Tiết lộ trò lừa bịp chữ ký Permit2 của Uniswap

Hacker là sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, tính năng mã nguồn mở khiến họ phải cẩn trọng trong quá trình phát triển, sợ rằng một dòng mã sai có thể để lại lỗ hổng. Đối với người dùng cá nhân, nếu không hiểu ý nghĩa của các thao tác đang thực hiện, mỗi lần tương tác trên chuỗi hoặc ký tên đều có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những vấn đề nan giải nhất trong thế giới tiền điện tử. Bởi vì đặc tính của blockchain, một khi tài sản bị đánh cắp thì gần như không thể lấy lại, vì vậy việc nắm vững kiến thức về an ninh trong thế giới tiền điện tử là vô cùng quan trọng.

Gần đây, các nhà nghiên cứu đã phát hiện ra một phương pháp lừa đảo mới xuất hiện và hoạt động trong hai tháng qua. Chỉ cần ký tên là sẽ bị đánh cắp, phương pháp này cực kỳ tinh vi và khó phòng ngừa, và bất kỳ địa chỉ nào đã sử dụng tương tác với một DEX nào đó đều có thể bị đặt dưới rủi ro. Bài viết này sẽ phân tích phương pháp lừa đảo chữ ký này nhằm tránh để nhiều người dùng khác phải chịu thiệt hại về tài sản.

Diễn biến sự kiện

Gần đây, một người dùng ( tạm gọi là nhỏ A) đã bị đánh cắp tài sản ví. Khác với các phương thức bị đánh cắp phổ biến, nhỏ A không tiết lộ khóa riêng và cũng không tương tác với hợp đồng của trang web lừa đảo.

Thông qua trình duyệt blockchain, có thể thấy rằng USDT của ví nhỏ A bị đánh cắp đã được chuyển qua hàm Transfer From. Điều này có nghĩa là tài sản bị đánh cắp này đã được chuyển bởi một địa chỉ khác, chứ không phải do lộ khóa riêng của ví.

Chi tiết giao dịch hiển thị:

• Một địa chỉ có đuôi là fd51 đã chuyển tài sản của nhỏ A đến địa chỉ có đuôi là a0c8
• Hành động này tương tác với hợp đồng Permit2 của một DEX nào đó.

Câu hỏi quan trọng là: địa chỉ kết thúc bằng fd51 đã làm cách nào để có quyền truy cập vào tài sản này? Tại sao nó lại liên quan đến một DEX?

Tiến hành điều tra thêm, phát hiện rằng trước khi chuyển giao tài sản của A nhỏ, địa chỉ này đã thực hiện một thao tác Permit, và hai thao tác này đều tương tác với hợp đồng Permit2 của một DEX nào đó.

Hợp đồng Permit2 là một hợp đồng mới được một DEX ra mắt vào cuối năm 2022. Nó cho phép ủy quyền token để chia sẻ và quản lý trong các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất hơn, tiết kiệm chi phí hơn và an toàn hơn. Khi ngày càng nhiều dự án tích hợp với Permit2, nó hy vọng sẽ đạt được tiêu chuẩn hóa phê duyệt Token trong tất cả các ứng dụng, cải thiện trải nghiệm người dùng bằng cách giảm chi phí giao dịch, đồng thời nâng cao độ an toàn của hợp đồng thông minh.

Việc ra mắt Permit2 có thể làm thay đổi quy tắc trò chơi của toàn bộ hệ sinh thái DApp. Ở cách truyền thống, người dùng cần phải cấp phép riêng cho mỗi lần tương tác với DApp liên quan đến tài sản. Với Permit2, người dùng chỉ cần cấp phép Token cho hợp đồng Permit2, tất cả các DApp tích hợp Permit2 có thể chia sẻ hạn mức cấp phép này, giảm thiểu đáng kể chi phí tương tác của người dùng và mang lại trải nghiệm tốt hơn.

Tuy nhiên, Permit2 cũng là một con dao hai lưỡi. Nó chuyển đổi thao tác của người dùng từ tương tác trên chuỗi thành chữ ký ngoài chuỗi, tất cả các thao tác trên chuỗi được thực hiện bởi các vai trò trung gian ( như hợp đồng Permit2 và các dự án tích hợp ). Lợi ích mang lại là, ngay cả khi ví của người dùng không có ETH, họ vẫn có thể sử dụng các Token khác để thanh toán Gas hoặc được hoàn lại bởi vai trò trung gian. Nhưng chữ ký ngoài chuỗi cũng là khâu mà người dùng dễ bỏ qua nhất, hầu hết mọi người sẽ không kiểm tra kỹ nội dung chữ ký, đây chính là điểm nguy hiểm nhất.

phương pháp câu cá tái hiện

Để tái hiện thủ đoạn lừa đảo chữ ký Permit2 này, trước tiên cần phải có ví bị lừa đảo cấp quyền Token cho hợp đồng Permit2 của một DEX nào đó. Hiện tại, bất kỳ giao dịch Swap nào trên DApp tích hợp với Permit2 hoặc một DEX nào đó đều cần phải cấp quyền cho hợp đồng Permit2.

Điều đáng sợ hơn nữa là, bất kể số tiền Swap là bao nhiêu, hợp đồng Permit2 của một số DEX sẽ mặc định cho phép người dùng ủy quyền toàn bộ số dư của Token đó. Mặc dù ví sẽ nhắc nhở người dùng nhập số tiền tùy chỉnh, nhưng hầu hết mọi người sẽ trực tiếp chọn giá trị tối đa hoặc giá trị mặc định, và giá trị mặc định của Permit2 là hạn mức không giới hạn.

Điều này có nghĩa là, chỉ cần bạn đã tương tác với một DEX nào đó và ủy quyền cho hợp đồng Permit2 sau năm 2023, bạn có thể bị lộ dưới nguy cơ của trò lừa bịp này.

Cốt lõi nằm ở hàm Permit. Nói một cách đơn giản, nó sử dụng ví của người dùng để chuyển số lượng Token được cấp phép cho hợp đồng Permit2 sang địa chỉ khác. Kẻ tấn công chỉ cần có chữ ký của người dùng, có thể lấy quyền truy cập Token trong ví của người dùng và chuyển tài sản.

biện pháp phòng ngừa

Xét thấy hợp đồng Permit2 có thể trở nên phổ biến hơn trong tương lai, nhiều dự án sẽ tích hợp nó để chia sẻ quyền hạn, các biện pháp phòng ngừa hiệu quả bao gồm:

1. Hiểu và nhận diện nội dung chữ ký: Chữ ký Permit thường chứa các thông tin quan trọng như Owner, Spender, value, nonce và deadline. Sử dụng plugin bảo mật giúp nhận diện.

2. Tách biệt ví tài sản và ví tương tác: Nên lưu trữ một lượng lớn tài sản trong ví lạnh, chỉ giữ một số tiền nhỏ trong ví tương tác hàng ngày, có thể giảm thiểu đáng kể tổn thất khi gặp phải trò lừa bịp.

3. Hạn chế hạn mức ủy quyền hoặc hủy ủy quyền: Khi Swap trên DEX, chỉ ủy quyền số tiền cần thiết cho việc tương tác. Mặc dù việc phải ủy quyền lại mỗi lần sẽ tăng chi phí, nhưng có thể tránh được rủi ro lừa đảo chữ ký Permit2. Có thể sử dụng plugin an toàn đã được ủy quyền để hủy.

4. Nhận diện xem token có hỗ trợ chức năng permit hay không: Chú ý đến việc token mà bạn nắm giữ có hỗ trợ chức năng này hay không, nếu có thì cần phải đặc biệt cẩn trọng, kiểm tra kỹ từng chữ ký chưa biết.

5. Xây dựng kế hoạch cứu trợ tài sản hoàn thiện: Nếu bị lừa và còn token trên các nền tảng khác, cần rút tiền cẩn thận và chuyển đến địa chỉ an toàn. Có thể cần sử dụng MEV để chuyển hoặc tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp, tránh bị hacker chặn.

Trong tương lai, các cuộc lừa đảo dựa trên Permit2 có thể ngày càng gia tăng. Phương thức lừa đảo bằng chữ ký này cực kỳ tinh vi và khó phòng ngừa, với việc mở rộng phạm vi ứng dụng của Permit2, số lượng địa chỉ có nguy cơ bị lộ cũng sẽ tăng lên. Hy vọng rằng độc giả có thể truyền bá những thông tin này đến nhiều người hơn, để tránh cho nhiều người phải gánh chịu tổn thất.