Người dùng mất 11 triệu USD vì lừa đảo tiền điện tử

Theo báo cáo của Scam Sniffer, nạn nhân là đại diện của ban quản lý MakerDAO, điều này càng làm tăng thêm sự mất mát to lớn này. Arkham Intelligence đã xác nhận tin tức này, lưu ý tính chất phức tạp của vụ lừa đảo mà nạn nhân đã gặp phải.

Về phần mình, SlowMist, một công ty chuyên về bảo mật blockchain, giải thích rằng khoản lỗ lớn này là do những rủi ro liên quan đến chữ ký lừa đảo.

Một trong những yếu tố chính tạo điều kiện thuận lợi cho cuộc tấn công này là ủy quyền do EIP-2612 cấp, cho phép thực hiện chữ ký mà không cần ủy quyền trước khi tương tác với hợp đồng thông minh.

Tính năng này, mặc dù mang lại lợi ích, cho phép tạo chữ ký ủy quyền mà không cần giao dịch mạng, điều này có thể gây ra rủi ro bảo mật đáng kể.

Tính năng này cho phép người dùng ký quyền vào các trang web độc hại mà không cần truyền các quyền đó lên blockchain.

Vì chỉ cần có chữ ký sẽ cấp quyền cần thiết nên điều này tiềm ẩn mức độ rủi ro cao, như SlowMist đã giải thích.

Những kẻ độc hại có thể khai thác lỗ hổng này để lừa nạn nhân bằng cách giả vờ là các trang web hợp pháp, khiến việc phát hiện các chữ ký bị xâm phạm trở nên cực kỳ khó khăn vì các giao dịch này không được phát qua mạng.