Lừa đảo phê duyệt: Cảnh báo người dùng!

Phishing phê duyệt là gì?

Phishing phê duyệt là một trò lừa đảo dựa trên ví, nơi kẻ tấn công thuyết phục bạn ký một quyền cho phép trên chuỗi—thường là phê duyệt token hoặc phê duyệt người điều hành NFT—cho phép địa chỉ hoặc hợp đồng của họ chuyển tài sản sau này mà không cần hỏi lại. Thay vì đánh cắp cụm từ hạt giống, trò lừa đảo này lợi dụng các thông báo ví bình thường (“kết nối,” “ký,” “phê duyệt”) để có được sự đồng ý trông có vẻ như là thường lệ.

Đây là một mẫu cốt lõi được đề cập trong các trò lừa đảo ví tiền điện tử và cách tránh chúng vì giao dịch bạn ký có thể hợp lệ và không thể đảo ngược mặc dù ý định là lừa dối.

Lừa đảo phê duyệt

Ở mức độ cao, lừa đảo phê duyệt hoạt động bằng cách tách biệt khoảnh khắc bạn cấp quyền với khoảnh khắc tiền bị đánh cắp. Một trang web độc hại có thể quảng cáo một airdrop, một bản sửa lỗi hỗ trợ, hoặc một mint, sau đó yêu cầu bạn “phê duyệt” hoặc “ký để tiếp tục.” Không có gì rõ ràng rời khỏi ví của bạn ngay lập tức, vì vậy nó có vẻ an toàn.

Nhưng sự phê duyệt mà bạn vừa cấp có thể hoạt động như một ủy quyền liên tục: kẻ tấn công (hoặc một hợp đồng “drainer” tự động) có thể gọi một chức năng chuyển nhượng và rút tài sản nằm trong quyền đó. Đây là lý do tại sao các nạn nhân thường nhận thấy mất mát sau vài giờ hoặc vài ngày và gặp khó khăn trong việc kết nối vụ trộm với cú nhấp chuột trước đó.

Lừa đảo phê duyệt token

Lừa đảo phê duyệt token nhắm mục tiêu cụ thể vào các quyền kiểu ERC-20 Nhiều token yêu cầu bạn cấp cho một hợp đồng thông minh một khoản cho phép trước khi nó có thể chi tiêu thay mặt bạn (ví dụ, khi hoán đổi trên một DEX). Những kẻ lừa đảo bắt chước quy trình quen thuộc đó và lừa bạn phê duyệt hợp đồng của họ thay vì hợp đồng hợp pháp.

Phiên bản nguy hiểm là một khoản cho phép “không giới hạn”, nơi người chi tiêu có thể chuyển đến toàn bộ số dư của bạn ngay bây giờ và trong tương lai. Một số chiến dịch cũng sử dụng phê duyệt dựa trên chữ ký như permit2, nơi bạn ký một thông điệp có thể được kẻ tấn công gửi lên chuỗi sau đó để kích hoạt quyền chi tiêu.

Bởi vì thông báo ví có thể không giải thích rõ ràng người chi tiêu hoặc số tiền, lừa đảo phê duyệt token thường thành công ngay cả với những người dùng cẩn thận.

Lừa đảo phê duyệt

Lừa đảo phê duyệt về cơ bản là cuộc tấn công tương tự được mô tả từ góc độ những gì đang bị lạm dụng: khoản cho phép (giới hạn số lượng xác định số tiền mà người chi tiêu có thể chuyển). Mục tiêu của kẻ lừa đảo là có được một khoản cho phép (1) đủ lớn để đáng để đánh cắp và (2) đủ rộng để tiếp tục hoạt động sau khi bạn nhận được thêm tiền.

Trong thực tế, kẻ tấn công theo dõi ví của bạn và kích hoạt chuyển khoản khi số dư của bạn tăng lên, khiến cho việc đánh cắp cảm thấy “huyền bí.” Điều này cũng chồng chéo với lừa đảo chữ ký, nơi mánh khóe là có được một chữ ký cho phép chi tiêu hoặc thiết lập một nhà điều hành, ngay cả khi bạn không bao giờ gửi một giao dịch “phê duyệt” truyền thống.

Nếu bạn nghi ngờ rằng bạn đã cấp một khoản cho phép xấu, biện pháp giảm thiểu chính là thu hồi phê duyệt cho người chi tiêu đáng ngờ để các chuyển khoản trong tương lai thất bại.

Tại sao lừa đảo phê duyệt lại quan trọng

Lừa đảo phê duyệt quan trọng vì nó biến một khoảnh khắc bối rối thành quyền truy cập liên tục, có thể lập trình vào tài sản của bạn—mà không làm tổn hại đến các khóa riêng tư. Điều đó khiến nó có thể mở rộng cho các kẻ tấn công và khó khăn cho nạn nhân để tranh chấp: blockchain sẽ coi chuyển khoản là được ủy quyền nếu quyền truy cập tồn tại.

Nó cũng làm suy yếu lòng tin của người dùng trong các hành động DeFi hàng ngày như hoán đổi và đúc, vì các ứng dụng hợp pháp sử dụng cùng một cơ chế phê duyệt. Phòng thủ tốt nhất là hiểu rằng “phê duyệt” không phải là một bước vô hại, thường xuyên xem xét quyền truy cập, và loại bỏ bất cứ điều gì bạn không nhận ra—những thói quen nằm ở trung tâm của các trò lừa đảo ví tiền điện tử và cách để tránh chúng.