Cá Voi Crypto Mất Hơn 6 Triệu USD Trong Kế Hoạch Lừa Đảo

Một cá voi crypto đã mất hơn 6 triệu USD trong Ethereum đã stake (stETH) và Bitcoin wrapped Aave (aEthWBTC) sau khi phê duyệt các chữ ký độc hại trong một kế hoạch lừa đảo vào ngày 18 tháng 9, theo công ty an ninh blockchain Scam Sniffer.

Theo công ty, các kẻ tấn công đã ngụy trang hành động của mình như một xác nhận ví thông thường thông qua các chữ ký “Permit”, điều này đã đánh lừa nạn nhân phê duyệt việc chuyển tiền mà không gây ra những dấu hiệu đáng ngờ rõ ràng.

Yu Xian, người sáng lập công ty an ninh blockchain SlowMist, lưu ý rằng nạn nhân đã không nhận ra nguy hiểm vì giao dịch không cần phí gas. Ông viết:

> “Từ quan điểm của nạn nhân, anh ấy chỉ cần nhấp vài lần để xác nhận các yêu cầu chữ ký pop-up của ví, không tốn một xu phí gas nào, và 6.28 triệu USD đã biến mất.”

Cách Thức Hoạt Động Của Các Lỗ Hổng Permit

Các phê duyệt Permit ban đầu được thiết kế để đơn giản hóa việc chuyển giao token. Thay vì nộp phê duyệt chuỗi và trả phí
phí, người dùng có thể ký một thông điệp ngoài chuỗi ủy quyền cho người chi tiêu.

Tuy nhiên, hiệu quả đó đã tạo ra một bề mặt tấn công mới cho những kẻ xấu.

Khi một người dùng ký một giấy phép như vậy, các kẻ tấn công có thể kết hợp hai chức năng—Permit và TransferFrom—để rút sạch tài sản một cách trực tiếp. Bởi vì việc ủy quyền diễn ra ngoài chuỗi, các bảng điều khiển ví không hiển thị bất kỳ hoạt động bất thường nào cho đến khi Quỹ chuyển đi.

Kết quả là, tài sản đã biến mất khi phê duyệt thực hiện trên chuỗi, và các mã thông báo đã được chuyển hướng đến ví của kẻ tấn công.

Khe hở này đã làm cho việc khai thác giấy phép trở nên hấp dẫn hơn đối với các tác nhân xấu, những người có thể chiếm đoạt hàng triệu mà không cần hack phức tạp hoặc các cuộc chiến gas tốn kém.

Thiệt hại từ lừa đảo

Vụ trộm mới nhất làm nổi bật một xu hướng rộng lớn hơn của các chiến dịch lừa đảo gia tăng.

Scam Sniffer báo cáo rằng chỉ trong tháng Tám, các kẻ tấn công đã đánh cắp 12,17 triệu đô la từ hơn 15.200 nạn nhân. Con số đó đại diện cho mức tăng 72% về thiệt hại so với tháng Bảy.

Theo công ty này, phần lớn nhất của tháng Tám
thiệt hại đến từ ba tài khoản lớn chiếm gần một nửa tổng số. Điều này bao gồm một ví đã mất 3,08 triệu đô la trong một lần khai thác duy nhất.

Trong khi đó, công ty đã quy trách nhiệm cho sự gia tăng thiệt hại do sự gia tăng của các trò lừa đảo chữ ký nhóm EIP-7702 và các chuyển khoản trực tiếp đến các hợp đồng độc hại.

Xem xét điều này, các chuyên gia bảo mật đã khuyến cáo người dùng tiền điện tử nên thận trọng khi tương tác với các yêu cầu ví và từ chối các yêu cầu cấp quyền hạn không giới hạn cho ví của họ.