
Phòng chống lừa đảo: Bài viết chi tiết giúp bạn hiểu rõ 4 chức năng chặn giao dịch rủi ro của ví OKX Web3
Tuyển chọn TechFlowTuyển chọn TechFlow

Phòng chống lừa đảo: Bài viết chi tiết giúp bạn hiểu rõ 4 chức năng chặn giao dịch rủi ro của ví OKX Web3
Bài viết này nhằm làm rõ các tình huống áp dụng bốn chức năng chặn giao dịch rủi ro mới được nâng cấp trên ví OKX Web3, đồng thời phổ biến kiến thức về nguyên lý hoạt động trong một số vụ việc bị đánh cắp tài sản.
Báo cáo lừa đảo giữa năm 2024 do Scam Sniffer công bố cho thấy, chỉ trong nửa đầu năm 2024, đã có 260.000 nạn nhân thiệt hại 314 triệu USD trên các chuỗi EVM, trong đó 20 người mỗi người mất hơn 1 triệu USD. Đáng tiếc là có một nạn nhân đã mất tới 11 triệu USD, trở thành nạn nhân bị đánh cắp lớn thứ hai trong lịch sử.
Theo báo cáo, phần lớn vụ đánh cắp token ERC20 hiện nay bắt nguồn từ việc ký các chữ ký giả mạo như Permit, IncreaseAllowance và Uniswap Permit2. Hầu hết các vụ trộm lớn đều liên quan đến Staking, Restaking, thế chấp Aave và token Pendle. Nạn nhân thường bị dẫn đến trang web giả mạo thông qua bình luận lừa đảo từ tài khoản Twitter giả.
Các cuộc tấn công lừa đảo vẫn rõ ràng là khu vực trọng điểm của các vấn đề an toàn trên chuỗi.
Là sản phẩm cấp cửa ngõ phục vụ nhu cầu giao dịch cơ bản của người dùng, ví OKX Web3 kiên định tập trung vào việc tăng cường các biện pháp bảo mật và giáo dục người dùng. Về mặt sản phẩm, nhóm phát triển gần đây đã nâng cấp chức năng chặn giao dịch rủi ro nhằm đối phó với các tình huống lừa đảo phổ biến, đồng thời cho biết sẽ tiếp tục mở rộng khả năng nhận diện nhiều kịch bản rủi ro hơn để cảnh báo người dùng.
Bài viết này nhằm giải thích rõ bốn chức năng mới được nâng cấp của ví OKX Web3 trong việc ngăn chặn giao dịch rủi ro, đồng thời phổ biến nguyên lý hoạt động đằng sau một số vụ đánh cắp điển hình, hy vọng mang lại lợi ích cho bạn.
1. Ủy quyền độc hại cho tài khoản EOA
Ngày 26 tháng 6, một người dùng đã ký nhiều chữ ký giả mạo trên trang web giả mạo Blast và mất 217.000 USD; ngày 3 tháng 7, ZachXBT báo cáo rằng địa chỉ 0xD7b2 đã trở thành nạn nhân của mạng lừa đảo Fake_Phishing 187019, khiến 6 NFT BAYC và 40 Beans bị mất (trị giá hơn 1 triệu USD); ngày 24 tháng 7, một người dùng Pendle đã bị đánh cắp khoảng 4,69 triệu USD token PENDLEPT tái stake do ký nhiều chữ ký giả mạo Permit trong vòng một giờ trước đó.
Trong hai tháng gần đây, các sự kiện mất mát do ký các loại chữ ký lừa đảo xảy ra không ít về số lượng lẫn giá trị từng vụ, đây rõ ràng đã trở thành một tình huống quan trọng gây ra các vấn đề an ninh. Phần lớn các trường hợp này đều nằm ở việc dụ dỗ người dùng ủy quyền cho tài khoản EOA của hacker.
Việc ủy quyền độc hại cho tài khoản EOA thường nghĩa là hacker dụ người dùng thực hiện hành vi ủy quyền dưới dạng các hoạt động phúc lợi khác nhau, khiến họ ký xác nhận ủy quyền địa chỉ ví của mình cho một địa chỉ EOA.
EOA (Externally Owned Accounts), còn gọi là "tài khoản bên ngoài", là một loại tài khoản trên mạng blockchain chủ yếu dựa trên Ethereum, khác với loại tài khoản còn lại trên Ethereum – tài khoản hợp đồng (Contract Account). Tài khoản EOA thuộc sở hữu của người dùng và không chịu sự kiểm soát của hợp đồng thông minh. Khi người dùng hoạt động trên chuỗi, họ thường chỉ nên ủy quyền cho tài khoản hợp đồng thông minh của dự án chứ không phải cho tài khoản EOA cá nhân.
Hiện tại, có ba cách ủy quyền phổ biến nhất: Approve là phương pháp ủy quyền thường thấy trong tiêu chuẩn token ERC-20. Nó cho phép bên thứ ba (như hợp đồng thông minh) chi tiêu một lượng token nhất định nhân danh chủ sở hữu token. Người dùng cần cấp quyền trước cho một hợp đồng thông minh nào đó một lượng token nhất định; sau đó, hợp đồng này có thể bất kỳ lúc nào gọi hàm transferFrom để chuyển những token này. Nếu người dùng vô tình cấp quyền cho một hợp đồng độc hại, những token đã được ủy quyền có thể bị chuyển đi ngay lập tức. Lưu ý rằng dấu vết ủy quyền Approve có thể được nhìn thấy trong địa chỉ ví của nạn nhân.
Permit là phương thức ủy quyền mở rộng dựa trên tiêu chuẩn ERC-20, cho phép bên thứ ba chi tiêu token thông qua việc ký tin nhắn thay vì trực tiếp gọi hợp đồng thông minh. Nói đơn giản, người dùng có thể phê duyệt việc chuyển token của mình bằng chữ ký. Hacker có thể lợi dụng phương pháp này để tấn công, ví dụ tạo một trang web giả mạo, thay nút đăng nhập ví bằng chức năng Permit, từ đó dễ dàng lấy được chữ ký của người dùng.
Permit2 không phải là tính năng tiêu chuẩn của ERC-20 mà là một đặc điểm do Uniswap giới thiệu nhằm tạo thuận tiện cho người dùng. Tính năng này giúp người dùng Uniswap chỉ cần trả phí Gas một lần khi sử dụng. Tuy nhiên, cần lưu ý rằng nếu bạn từng dùng Uniswap và đã cấp quyền hạn mức vô hạn cho hợp đồng, thì bạn có thể trở thành mục tiêu của các cuộc tấn công lừa đảo Permit2.
Permit và Permit2 là các phương thức ký ngoại tuyến, ví nạn nhân không cần trả phí Gas; phía ví hacker sẽ thực hiện thao tác đưa xác nhận lên chuỗi, do đó dấu vết ủy quyền của hai loại chữ ký này chỉ có thể thấy trong ví của kẻ lừa đảo. Hiện nay, các cuộc tấn công lừa đảo dạng ký Permit và Permit2 đã trở thành vùng trọng điểm trong lĩnh vực an toàn tài sản Web3.
Trong tình huống này, chức năng chặn giao dịch của ví OKX Web3 hoạt động như thế nào?
Ví OKX Web3 sẽ phân tích trước giao dịch đang chờ ký; nếu phát hiện giao dịch là hành vi ủy quyền và địa chỉ được ủy quyền là một tài khoản EOA, hệ thống sẽ cảnh báo người dùng, ngăn chặn việc bị tấn công lừa đảo và tổn thất tài sản.

2. Thay đổi chủ sở hữu tài khoản (owner) độc hại
Sự kiện thay đổi chủ sở hữu tài khoản độc hại thường xảy ra trên các blockchain có thiết kế cơ chế owner như TRON, Solana. Một khi người dùng ký xác nhận, họ sẽ mất quyền kiểm soát tài khoản.
Lấy ví dụ ví TRON, hệ thống quyền đa chữ ký của TRON thiết kế ba quyền khác nhau: Owner, Witness và Active, mỗi quyền có chức năng và mục đích cụ thể.
Quyền Owner có quyền cao nhất để thực hiện mọi hợp đồng và thao tác; chỉ có quyền này mới có thể sửa đổi các quyền khác, bao gồm thêm hoặc xóa các người ký khác; sau khi tạo tài khoản mới, mặc định chính tài khoản đó sở hữu quyền này.
Quyền Witness chủ yếu liên quan đến Đại diện Siêu cấp (Super Representatives), tài khoản có quyền này có thể tham gia bầu cử và bỏ phiếu cho Đại diện Siêu cấp, quản lý các thao tác liên quan đến đại diện siêu cấp.
Quyền Active dùng cho các thao tác hàng ngày, ví dụ như chuyển tiền và gọi hợp đồng thông minh. Quyền này có thể được thiết lập và sửa đổi bởi quyền Owner, thường được phân bổ cho các tài khoản cần thực hiện nhiệm vụ cụ thể, nó là tập hợp của nhiều thao tác ủy quyền (ví dụ như chuyển TRX, stake tài sản).
Một trường hợp là hacker lấy được khóa riêng tư/mnemonic của người dùng; nếu người dùng không sử dụng cơ chế đa chữ ký (tức tài khoản ví chỉ do một người kiểm soát), hacker có thể cấp quyền Owner/Active cho địa chỉ của mình hoặc chuyển quyền Owner/Active của người dùng sang cho mình, thao tác này thường được gọi là đa chữ ký độc hại.
Nếu quyền Owner/Active của người dùng chưa bị xóa, hacker sẽ sử dụng cơ chế đa chữ ký để cùng kiểm soát tài khoản. Lúc này người dùng vẫn giữ khóa riêng/mnemonic và có quyền Owner/Active nhưng không thể chuyển tài sản; khi người dùng yêu cầu rút tài sản, cần cả chữ ký của người dùng và hacker mới thực hiện được giao dịch.
Một trường hợp khác là hacker tận dụng cơ chế quản lý quyền của TRON để trực tiếp chuyển quyền Owner/Active của người dùng sang địa chỉ hacker, khiến người dùng mất quyền Owner/Active.
Kết quả của cả hai tình huống trên là như nhau: dù người dùng còn giữ quyền Owner/Active hay không, họ đều mất quyền kiểm soát thực tế đối với tài khoản; địa chỉ hacker có được quyền cao nhất, từ đó có thể thay đổi quyền tài khoản, chuyển tài sản, v.v.
Trong tình huống này, chức năng chặn giao dịch của ví OKX Web3 hoạt động như thế nào?
Ví OKX Web3 phân tích trước giao dịch đang chờ ký; nếu phát hiện trong giao dịch có hành vi thay đổi quyền tài khoản, hệ thống sẽ trực tiếp chặn giao dịch, ngăn chặn hoàn toàn việc người dùng tiếp tục ký kết, tránh tổn thất tài sản.
Do rủi ro này cực kỳ nghiêm trọng, hiện tại ví OKX Web3 sẽ trực tiếp chặn và không cho phép người dùng thực hiện giao dịch tiếp theo.

3. Thay đổi địa chỉ chuyển tiền độc hại
Tình huống giao dịch rủi ro do thay đổi địa chỉ chuyển tiền độc hại chủ yếu xảy ra trong trường hợp hợp đồng DApp được thiết kế chưa hoàn thiện.
Ngày 5 tháng 3, @CyversAlerts phát hiện địa chỉ bắt đầu bằng 0xae7ab nhận được 4 stETH từ EigenLayer, trị giá khoảng 14.199,57 USD, nghi ngờ bị tấn công lừa đảo. Đồng thời, họ chỉ ra rằng hiện đã có nhiều nạn nhân ký giao dịch giả mạo "queueWithdrawal" trên mainnet.
Angel Drainer khai thác đặc điểm bản chất của việc stake trên Ethereum, giao dịch phê duyệt khác với phương pháp "approve" ERC20 thông thường, chuyên viết mã khai thác nhắm vào hàm queueWithdrawal (0xf123991e) của hợp đồng EigenLayer Strategy Manager. Mấu chốt của cuộc tấn công là: người dùng ký giao dịch "queueWithdrawal" thực chất đã phê duyệt cho "người rút tiền độc hại" rút phần thưởng stake từ ví họ khỏi giao thức EigenLayer đến địa chỉ do kẻ tấn công chọn. Nói đơn giản, một khi bạn phê duyệt giao dịch trên trang web giả mạo, phần thưởng stake của bạn trên EigenLayer sẽ thuộc về kẻ tấn công.
Để làm khó hơn việc phát hiện tấn công độc hại, kẻ tấn công sử dụng cơ chế "CREATE2" để phê duyệt việc rút tiền đến địa chỉ rỗng. Vì đây là phương pháp phê duyệt mới nên hầu hết các nhà cung cấp bảo mật hoặc công cụ an ninh nội bộ không phân tích và xác minh loại phê duyệt này, do đó trong nhiều trường hợp nó bị đánh dấu là giao dịch lành tính.
Không chỉ riêng trường hợp này, trong năm nay, một số hệ sinh thái chuỗi công khai hàng đầu đã xuất hiện lỗi hợp đồng do thiết kế chưa hoàn thiện, dẫn đến việc địa chỉ chuyển tiền của một số người dùng bị thay đổi độc hại và gây tổn thất tài chính.
Trong tình huống này, chức năng chặn giao dịch của ví OKX Web3 hoạt động như thế nào?
Đối với tình huống tấn công lừa đảo nhắm vào EigenLayer, ví OKX Web3 sẽ phân tích các giao dịch liên quan đến "queueWithdrawal"; nếu phát hiện người dùng giao dịch ngoài trang web chính thức và rút tiền đến địa chỉ không phải của chính họ, hệ thống sẽ cảnh báo người dùng, buộc người dùng xác nhận thêm một bước để tránh bị tấn công lừa đảo.

4. Chuyển tiền đến địa chỉ tương tự
Chiêu thức tấn công chuyển tiền đến địa chỉ tương tự là lừa nạn nhân sử dụng địa chỉ giả rất giống với địa chỉ thật của họ, khiến tiền bị chuyển vào tài khoản của kẻ tấn công. Những cuộc tấn công này thường đi kèm kỹ thuật ngụy trang và ẩn giấu phức tạp; kẻ tấn công sử dụng nhiều ví và chuyển xuyên chuỗi để tăng độ khó khi truy vết.
Ngày 3 tháng 5, một cá voi lớn đã bị tấn công lừa đảo bằng địa chỉ trùng đầu và cuối, bị rút mất 1.155 WBTC, trị giá khoảng 70 triệu USD.
Logic của cuộc tấn công này chủ yếu là hacker tạo trước hàng loạt địa chỉ lừa đảo, triển khai chương trình hàng loạt; sau đó, dựa trên hoạt động người dùng trên chuỗi, họ khởi động tấn công lừa đảo bằng địa chỉ trùng đầu và cuối vào địa chỉ chuyển tiền mục tiêu. Trong sự kiện này, hacker sử dụng địa chỉ có 4 ký tự đầu và 6 ký tự cuối (sau khi bỏ "0x") giống với địa chỉ chuyển tiền mục tiêu. Sau khi người dùng chuyển tiền, hacker ngay lập tức dùng địa chỉ lừa đảo (khoảng 3 phút sau) gửi một giao dịch theo sau (địa chỉ lừa đảo chuyển 0 ETH về ví người dùng), khiến địa chỉ lừa đảo xuất hiện trong lịch sử giao dịch của người dùng.
Do người dùng có thói quen sao chép thông tin chuyển tiền gần đây từ lịch sử ví, sau khi nhìn thấy giao dịch theo sau này, họ không kiểm tra kỹ địa chỉ mình sao chép có đúng hay không, dẫn đến việc vô tình chuyển nhầm 1.155 WBTC cho địa chỉ lừa đảo.
Trong tình huống này, chức năng chặn giao dịch của ví OKX Web3 hoạt động như thế nào?
Ví OKX Web3 theo dõi liên tục các giao dịch trên chuỗi; nếu phát hiện sau một giao dịch lớn, ngay lập tức xuất hiện một giao dịch đáng ngờ không do người dùng chủ động kích hoạt, và địa chỉ tương tác trong giao dịch đáng ngờ này cực kỳ giống với địa chỉ tương tác trong giao dịch lớn, hệ thống sẽ xác định địa chỉ tương tác đó là địa chỉ tương tự.
Nếu người dùng sau đó tương tác với địa chỉ tương tự, OKX Web3 sẽ chặn và cảnh báo; đồng thời trên trang lịch sử giao dịch, hệ thống sẽ trực tiếp đánh dấu các giao dịch liên quan đến địa chỉ tương tự, ngăn người dùng bị dụ dỗ dán nhầm, gây tổn thất tài sản. (Hiện đã hỗ trợ 8 chuỗi)

Kết luận
Tổng thể, trong nửa đầu năm 2024, các sự kiện an ninh như email airdrop giả mạo và tài khoản chính thức của dự án bị hack vẫn diễn ra thường xuyên. Khi người dùng tận hưởng lợi ích từ các airdrop và hoạt động này, họ cũng đối mặt với những rủi ro an ninh chưa từng có. Hacker dụ dỗ người dùng tiết lộ khóa riêng tư hoặc thực hiện chuyển tiền độc hại bằng cách giả mạo email chính thức, địa chỉ giả, v.v. Ngoài ra, một số tài khoản chính thức của dự án cũng bị hacker tấn công, gây tổn thất tài chính cho người dùng. Đối với người dùng thông thường, trong môi trường như vậy, điều quan trọng nhất là nâng cao ý thức phòng ngừa và học sâu kiến thức an toàn. Đồng thời, hãy cố gắng lựa chọn các nền tảng có kiểm soát rủi ro đáng tin cậy.
Cảnh báo rủi ro và miễn trừ trách nhiệm
Bài viết này chỉ mang tính tham khảo. Bài viết này chỉ phản ánh quan điểm của tác giả, không phải quan điểm của OKX. Bài viết này không nhằm mục đích cung cấp (i) lời khuyên đầu tư hoặc khuyến nghị đầu tư; (ii) lời mời chào mua, bán hoặc nắm giữ tài sản kỹ thuật số; (iii) lời khuyên tài chính, kế toán, pháp lý hoặc thuế. Chúng tôi không đảm bảo tính chính xác, đầy đủ hoặc hữu ích của thông tin đó. Việc nắm giữ tài sản kỹ thuật số (bao gồm stablecoin và NFT) tiềm ẩn rủi ro cao và có thể dao động mạnh. Bạn nên cân nhắc kỹ liệu việc giao dịch hoặc nắm giữ tài sản kỹ thuật số có phù hợp với bạn hay không dựa trên tình trạng tài chính của mình. Vui lòng tham khảo ý kiến chuyên gia pháp lý/thuế/đầu tư của bạn để biết tình hình cụ thể. Bạn tự chịu trách nhiệm tìm hiểu và tuân thủ luật pháp và quy định địa phương áp dụng.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














