Theo công ty an ninh mạng ScamSniffer, nạn nhân đã vô tình ký một chữ ký Permit2 ngoài chuỗi, cấp cho kẻ tấn công quyền truy cập đầy đủ vào ví của họ. Chỉ trong một giờ, các tài sản bị đánh cắp — bao gồm mã thông báo PEPE, Microstrategy (MSTR) và Apu (APU) — đã được chuyển sang một ví mới, không có thời gian để khôi phục.
Uniswap Permit2 là gì?
Uniswap Permit2 được thiết kế để hợp lý hóa việc phê duyệt token và tiết kiệm phí gas bằng cách cho phép phê duyệt ngoài chuỗi. Tuy nhiên, sự tiện lợi này đã tạo ra một lỗ hổng mới trong hệ sinh thái DeFi, với những kẻ tấn công ngày càng khai thác cơ chế chữ ký ngoài chuỗi để đánh cắp tiền.
🚫 Cuộc tấn công diễn ra như thế nào?
1. Trang web lừa đảo hoặc dApp giả mạo: Kẻ tấn công sử dụng các nền tảng gian lận để lừa người dùng ký chữ ký độc hại ngoài chuỗi.
2. Nguy cơ vô hình: Chữ ký ngoài chuỗi có vẻ vô hại nhưng lại cho phép kẻ tấn công thực hiện cả hành động Cho phép và Chuyển từ.
3. Ví bị rút tiền: Nạn nhân không nhận ra mối nguy hiểm cho đến khi quá muộn, vì không có hoạt động đáng ngờ nào xuất hiện trên chuỗi cho đến khi tiền đã biến mất.
🔍 Tại sao loại tấn công này lại nguy hiểm
Single Point of Failure: Một chữ ký ngoài chuỗi có thể cấp quyền truy cập đầy đủ vào ví.
Quyền truy cập đầy đủ mặc định: Trừ khi có giới hạn rõ ràng, sự chấp thuận của Permit2 thường áp dụng cho toàn bộ số dư mã thông báo.
Xu hướng phát triển: Các cuộc tấn công lừa đảo dựa trên Permit2 đang gia tăng, thậm chí khiến những người dùng DeFi có kinh nghiệm cũng phải bất ngờ.
📊 Một vấn đề rộng hơn trong DeFi
Cuộc tấn công này là một phần của làn sóng lừa đảo Permit2 lớn hơn tác động đến cộng đồng tiền mã hóa. Chỉ trong tháng qua, hơn 38 triệu đô la đã bị đánh cắp thông qua các chương trình tương tự. Một báo cáo của CertiK về bảo mật Web3 nêu bật các cuộc tấn công lừa đảo và xâm phạm khóa riêng tư là những nguyên nhân chính gây ra tổn thất tiền mã hóa, tổng cộng là 343 triệu đô la trong năm nay.
🔐 Cách bảo vệ tài sản của bạn
Kiểm tra lại quyền: Xem xét kỹ lưỡng các quyền được cấp, đặc biệt là đối với các giao dịch ngoài chuỗi.
Sử dụng ví an toàn: Chọn ví có tính năng bảo mật mạnh mẽ và tùy chọn đa chữ ký.
Cập nhật thông tin: Hãy theo dõi các thông tin cập nhật về chiến thuật lừa đảo mới nhất và tránh tương tác với các liên kết hoặc trang web lạ.
👉 Hãy theo dõi chúng tôi để cập nhật bảo mật liên tục và các mẹo thực tế về bảo vệ tài sản tiền điện tử của bạn. Trong không gian DeFi đang phát triển nhanh chóng, việc luôn đi trước những kẻ tấn công một bước là điều cần thiết để bảo vệ tài sản của bạn.
