Hãy cẩn thận: Những kẻ rút tiền điện tử tận dụng các hợp đồng Uniswap hợp pháp để tấn công lừa đảo

by

Hãy cẩn thận: Những kẻ rút tiền điện tử tận dụng các hợp đồng Uniswap hợp pháp để tấn công lừa đảo

Với tư cách là một nhà đầu tư tiền điện tử dày dạn kinh nghiệm với một vài vết sẹo chiến đấu, tôi không thể không cảm thấy bực bội và thất vọng khi nghe về một cuộc tấn công lừa đảo thành công khác trong không gian DeFi. Vụ việc mới nhất liên quan đến một nạn nhân bị mất 85 Lido ETH thông qua hợp đồng Multicall của Uniswap V3 là một lời nhắc nhở rõ ràng rằng cho dù công nghệ có tiên tiến đến đâu hay chúng ta siêng năng đến đâu thì vẫn luôn có những kẻ tìm cách khai thác lỗ hổng và kiếm lợi từ sự bất hạnh của người khác.

Với tư cách là một nhà đầu tư tiền điện tử, tôi nhận thấy một xu hướng mới trong số những kẻ rút ví. Họ đang sử dụng Multicall, một tính năng hợp pháp của Uniswap V3, theo những cách sáng tạo để vượt qua các biện pháp bảo mật và thực hiện các cuộc tấn công lừa đảo tinh vi. Thật không may, chiến thuật này gần đây đã tỏ ra thành công, dẫn đến việc một nạn nhân không nghi ngờ đã lấy đi 85 Lido ETH.

Hacker đã làm điều đó như thế nào?

Với tư cách là một nhà phân tích bảo mật, tôi đã quan sát thấy xu hướng gia tăng đáng báo động trong các hoạt động hack liên quan đến việc lạm dụng chữ ký Giấy phép. Trong những sự cố này, thủ phạm đã cố gắng làm cho có vẻ như hợp đồng Uniswap Multicall là bên khởi xướng việc chuyển giao tài sản trái phép thay vì nạn nhân thực sự. Sự lừa dối này có thể dẫn đến tổn thất tài chính đáng kể cho những người dùng không nghi ngờ.

Với tư cách là một nhà đầu tư tiền điện tử, tôi muốn chia sẻ một sự việc gần đây đã xảy ra trong thế giới Web3. Đội ngũ cảnh giác tại Scam Sniffer, nền tảng chống lừa đảo đáng tin cậy của chúng tôi, đã đưa ra cảnh báo về một số kẻ lừa đảo xảo quyệt. Tận dụng chức năng tổng hợp của Multicall, những kẻ lừa đảo này đã thực hiện một giao dịch lén lút bằng cách sử dụng các tính năng cấp phép và chuyển nhượng. Nạn nhân không may mắn đã rút được 85 Lido ETH, tương đương với khoảng 269.620 đô la theo tỷ giá thị trường hiện tại.

Tội phạm đang khai thác các tính năng chính hãng của các nền tảng như Uniswap V3 và chức năng Multicall của nó để trốn tránh các cảnh báo bảo mật ví, mở đường cho các vụ lừa đảo thành công. Mới gần đây, một người dùng đã bị lừa mất 85 Lido ETH (khoảng 240.000 USD) bằng cách sử dụng các chiến thuật này cách đây 5 ngày.

— Scam Sniffer | Chống lừa đảo Web3 (@realScamSniffer) Ngày 5 tháng 5 năm 2024

Là một nhà nghiên cứu nghiên cứu các cuộc tấn công có giá trị có thể trích xuất (MEV) của thợ mỏ, tôi đã phát hiện ra rằng một phương pháp mà kẻ tấn công có thể sử dụng để tránh bị phát hiện là xác minh tỉ mỉ tính xác thực của địa chỉ gốc trước khi thực hiện bất kỳ hoạt động độc hại nào. Bằng cách đó, hành động của chúng sẽ được ngụy trang và làm phức tạp quá trình nhận dạng bot MEV.

Bất chấp nhiều nỗ lực khác nhau để giải quyết vấn đề này, việc chạy trước vẫn là một thách thức không thể vượt qua.

Bảo vệ bạn khỏi một cuộc tấn công như vậy

Với tư cách là một nhà phân tích bảo mật, tôi khuyên các nhà phát triển nên triển khai các bước kiểm tra quyền cập nhật trong hợp đồng Multicall của họ để ngăn chặn các sự cố xảy ra trong tương lai. Trong khi đó, người dùng tiền điện tử nên thận trọng trước khi phê duyệt bất kỳ mã thông báo nào để sử dụng với các hợp đồng như Uniswap Multicall.

Với tư cách là một nhà đầu tư tiền điện tử, tôi nhận ra rằng bản chất dễ dãi của quy trình phê duyệt mã thông báo ERC của Ethereum khiến nó trở thành mục tiêu hấp dẫn cho các âm mưu lừa đảo xảo quyệt. Đó là một cuộc chiến liên tục để luôn cảnh giác và bảo vệ các khoản đầu tư của tôi khỏi những cuộc tấn công độc hại này.

Trong thế giới tiền điện tử đang phát triển nhanh chóng, điều cần thiết là phải bám sát các giao thức bảo mật hàng đầu để tránh xa các thực thể độc hại và duy trì niềm tin vào hệ thống tài chính phi tập trung. Hãy cập nhật thông tin và cảnh giác để bảo vệ chính bạn!

2024-05-06 11:22