing gần như bằng không. Khi tiền đã bị chuyển đi, các nạn nhân gần như không còn cơ hội khôi phục tài sản của mình.
Kẻ tấn công thường không để lại liên hệ hoặc thông tin để truy tìm, mục tiêu duy nhất là rút sạch tài sản rồi biến mất. Do đó, việc phòng tránh là yếu tố then chốt để giảm thiểu thiệt hại trong thị trường crypto ngày càng rủi ro.
Kết luận và khuyến nghị
Các vụ hack qua hình thức permit là lời cảnh tỉnh nghiêm trọng đối với cộng đồng tiền mã hóa. Những thiệt hại về tài chính không chỉ ảnh hưởng đến các nhà đầu tư cá nhân mà còn gây tổn hại đến uy tín của ngành công nghiệp blockchain. Để bảo vệ chính mình, người dùng cần luôn duy trì thái độ thận trọng, kiểm tra kỹ các yêu cầu ký, tránh ký vào các giao dịch không rõ ràng và cập nhật các tính năng cảnh báo của ví tiền mã hóa.
Ngoài ra, các cơ quan chức năng liên ngành như DOJ, FBI, Secret Service và Bộ Tài chính Mỹ đang tích cực hợp tác để truy quét các mạng lưới lừa đảo crypto, đặc biệt là các mô hình “pig butchering” gây thiệt hại hàng tỷ USD. Tuy nhiên, trách nhiệm chính vẫn nằm ở ý thức và hành động của từng người dùng.
Xem các tin tức mới nhất về bitcoin và thị trường điện tử tại : Tin tức Crypto
Tham gia ngay Tộc Crypto để nhận được những bài viết đánh giá và phân tích thị trường, Tham gia vào cuộc thảo luận về tiền điện tử và nhận được câu trả lời cho mọi câu hỏi từ các chuyên gia và những nhà giao dịch có kinh nghiệm của chúng tôi nhé
Binance
OKX
Remitano
Bybit
BigONE
BingX
