Mối đe dọa tiềm ẩn của thế giới blockchain: phân tích đầy đủ về các cuộc tấn công lừa đảo

Bài viết này Hash (SHA 1): 418ea6548326a5f3b9496aa7912935fec8ca925c

Số: PandaLYSecurity Knowledge số 031

Tấn công lừa đảo blockchain là gì?

Bạn có thể quen thuộc với từ phishing. Ban đầu nó ám chỉ những vụ lừa đảo trực tuyến sử dụng các trang web hoặc email giả mạo để dụ mọi người nhấp vào liên kết rồi lừa đảo thông tin cá nhân. Giờ đây, với sự phổ biến của blockchain và tiền điện tử, loại hình lừa đảo này cũng đã phát triển thành thế giới blockchain.

Các cuộc tấn công lừa đảo blockchain về cơ bản giống như các cuộc tấn công lừa đảo truyền thống. Những kẻ tấn công giả vờ là người mà bạn tin tưởng, chẳng hạn như trang web ví mà bạn thường sử dụng, nền tảng giao dịch hoặc thậm chí là dự án mà bạn đã tham gia. Chúng sẽ sử dụng các liên kết giả, tài khoản mạng xã hội giả hoặc hợp đồng thông minh có vẻ hợp pháp nhưng thực tế có lỗ hổng để dụ bạn nhập khóa riêng, mã ghi nhớ hoặc ký một giao dịch độc hại. Kết quả là gì? Tài sản tiền điện tử của bạn bị chuyển đi mà bạn không hề hay biết.

Ví dụ, hãy tưởng tượng bạn thấy một sự kiện airdrop chính thức trên một nền tảng xã hội và có một liên kết trông giống như một trang web ví mà bạn quen thuộc. Bạn nhấp vào đó và nhập mã ghi nhớ, sau đó thấy rằng tất cả số tiền trong đó đã biến mất. Đây là một kịch bản tấn công lừa đảo blockchain điển hình.

Các cuộc tấn công lừa đảo đặc biệt tinh vi vì chúng nhắm vào những người dùng không quen thuộc lắm với công nghệ blockchain và không biết đủ về các biện pháp bảo vệ. Nhiều người rơi vào bẫy của kẻ tấn công vì sự bất cẩn hoặc lòng tham lợi nhuận nhỏ. Do đó, chúng ta phải cảnh giác với các cuộc tấn công này và luôn đề phòng chúng.

Vậy làm thế nào để xác định các cuộc tấn công lừa đảo? Điều này bắt đầu với nguyên tắc của nó.

Các cuộc tấn công lừa đảo diễn ra như thế nào

Có bốn loại tấn công lừa đảo chính, cụ thể là airdrop giả, chữ ký giả, công cụ cửa sau và cung cấp kỹ thuật ghi nhớ.

Giả mạo Airdrop:

Kẻ tấn công sử dụng trình tạo địa chỉ để tạo ra các địa chỉ rất giống với địa chỉ ví của người dùng (thường thì số đầu tiên hoặc số cuối giống nhau), sau đó chuyển một lượng tiền nhỏ (chẳng hạn như 0,001 USDT) hoặc USDT giả do kẻ tấn công triển khai đến các địa chỉ này nhiều lần. Điều này khiến người dùng nhầm tưởng rằng các địa chỉ này là địa chỉ thanh toán thông thường trước đây. Khi người dùng thực hiện giao dịch chuyển tiền mới, họ có thể sao chép hồ sơ giao dịch lịch sử và nhầm lẫn chuyển tiền đến địa chỉ của kẻ tấn công, dẫn đến mất tài sản.

Được gây ra chữ ký:

Kẻ tấn công tạo ra các trang web giả mạo, chẳng hạn như trang web mô phỏng các dự án nổi tiếng, liên kết airdrop giả mạo hoặc nền tảng mua sắm, để lừa người dùng kết nối với ví của chúng và thực hiện các hoạt động ký, qua đó đánh cắp tài sản.

Các cuộc tấn công chữ ký phổ biến bao gồm:

• Chuyển khoản trực tiếp

Kẻ tấn công đã ngụy trang hoạt động ký tên dưới dạng nhận airdrop, kết nối ví và các chức năng khác, nhưng hoạt động thực tế là chuyển tài sản của người dùng đến địa chỉ của kẻ tấn công.

• Được ủy quyền Mã thông báo Chuyển khoản

Người dùng ký một giao dịch trên trang web lừa đảo, chẳng hạn như ERC 20 chấp thuận cuộc gọi hoặc NFT setApproveForAll. Sau khi có được sự cho phép, kẻ tấn công có thể chuyển giao tài sản của người dùng theo ý muốn.

• Lừa đảo ủy quyền địa chỉ trống

Lừa đảo ủy quyền địa chỉ trống là phiên bản nâng cấp của lừa đảo ủy quyền. Khi người dùng nhấp vào liên kết lừa đảo để ủy quyền (thường là chấp thuận hoặc tăng trợ cấp), địa chỉ của người chi tiêu là một địa chỉ trống không có bất kỳ bản ghi nào trên chuỗi. Nếu nạn nhân ký ủy quyền, địa chỉ trống sẽ được sử dụng để triển khai hợp đồng thông qua phương thức tạo 2 để chuyển tiền của nạn nhân. Sử dụng ủy quyền địa chỉ trống có thể tránh tình huống địa chỉ được ủy quyền bị công cụ phát hiện đánh dấu, do đó bỏ qua kiểm tra bảo mật của một số ví.

• Mua NFT Fishing miễn phí

Lừa người dùng ký lệnh bán NFT. NFT do người dùng nắm giữ. Sau khi người dùng ký lệnh này, kẻ tấn công có thể trực tiếp mua NFT của người dùng thông qua OpenSea, nhưng giá mua do kẻ tấn công quyết định, điều này có nghĩa là kẻ tấn công có thể mua NFT của người dùng mà không cần chi bất kỳ khoản tiền nào.

• eth_sign kiểm tra trống (chữ ký ẩn)

eth_sign còn được gọi là chữ ký mù. Sử dụng eth_sign để ký bất kỳ giá trị băm nào cũng tương đương với việc viết một tấm séc trắng cho kẻ tấn công, do đó kẻ tấn công có thể xây dựng bất kỳ giao dịch tùy chỉnh nào để đánh cắp tài sản của người dùng.

• Giấy phép câu cá

Permit là một chức năng mở rộng của giao thức ERC 20, cho phép người dùng hoàn tất các hoạt động ủy quyền bằng cách ký tin nhắn và gửi kết quả chữ ký đến một ví khác, có thể hoàn tất các hoạt động chuyển giao tài sản. Bằng cách dụ dỗ người dùng ký ủy quyền cho phép ERC 20, kẻ tấn công có thể có được quyền chuyển giao mã thông báo của người dùng.

• chữ ký cá nhân

personal_sign thường được dùng để ký nội dung mà con người có thể đọc được, nhưng nó cũng có thể xử lý nội dung đã ký thành giá trị băm.

Ví dụ: Tin nhắn 0x62dc3e93b0f40fd8ee6bf3b9b1f15264040c3b1782a24a345b7cb93c9dafb7d8 là kết quả của văn bản thuần túy mục tiêu được băm bằng keccak 256. Người dùng bị lừa đảo không thể hiểu được nội dung của chữ ký và nếu họ ký vào đó, họ sẽ bị lừa đảo.

Chữ ký đa dạng độc hại:

Mục đích ban đầu của đa chữ ký là làm cho ví an toàn hơn, cho phép nhiều người dùng cùng quản lý và kiểm soát quyền sử dụng của cùng một ví.

Lấy TRON làm ví dụ, TRON multi signature được chia thành Owner (quyền hạn cao nhất, có thể quản lý quyền và thực hiện mọi hoạt động), Witness (tham gia quản lý bỏ phiếu) và Active (sử dụng cho các hoạt động hàng ngày, chẳng hạn như chuyển nhượng hoặc gọi hợp đồng). Khi một tài khoản mới được tạo, địa chỉ tài khoản có quyền Owner theo mặc định.

Khi kẻ tấn công lấy được khóa riêng của người dùng thông qua trang web/ứng dụng lừa đảo, kẻ tấn công có thể chuyển hoặc ủy quyền cho Chủ sở hữu/Hoạt động đến địa chỉ của chính mình. Lưu ý rằng việc chuyển sẽ xóa quyền Chủ sở hữu của người dùng, trong khi ủy quyền không xóa quyền của người dùng. Tuy nhiên, trong mọi trường hợp, người dùng sẽ mất quyền chuyển tài sản ví.

Vì người dùng vẫn có thể chuyển tiền, kẻ tấn công có thể chơi trò chơi dài hạn và không chuyển tài sản của nạn nhân ngay lập tức. Kẻ tấn công sẽ chỉ chuyển tiền sau khi nạn nhân phát hiện ra rằng ví của mình đã bị ký nhiều lần một cách độc hại và ngừng chuyển tiền.

Công cụ cửa sau:

• Ngụy trang thành một công cụ khoa học

Các công cụ khoa học thường đề cập đến các công cụ hỗ trợ giao dịch được một số người dùng nâng cao (còn gọi là nhà khoa học) sử dụng trong hệ sinh thái blockchain, chẳng hạn như các công cụ được sử dụng để nhanh chóng đúc NFT, gửi token theo đợt hoặc nhanh chóng thực hiện một số hoạt động phức tạp trên chuỗi. Các công cụ như vậy phổ biến trong số những người dùng thị trường chính vì chúng có thể cải thiện đáng kể hiệu quả hoạt động.

Tuy nhiên, kẻ tấn công sẽ giả vờ là nhà phát triển các công cụ như vậy và phát hành các công cụ có vẻ hợp pháp, nhưng thực tế là cài đặt các chương trình cửa hậu bên trong các công cụ. Các chương trình cửa hậu này có thể bí mật lấy được khóa riêng hoặc mã ghi nhớ khi người dùng sử dụng các công cụ hoặc trực tiếp thao túng ví của người dùng để gửi mã thông báo đến ví do kẻ tấn công chỉ định. Sau đó, kẻ tấn công có thể kiểm soát ví của người dùng thông qua thông tin nhạy cảm này.

• Plugin trình duyệt giả mạo

Nhiều người dùng thích sử dụng các plug-in trình duyệt (như MetaMask, Token Pocket) để tạo điều kiện cho các giao dịch blockchain. Kẻ tấn công có thể lừa người dùng cài đặt các plug-in giả mạo thông qua các trang web lừa đảo. Sau khi cài đặt, các plug-in này sẽ bí mật ghi lại hành vi giao dịch của người dùng, đánh cắp khóa riêng tư và thực hiện nhiều chữ ký.

• Công cụ tăng tốc giao dịch hoặc tối ưu hóa

Các công cụ như vậy thường tuyên bố giúp người dùng tăng tốc xác nhận giao dịch hoặc tối ưu hóa hoạt động trên chuỗi và người dùng thường cần nhập khóa riêng hoặc chữ ký để sử dụng các chức năng này. Kẻ tấn công dụ người dùng nhập thông tin khóa trong quá trình sử dụng và bí mật ghi lại thông tin đó.

Gửi khóa riêng tư/mnemonic:

Những kẻ tấn công sẽ tạo ra một số trang web giao dịch giả mạo hoặc ứng dụng Telegram (như Pepebot giả mạo), yêu cầu người dùng cung cấp khóa riêng hoặc mã ghi nhớ để liên kết ví của họ và lừa người dùng thực hiện các giao dịch "chó" hoặc các hoạt động khác. Trên thực tế, những kẻ tấn công sử dụng các phương tiện này để đánh cắp khóa riêng của người dùng và sau đó chuyển tất cả tài sản trong ví của họ.

Phân tích trường hợp điển hình

Lừa đảo Airdrop giả mạo:

Khi dự án Wormhole phát hành thông báo airdrop, nhiều tài khoản Twitter đã bắt chước tài khoản chính thức và phát hành liên kết airdrop giả mạo. Hình 1 Chủ sở hữu dự án là @studioFMmilano· 1 giờ, Hình 2 Chủ sở hữu dự án giả mạo là @studioFMmilano, trong khi chủ sở hữu dự án thực sự là @wormhole.

Tạo chữ ký ví:

Chữ ký trang web giả mạo:

Lấy trang web lừa đảo moonbirds-exclusive.com/ làm ví dụ. Trang web này là trang web giả mạo bắt chước www.proof.xyz/moonbirds. Khi người dùng kết nối với ví và nhấp vào Claim, hộp ứng dụng chữ ký sẽ bật lên. Lúc này, Metamask sẽ hiển thị cảnh báo màu đỏ, nhưng vì nội dung chữ ký không được hiển thị rõ ràng trên cửa sổ bật lên nên người dùng khó xác định đây có phải là bẫy hay không. Sau khi người dùng ký, kẻ lừa đảo có thể sử dụng khóa riêng của người dùng để ký bất kỳ giao dịch nào, bao gồm cả chuyển giao tài sản.

Chữ ký cho phép:

Trong thời gian staking, một người dùng đã ký một giấy phép trên một trang web lừa đảo. Người dùng đã kiểm tra ngay lập tức và không thấy có sự ủy quyền bất thường nào. Tuy nhiên, sau đó, trang web lừa đảo đã tải chữ ký ủy quyền ngoại tuyến của giấy phép lên chuỗi, điều này đã mở ra một rủi ro ủy quyền cho các tài sản mục tiêu tại địa chỉ mục tiêu. Tuy nhiên, người dùng mục tiêu không biết điều này cho đến khi người dùng mục tiêu đề xuất việc staking lại các tài sản ETH có liên quan, mà trang web lừa đảo đã chuyển ngay lập tức. Kết quả là, người dùng đã mất $2,12 triệu.

Hình 3. Tài khoản được ký bằng quyền cho phép ngoại tuyến

Chữ ký đa dạng độc hại:

Có nhiều phương pháp lừa đảo đa chữ ký độc hại, phổ biến nhất là kẻ tấn công cố tình tiết lộ khóa riêng tư hoặc plugin/ví giả mạo

Kẻ tấn công cố tình tiết lộ khóa riêng tư:

Kẻ tấn công rò rỉ khóa riêng tư trên phương tiện truyền thông xã hội hoặc thông qua các kênh khác và sử dụng nhiều chiến thuật khác nhau để lừa nạn nhân chuyển tài sản được mã hóa vào ví. Sau khi nạn nhân thấy rằng tài sản không thể chuyển ra ngoài, kẻ tấn công chuyển tài sản trong ví.

Ví TokenPocket giả:

Nạn nhân đã tìm kiếm ví TP trên công cụ tìm kiếm và tải xuống ví TP thay vì trang web chính thức. Tuy nhiên, ví thực sự được tải xuống không phải là ví chính thức mà là ví giả do kẻ tấn công khởi chạy trên Internet. Sau khi người dùng liên kết mã ghi nhớ, ví của nạn nhân sẽ tự động được ký nhiều lần, khiến việc chuyển tài sản trở nên không thể.

Công cụ cửa sau:

Nạn nhân tìm thấy một blogger trên Twitter tự nhận là chuyên gia về "massage" WEB-3 và phát triển nhiều tập lệnh khác nhau. Nạn nhân đã tải xuống và chạy tập lệnh do blogger tặng miễn phí, chỉ để phát hiện ra rằng ví của mình đã bị xóa và anh ta đã mất các token trị giá 700 USDT.

Cách ngăn chặn các cuộc tấn công lừa đảo Blockchain

• Xác minh liên kết và URL

Khi truy cập bất kỳ trang web nào liên quan đến tiền điện tử, hãy luôn xác minh tính xác thực của liên kết và URL. Những kẻ tấn công lừa đảo thường tạo ra các trang web giả mạo rất giống với trang web chính thức, chỉ thay đổi một vài ký tự, điều này có thể dễ dàng dẫn đến gian lận. Do đó, bước đầu tiên để ngăn chặn là:

1. Tránh nhấp vào các liên kết lạ: Hãy hết sức thận trọng khi nhận bất kỳ email, tin nhắn trên mạng xã hội hoặc liên kết lạ nào từ các nguồn không xác định, đặc biệt là những liên kết được cho là thông tin khuyến mại, hoạt động airdrop hoặc thông báo về sự cố tài khoản từ các kênh chính thức.

2. Sử dụng dấu trang để lưu các trang web chính thức thường dùng: Khi truy cập các sàn giao dịch tiền điện tử hoặc dịch vụ ví, bạn nên sử dụng dấu trang được lưu trực tiếp trong trình duyệt thay vì tìm kiếm qua các công cụ tìm kiếm để tránh vô tình truy cập vào các trang web lừa đảo.

• Xác thực đa yếu tố (2FA)

Xác thực đa yếu tố (2FA) là một trong những biện pháp quan trọng để tăng cường bảo mật tài khoản. Khi đăng nhập vào tài khoản, ngoài mật khẩu, cần phải có thêm một bước xác minh, thường là thông qua mã xác minh động được tạo bởi tin nhắn SMS trên điện thoại di động hoặc ứng dụng xác thực để xác nhận danh tính.

1. Bật 2FA: Đảm bảo bật 2FA cho tất cả tài khoản tiền điện tử hỗ trợ, bao gồm tài khoản sàn giao dịch, ứng dụng ví, v.v. Ngay cả khi kẻ tấn công có được mật khẩu của bạn, chúng vẫn không thể đăng nhập vào tài khoản của bạn mà không có mã xác minh 2FA.

2. Sử dụng ứng dụng xác thực: Hãy thử sử dụng ứng dụng xác thực như Google Authenticator hoặc Authy thay vì xác minh qua SMS vì SMS có thể dễ bị tấn công chiếm đoạt SIM.

3. Cập nhật thiết bị 2FA thường xuyên: Đảm bảo điện thoại di động hoặc thiết bị xác minh được liên kết của bạn được cập nhật. Nếu điện thoại di động của bạn bị mất hoặc thay thế, hãy cập nhật thiết bị 2FA kịp thời để tránh rủi ro bảo mật.

• Đào tạo nhận thức an toàn

Các cuộc tấn công lừa đảo blockchain liên tục thay đổi, do đó cần phải liên tục học hỏi và nâng cao nhận thức về bảo mật.

1. Chú ý đến các cộng đồng và tin tức về bảo mật: Thường xuyên chú ý đến các tin tức, blog và diễn đàn cộng đồng liên quan đến bảo mật blockchain và tiền điện tử để có được thông tin bảo mật mới nhất và các cảnh báo để tránh rơi vào các bẫy lừa đảo mới.

2. Cảnh giác: Hình thành thói quen kiểm tra cẩn thận nội dung hoạt động trước bất kỳ hoạt động nhạy cảm nào (như ký xác thực, chuyển giao dịch) và không tự ý kết nối với ví hoặc thực hiện các hoạt động ký trên các trang web hoặc nền tảng lạ.

• Quản lý bảo mật ví

Ví là công cụ lưu trữ cốt lõi cho tiền điện tử. Quản lý bảo mật ví đúng cách đóng vai trò quan trọng trong việc ngăn chặn các cuộc tấn công lừa đảo.

1. Không tiết lộ mã ghi nhớ hoặc khóa riêng: Mã ghi nhớ và khóa riêng là chìa khóa để kiểm soát ví. Một khi bị rò rỉ, kẻ tấn công có thể trực tiếp lấy được tài sản trong ví. Do đó, mã ghi nhớ và khóa riêng phải được lưu giữ đúng cách, không bao giờ tiết lộ cho bất kỳ ai và không được lưu trữ trên các thiết bị được kết nối mạng.

2. Sử dụng ví lạnh để lưu trữ số lượng lớn tài sản: Ví lạnh là ví không được kết nối với Internet, thường là ví phần cứng, an toàn hơn. Đối với số lượng lớn tài sản được giữ trong thời gian dài, nên lưu trữ chúng trong ví lạnh để ngăn chặn các cuộc tấn công trực tuyến.

3. Sử dụng ví nóng hợp lý: Ví nóng là ví được kết nối với Internet, thuận tiện cho các giao dịch hàng ngày, nhưng tương đối kém an toàn. Nên để một lượng nhỏ tiền giao dịch hàng ngày vào ví nóng và cố gắng lưu trữ phần lớn tiền vào ví lạnh để phân tán rủi ro.

4. Sao lưu dữ liệu ví thường xuyên: Đảm bảo rằng các ký hiệu ghi nhớ, khóa riêng hoặc mật khẩu khôi phục của ví được sao lưu đáng tin cậy. Bạn nên lưu trữ thông tin sao lưu ở nơi an toàn, ngoại tuyến, chẳng hạn như thiết bị USB được mã hóa hoặc giấy tờ vật lý.

Phần kết luận

Trong thế giới blockchain, mọi bước hoạt động của người dùng đều có thể ảnh hưởng trực tiếp đến tính bảo mật của tài sản. Với sự phát triển của công nghệ, các phương thức tấn công lừa đảo cũng liên tục được nâng cấp, vì vậy chúng ta phải luôn cảnh giác cao độ, nâng cao nhận thức tự bảo vệ và tránh rơi vào tình trạng lừa đảo. Cho dù là xác minh liên kết, sử dụng thiết bị bảo mật, bật xác thực đa yếu tố hay quản lý ví đúng cách, những biện pháp nhỏ này có thể xây dựng một tuyến phòng thủ vững chắc cho tài sản của chúng ta.

Hãy hết sức cẩn thận và đừng hành động quá vội vàng!

Lianyuan Technology là một công ty tập trung vào bảo mật blockchain. Công việc cốt lõi của chúng tôi bao gồm nghiên cứu bảo mật blockchain, phân tích dữ liệu trên chuỗi và giải cứu lỗ hổng tài sản và hợp đồng. Chúng tôi đã khôi phục thành công nhiều tài sản kỹ thuật số bị đánh cắp cho các cá nhân và tổ chức. Đồng thời, chúng tôi cam kết cung cấp báo cáo phân tích bảo mật dự án, khả năng truy xuất trên chuỗi và dịch vụ tư vấn/hỗ trợ kỹ thuật cho các tổ chức trong ngành.

Cảm ơn bạn đã đọc. Chúng tôi sẽ tiếp tục tập trung và chia sẻ nội dung bảo mật blockchain.

Bài viết này có nguồn từ internet: Mối đe dọa tiềm ẩn của thế giới blockchain: phân tích đầy đủ về các cuộc tấn công lừa đảo

Tin liên quan: Với doanh thu hàng năm thâm hụt, liệu Ethena có thể tồn tại sau đợt điều chỉnh lớn của thị trường không?

Sau một tuần, Bitcoin đã giảm xuống dưới $60.000 vào hôm qua và tiếp tục giảm vào hôm nay để đạt $49.000, giảm 18,5% trong 24 giờ. Ethereum đã giảm mạnh 25% xuống dưới $2.100 và thị trường tiền điện tử đã giảm trên diện rộng. Sự sụp đổ của thị trường đã khiến thị trường tiền điện tử vốn đã trì trệ trở nên tồi tệ hơn và lĩnh vực DeFi vốn đã trì trệ đã bị ảnh hưởng nặng nề. Theo dữ liệu của DeFiLlama, doanh thu của Ethena Labs đã âm trong tháng qua. Nếu tính doanh thu hàng năm dựa trên dữ liệu này (doanh thu trong 30 ngày qua x 12), thì doanh thu hàng năm của Ethena Labs là khoảng âm $32,95 triệu. Đồng tiền ổn định thuật toán USDe do Ethena Labs ra mắt hiện đang dựa vào BTC thế chấp, stETH và thu nhập vốn có của nó, đồng thời tạo ra các vị thế bán khống Bitcoin và ETH để cân bằng Delta và sử dụng nguồn tài trợ vĩnh viễn/tương lai…