Mục lục
Với sự xuất hiện của tài chính phi tập trung (DeFi) và sự ra đời của mã thông báo không thể thay thế (NFT), ngành công nghiệp tiền điện tử đã chứng kiến sự gia tăng đáng kinh ngạc trong việc sử dụng các hợp đồng thông minh (Smart Contract), là các chương trình chạy trên blockchain, tự động phản hồi với nhiều các tham số được rút ra từ dữ liệu trên blockchain được viết bởi các cá nhân hoặc nhà cung cấp dữ liệu khác.
Đối với người dùng, hợp đồng thông minh có thể được coi là các thỏa thuận kỹ thuật số giữa những người có thể tự thực hiện. Mặc dù chúng được coi là một trong những đổi mới lớn nhất trong không gian tiền điện tử để cho phép các giao dịch tự động và không cần sự cho phép, nhưng không phải ai cũng có đủ mức độ hiểu biết cần thiết để đảm bảo tính bảo mật của họ.
Với sự thiếu hiểu biết và thiếu thảo luận này, vấn đề “ký mù” trở thành một mối đe dọa thực sự đối với những người dùng không nghi ngờ. Bài viết này nhằm mục đích làm nổi bật sự nguy hiểm của việc ký mù (Blind Signing) như đã được chứng minh trong cuộc tấn công gần đây vào OpenSea.
Sự cố OpenSea
Thị trường NFT hàng đầu trong ngành OpenSea bị khai thác vào tháng 2 năm 2022, báo cáo mất 1,7 triệu đô la tài sản kỹ thuật số trong khoảng thời gian ba giờ.
Đồng sáng lập và Giám đốc điều hành Devin Finzer giải thích cuộc tấn công trong một tweet, nói rằng nó được tiến hành bằng cách ban đầu gửi các mục tiêu tiềm năng “một nửa của đơn đặt hàng Wyvern hợp lệ”, về cơ bản là một hợp đồng một phần khai thác tính linh hoạt của Giao thức Wyvern. Một phần lớn của hợp đồng bị bỏ trống, do đó kẻ tấn công có thể hoàn tất giao dịch bằng lệnh gọi hợp đồng của chính họ.
Vấn đề là các nạn nhân không hề biết rằng hợp đồng bị xâm phạm mà họ sắp ký sẽ được sử dụng theo cách này. Hãy coi nó giống như việc ký vào một tấm séc trống và đưa nó cho người khác. Kẻ tấn công chỉ phải nhập số tiền họ muốn rút ra từ nạn nhân của họ trước khi tiếp tục.
Thật trùng hợp, OpenSea đã thông báo vài ngày trước vụ khai thác rằng nó yêu cầu người dùng di chuyển các NFT được liệt kê của họ từ mạng Ethereum sang một hợp đồng thông minh mới, một thông báo mà thủ phạm đã lợi dụng. Các cuộc điều tra vẫn đang được tiến hành, nhưng nhiều nhà phân tích tin rằng kẻ tấn công đã sử dụng các kỹ thuật lừa đảo phổ biến.
Ký mù (Blind Signing) là gì?
Chữ ký mù (blind signature) là một loại chữ ký điện tử mà nội dung của một thông điệp được ẩn trước khi nó được ký. Nó thường được sử dụng trong các tương tác tập trung vào quyền riêng tư khi người tạo tin nhắn và người ký là các bên khác nhau. Tuy nhiên, ký mù (Blind Signing) cũng có thể được sử dụng như một phương tiện tấn công để tin tặc đánh cắp tài sản.
Hợp đồng thông minh yêu cầu chữ ký điện tử, có chức năng như một hình thức đồng ý với các điều khoản và điều kiện cho tất cả mọi người tham gia vào một giao dịch cụ thể. Theo truyền thống, bạn phải biết những gì bạn đồng ý trên bản in đẹp trước khi ký hợp đồng. Tuy nhiên, giao diện người dùng của hầu hết các ứng dụng phi tập trung chỉ cung cấp cái nhìn toàn cảnh về quá trình được thực hiện trong một cuộc gọi hợp đồng thông minh.
Chỉ với một cú nhấp chuột đơn giản, bạn có thể bán tài sản ở một mức giá cụ thể và xác nhận giao dịch bằng khóa cá nhân của mình thông qua ví Web 3 — tất cả mà không cần phải xem mã đằng sau nó, điều này rất có thể sẽ khó hiểu đối với hầu hết người dùng.
Tất cả điều này dựa trên ý tưởng rằng bạn tin tưởng vào nội dung của một hợp đồng thông minh và rằng nó là hợp pháp và trung thành với ý định của bạn trong bất kỳ giao dịch cụ thể nào. Các nền tảng như OpenSea và Uniswap đã hoạt động được một thời gian; do đó, người dùng tin tưởng một cách mù quáng vào hợp đồng thông minh của họ.
Nhưng ngay cả khi hợp đồng thông minh của họ không bị xâm phạm, tin tặc vẫn có thể lấy cắp tiền của người dùng thông qua các phương thức lừa đảo, như gửi tin nhắn riêng tư và đóng giả là bộ phận hỗ trợ khách hàng.
Tại sao Dấu hiệu Mù (Blind Signing) lại Nguy hiểm?
Ký hợp đồng mù quáng mở ra con đường mới cho những kẻ tấn công thực hiện các giao dịch gian lận. Dưới đây là một số ví dụ.
- Trang web giả mạo
Hầu hết những kẻ tấn công sử dụng các trang web lừa đảo bắt chước các nền tảng phổ biến để gọi là một hợp đồng thông minh độc hại. Ví dụ: “pancaleswap.com” thay vì “pancakeswap.com” hoặc “openseaa.com” thay vì “opensea.com”.
Trong những trường hợp như vậy, một lỗi đánh máy có thể dẫn bạn đến một trang web sao chép do kẻ lừa đảo tạo ra, điều này có thể cho phép chúng đánh cắp tài sản của bạn thông qua một hợp đồng thông minh độc hại được ngụy trang dưới dạng nút “hoán đổi” hoặc các cơ chế khác.
Phương pháp này có thể được sử dụng để bắt chước DEX, ví dựa trên trình duyệt, thị trường và hầu như bất kỳ loại nền tảng nào mà ví của bạn có thể kết nối.
- Các lỗ hổng nền tảng và hợp đồng thông minh
Tương tự như những gì đã xảy ra với OpenSea, những kẻ tấn công có thể khai thác tính linh hoạt hoặc lỗ hổng của các ứng dụng để gửi các hợp đồng thông minh có thể thực hiện các hoạt động giao dịch độc hại mà nạn nhân không biết; các tác nhân độc hại có thể khiến nạn nhân ký hợp đồng thông minh mà không cho họ biết những gì họ đang tham gia đầy đủ.
Ví dụ, các hợp đồng thông minh giả mạo có thể lừa nạn nhân bằng cách hiển thị cho họ giá giả khi bán một tài sản, trong khi trên thực tế, giá thật có thể bằng 0. trong các giao dịch dựa trên hợp đồng thông minh.
Cách cải thiện an toàn khi sử dụng dApps
- Tắt tính năng ký mù (Blind Signing)
Không phải tất cả các ví tiền điện tử đều hỗ trợ ký mù (Blind Signing). Nếu có thể, đừng ép buộc thực hiện giao dịch trên ví không hỗ trợ bằng cách thông qua các ứng dụng của bên thứ ba, đặc biệt là khi bạn đang giao dịch với người mà bạn không hoàn toàn tin tưởng.
- Đừng tin tưởng, hãy xác minh
Luôn đảm bảo rằng bạn đang ký hợp đồng thông minh phù hợp từ nền tảng phù hợp. Hơn nữa, hãy luôn cố gắng xác định xem ứng dụng hoặc trang web bạn đang sử dụng có bị xâm phạm hay không. Bạn cần phải hết sức cảnh giác khi giao dịch trên một nền tảng không đáng tin cậy, nếu không bạn có thể mất tất cả tài sản trong ví của mình .
- Tổng kết về Ký mù (Blind Signing)
Ký mù (Blind Signing) là một trong nhiều phương pháp mà tin tặc sử dụng để đánh cắp tài sản kỹ thuật số từ chủ sở hữu của chúng. Crypto đã đi được một chặng đường dài kể từ những ngày đầu tiên của nó, nhưng có vẻ như nó vẫn chưa hoàn toàn ra khỏi rừng.
Các phương pháp được sử dụng bởi những kẻ xấu để khai thác các lỗ hổng thường tận dụng sự thiếu chín chắn của công nghệ mới, vì nó tìm cách trở nên thân thiện hơn với người dùng và được áp dụng phổ biến.
Rủi ro như việc khai thác của việc ký mù (Blind Signing), bạn có thể tự bảo vệ mình bằng cách thực hiện các biện pháp bảo mật thích hợp. Bạn không ký hợp đồng truyền thống một cách mù quáng với các cá nhân ngẫu nhiên trong thế giới ngoại tuyến, vì vậy cũng đừng làm điều đó trực tuyến.
Theo: cybavo
Khuyến cáo: Thông tin trên bài viết này chỉ mang tính tham khảo, không có bất kỳ lời khuyên nào về mua bán, đầu tư. Bạn hãy tự nghiên cứu trước khi thực hiện bất kỳ hình thức đầu tư nào.
