Những mối đe dọa mới trong thế giới Blockchain: Sự kết hợp của lỗ hổng giao thức và kỹ thuật xã hội
Tiền điện tử và công nghệ Blockchain đang tái định nghĩa tự do tài chính, nhưng đồng thời cũng mang đến những thách thức an ninh mới. Kẻ lừa đảo không còn chỉ lợi dụng lỗ hổng công nghệ, mà còn biến giao thức hợp đồng thông minh Blockchain thành công cụ tấn công. Thông qua những cái bẫy kỹ thuật xã hội được thiết kế tinh vi, họ lợi dụng tính minh bạch và tính không thể đảo ngược của Blockchain, biến lòng tin của người dùng thành công cụ để đánh cắp tài sản. Từ việc làm giả hợp đồng thông minh đến thao túng giao dịch xuyên chuỗi, những cuộc tấn công này không chỉ khó phát hiện mà còn có tính lừa đảo mạnh mẽ hơn do vẻ ngoài "hợp pháp" của chúng.
Một, giao thức được chuyển hóa thành công cụ lừa đảo như thế nào?
Giao thức Blockchain có mục đích đảm bảo an toàn và tin cậy, nhưng những kẻ lừa đảo đã lợi dụng đặc điểm của nó, kết hợp với sự sơ hở của người dùng, để tạo ra nhiều phương thức tấn công bí mật.
(1) Ủy quyền hợp đồng thông minh độc hại
Nguyên lý kỹ thuật:
Chuẩn token ERC-20 cho phép người dùng ủy quyền cho bên thứ ba rút một số lượng token nhất định từ ví của họ thông qua hàm "Approve". Chức năng này được sử dụng rộng rãi trong các giao thức DeFi, nhưng cũng bị kẻ lừa đảo lợi dụng.
Cách hoạt động:
Kẻ lừa đảo tạo ra DApp giả mạo thành dự án hợp pháp, dụ dỗ người dùng ủy quyền. Bề ngoài là ủy quyền một lượng token nhỏ, nhưng thực tế có thể là hạn mức vô hạn. Một khi việc ủy quyền hoàn tất, kẻ lừa đảo có thể rút tất cả token tương ứng từ ví của người dùng bất cứ lúc nào.
Trường hợp:
Đầu năm 2023, một trang web lừa đảo giả danh "nâng cấp某DEX" đã khiến hàng trăm người dùng mất hàng triệu đô la USDT và ETH. Những giao dịch này hoàn toàn tuân theo tiêu chuẩn ERC-20, khiến cho các nạn nhân khó khăn trong việc thu hồi số tiền qua các biện pháp pháp lý.
(2) chữ ký lừa đảo
Nguyên lý kỹ thuật:
Giao dịch Blockchain yêu cầu người dùng tạo chữ ký thông qua khóa riêng. Kẻ lừa đảo lợi dụng quy trình này, giả mạo yêu cầu chữ ký để đánh cắp tài sản.
Cách hoạt động:
Người dùng nhận được tin nhắn giả mạo thông báo chính thức, bị dẫn đến trang web độc hại để ký "xác nhận giao dịch". Giao dịch này có thể trực tiếp chuyển tài sản của người dùng hoặc ủy quyền cho kẻ lừa đảo kiểm soát bộ sưu tập NFT của người dùng.
Ví dụ:
Một cộng đồng dự án NFT nổi tiếng đã bị tấn công lừa đảo chữ ký, nhiều người dùng đã mất NFT trị giá hàng triệu đô la do ký vào giao dịch "nhận airdrop" giả mạo.
(3) Token giả và "tấn công bụi"
Nguyên lý kỹ thuật:
Tính công khai của Blockchain cho phép bất kỳ ai gửi token đến bất kỳ địa chỉ nào. Kẻ lừa đảo lợi dụng điều này bằng cách gửi một lượng nhỏ tiền điện tử để theo dõi hoạt động ví.
Cách hoạt động:
Kẻ lừa đảo gửi một số lượng nhỏ token đến nhiều địa chỉ, những token này có thể mang tên gọi gợi ý. Khi người dùng cố gắng rút tiền, kẻ tấn công có thể lấy quyền truy cập vào ví hoặc thực hiện một vụ lừa đảo chính xác hơn.
Ví dụ:
Trên mạng Ethereum đã xuất hiện cuộc tấn công "GAS token" bằng bụi, ảnh hưởng đến hàng nghìn ví. Một số người dùng đã mất ETH và các token khác do sự tò mò tương tác.
Hai, tại sao những trò lừa đảo này khó phát hiện?
Những trò lừa đảo này thành công phần lớn là do chúng ẩn nấp trong các cơ chế hợp pháp của Blockchain, khiến người dùng bình thường khó phân biệt bản chất xấu xa của chúng. Những lý do chính bao gồm:
Độ phức tạp của công nghệ: Mã hợp đồng thông minh và yêu cầu ký điện tử rất khó hiểu đối với người dùng không có kỹ thuật.
Tính hợp pháp trên chuỗi: Tất cả các giao dịch đều được ghi lại trên Blockchain, có vẻ minh bạch, nhưng nạn nhân thường chỉ nhận ra vấn đề sau đó.
Kỹ thuật xã hội: Kẻ lừa đảo lợi dụng điểm yếu của con người, như lòng tham, nỗi sợ hãi hoặc sự tin tưởng.
Ngụy trang tinh vi: Các trang web lừa đảo có thể sử dụng URL giống với tên miền chính thức, thậm chí tăng độ tin cậy thông qua chứng chỉ HTTPS.
Ba, làm thế nào để bảo vệ ví tiền điện tử của bạn?
Đối mặt với những trò lừa đảo có cả yếu tố kỹ thuật và tâm lý này, việc bảo vệ tài sản cần một chiến lược đa tầng:
Kiểm tra và quản lý quyền ủy quyền
Sử dụng công cụ kiểm tra quyền để xem xét định kỳ hồ sơ quyền của ví.
Hủy bỏ các quyền hạn không cần thiết, đặc biệt là quyền hạn không giới hạn đối với địa chỉ không xác định.
Xác minh liên kết và nguồn
Nhập URL chính thức một cách thủ công, tránh nhấp vào các liên kết trong mạng xã hội hoặc email.
Đảm bảo trang web sử dụng tên miền và chứng chỉ SSL đúng.
Sử dụng ví lạnh và chữ ký đa phần
Lưu trữ hầu hết tài sản trong ví phần cứng.
Sử dụng công cụ ký đa chữ ký cho tài sản lớn, yêu cầu xác nhận giao dịch bằng nhiều khóa.
Xử lý yêu cầu ký tên một cách cẩn thận
Đọc kỹ chi tiết giao dịch trong cửa sổ bật lên ví.
Sử dụng chức năng của giao thức Blockchain để phân tích nội dung chữ ký.
Đối phó với các cuộc tấn công bằng bụi
Sau khi nhận được token không rõ nguồn gốc, đừng tương tác.
Xác nhận nguồn gốc token thông qua trình duyệt Blockchain.
Tránh công khai địa chỉ ví, hoặc sử dụng địa chỉ mới để thực hiện các thao tác nhạy cảm.
Kết luận
Thông qua việc thực hiện các biện pháp an ninh nêu trên, người dùng có thể giảm đáng kể nguy cơ trở thành nạn nhân của các chương trình lừa đảo cao cấp. Tuy nhiên, an ninh thực sự không chỉ dựa vào các phương tiện kỹ thuật. Sự hiểu biết của người dùng về logic ủy quyền và thái độ thận trọng đối với hành vi trên chuỗi mới là hàng rào cuối cùng chống lại các cuộc tấn công.
Trong thế giới Blockchain, mỗi lần ký và mỗi giao dịch đều được ghi lại vĩnh viễn, không thể thay đổi. Do đó, việc nội hóa nhận thức về an ninh thành thói quen hàng ngày, giữ cân bằng giữa niềm tin và xác minh là vô cùng quan trọng để bảo vệ tài sản kỹ thuật số. Với sự phát triển không ngừng của công nghệ, sự cảnh giác và kiến thức của người dùng cũng cần được cập nhật kịp thời, để có thể an toàn điều hướng trong thế giới tài chính kỹ thuật số đầy cơ hội và rủi ro này.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 thích
Phần thưởng
14
8
Chia sẻ
Bình luận
0/400
RooftopReserver
· 13giờ trước
Mọi người hãy cẩn thận nhé, từ từ thấy người quen cũ lên sân thượng rồi.
Xem bản gốcTrả lời0
MissingSats
· 07-03 08:20
智商税收 chơi đùa với mọi người lại bắt đầu rồi
Xem bản gốcTrả lời0
GateUser-bd883c58
· 07-02 05:49
đồ ngốc lại sắp gặp họa rồi
Xem bản gốcTrả lời0
MetaReckt
· 07-02 05:48
Lại là cái bẫy của hợp đồng thông minh, những người đã chịu thiệt thì hãy đi qua.
Xem bản gốcTrả lời0
SmartContractRebel
· 07-02 05:43
Với độ an toàn này, còn dám nói đến web3 sao?
Xem bản gốcTrả lời0
ClassicDumpster
· 07-02 05:42
Anh em blockchain, hãy chú ý đến quyền hạn nhé.
Xem bản gốcTrả lời0
SellTheBounce
· 07-02 05:41
đồ ngốc mãi mãi là đồ ngốc chơi đùa với mọi người không bao giờ kết thúc
Xem bản gốcTrả lời0
BearMarketSurvivor
· 07-02 05:39
Cách chơi đùa với mọi người trong đợt này có chút cao cấp đấy.
Blockchain trò lừa bịp xu hướng mới: mối đe dọa kết hợp giữa giao thức lỗ hổng và phương pháp kỹ thuật xã hội
Những mối đe dọa mới trong thế giới Blockchain: Sự kết hợp của lỗ hổng giao thức và kỹ thuật xã hội
Tiền điện tử và công nghệ Blockchain đang tái định nghĩa tự do tài chính, nhưng đồng thời cũng mang đến những thách thức an ninh mới. Kẻ lừa đảo không còn chỉ lợi dụng lỗ hổng công nghệ, mà còn biến giao thức hợp đồng thông minh Blockchain thành công cụ tấn công. Thông qua những cái bẫy kỹ thuật xã hội được thiết kế tinh vi, họ lợi dụng tính minh bạch và tính không thể đảo ngược của Blockchain, biến lòng tin của người dùng thành công cụ để đánh cắp tài sản. Từ việc làm giả hợp đồng thông minh đến thao túng giao dịch xuyên chuỗi, những cuộc tấn công này không chỉ khó phát hiện mà còn có tính lừa đảo mạnh mẽ hơn do vẻ ngoài "hợp pháp" của chúng.
Một, giao thức được chuyển hóa thành công cụ lừa đảo như thế nào?
Giao thức Blockchain có mục đích đảm bảo an toàn và tin cậy, nhưng những kẻ lừa đảo đã lợi dụng đặc điểm của nó, kết hợp với sự sơ hở của người dùng, để tạo ra nhiều phương thức tấn công bí mật.
(1) Ủy quyền hợp đồng thông minh độc hại
Nguyên lý kỹ thuật: Chuẩn token ERC-20 cho phép người dùng ủy quyền cho bên thứ ba rút một số lượng token nhất định từ ví của họ thông qua hàm "Approve". Chức năng này được sử dụng rộng rãi trong các giao thức DeFi, nhưng cũng bị kẻ lừa đảo lợi dụng.
Cách hoạt động: Kẻ lừa đảo tạo ra DApp giả mạo thành dự án hợp pháp, dụ dỗ người dùng ủy quyền. Bề ngoài là ủy quyền một lượng token nhỏ, nhưng thực tế có thể là hạn mức vô hạn. Một khi việc ủy quyền hoàn tất, kẻ lừa đảo có thể rút tất cả token tương ứng từ ví của người dùng bất cứ lúc nào.
Trường hợp: Đầu năm 2023, một trang web lừa đảo giả danh "nâng cấp某DEX" đã khiến hàng trăm người dùng mất hàng triệu đô la USDT và ETH. Những giao dịch này hoàn toàn tuân theo tiêu chuẩn ERC-20, khiến cho các nạn nhân khó khăn trong việc thu hồi số tiền qua các biện pháp pháp lý.
(2) chữ ký lừa đảo
Nguyên lý kỹ thuật: Giao dịch Blockchain yêu cầu người dùng tạo chữ ký thông qua khóa riêng. Kẻ lừa đảo lợi dụng quy trình này, giả mạo yêu cầu chữ ký để đánh cắp tài sản.
Cách hoạt động: Người dùng nhận được tin nhắn giả mạo thông báo chính thức, bị dẫn đến trang web độc hại để ký "xác nhận giao dịch". Giao dịch này có thể trực tiếp chuyển tài sản của người dùng hoặc ủy quyền cho kẻ lừa đảo kiểm soát bộ sưu tập NFT của người dùng.
Ví dụ: Một cộng đồng dự án NFT nổi tiếng đã bị tấn công lừa đảo chữ ký, nhiều người dùng đã mất NFT trị giá hàng triệu đô la do ký vào giao dịch "nhận airdrop" giả mạo.
(3) Token giả và "tấn công bụi"
Nguyên lý kỹ thuật: Tính công khai của Blockchain cho phép bất kỳ ai gửi token đến bất kỳ địa chỉ nào. Kẻ lừa đảo lợi dụng điều này bằng cách gửi một lượng nhỏ tiền điện tử để theo dõi hoạt động ví.
Cách hoạt động: Kẻ lừa đảo gửi một số lượng nhỏ token đến nhiều địa chỉ, những token này có thể mang tên gọi gợi ý. Khi người dùng cố gắng rút tiền, kẻ tấn công có thể lấy quyền truy cập vào ví hoặc thực hiện một vụ lừa đảo chính xác hơn.
Ví dụ: Trên mạng Ethereum đã xuất hiện cuộc tấn công "GAS token" bằng bụi, ảnh hưởng đến hàng nghìn ví. Một số người dùng đã mất ETH và các token khác do sự tò mò tương tác.
Hai, tại sao những trò lừa đảo này khó phát hiện?
Những trò lừa đảo này thành công phần lớn là do chúng ẩn nấp trong các cơ chế hợp pháp của Blockchain, khiến người dùng bình thường khó phân biệt bản chất xấu xa của chúng. Những lý do chính bao gồm:
Độ phức tạp của công nghệ: Mã hợp đồng thông minh và yêu cầu ký điện tử rất khó hiểu đối với người dùng không có kỹ thuật.
Tính hợp pháp trên chuỗi: Tất cả các giao dịch đều được ghi lại trên Blockchain, có vẻ minh bạch, nhưng nạn nhân thường chỉ nhận ra vấn đề sau đó.
Kỹ thuật xã hội: Kẻ lừa đảo lợi dụng điểm yếu của con người, như lòng tham, nỗi sợ hãi hoặc sự tin tưởng.
Ngụy trang tinh vi: Các trang web lừa đảo có thể sử dụng URL giống với tên miền chính thức, thậm chí tăng độ tin cậy thông qua chứng chỉ HTTPS.
Ba, làm thế nào để bảo vệ ví tiền điện tử của bạn?
Đối mặt với những trò lừa đảo có cả yếu tố kỹ thuật và tâm lý này, việc bảo vệ tài sản cần một chiến lược đa tầng:
Kiểm tra và quản lý quyền ủy quyền
Xác minh liên kết và nguồn
Sử dụng ví lạnh và chữ ký đa phần
Xử lý yêu cầu ký tên một cách cẩn thận
Đối phó với các cuộc tấn công bằng bụi
Kết luận
Thông qua việc thực hiện các biện pháp an ninh nêu trên, người dùng có thể giảm đáng kể nguy cơ trở thành nạn nhân của các chương trình lừa đảo cao cấp. Tuy nhiên, an ninh thực sự không chỉ dựa vào các phương tiện kỹ thuật. Sự hiểu biết của người dùng về logic ủy quyền và thái độ thận trọng đối với hành vi trên chuỗi mới là hàng rào cuối cùng chống lại các cuộc tấn công.
Trong thế giới Blockchain, mỗi lần ký và mỗi giao dịch đều được ghi lại vĩnh viễn, không thể thay đổi. Do đó, việc nội hóa nhận thức về an ninh thành thói quen hàng ngày, giữ cân bằng giữa niềm tin và xác minh là vô cùng quan trọng để bảo vệ tài sản kỹ thuật số. Với sự phát triển không ngừng của công nghệ, sự cảnh giác và kiến thức của người dùng cũng cần được cập nhật kịp thời, để có thể an toàn điều hướng trong thế giới tài chính kỹ thuật số đầy cơ hội và rủi ro này.