Một cá voi tiền điện tử vừa bị mất hơn 6 triệu USD tài sản số trong một vụ lừa đảo bằng “giấy phép” (Permit exploit), theo cảnh báo từ công ty bảo mật blockchain Scam Sniffer.
Cụ thể, nạn nhân đã bị đánh cắp stETH và aEthWBTC sau khi ký xác nhận ví tưởng chừng “vô hại”. Thực chất, đó là một yêu cầu chữ ký độc hại cho phép kẻ tấn công rút toàn bộ tài sản.
Ông Yu Xian, nhà sáng lập công ty bảo mật SlowMist, cho biết:
“Từ góc nhìn của nạn nhân, anh ta chỉ bấm vài lần để xác nhận, không mất phí gas nào. Nhưng kết quả là 6,28 triệu USD đã bốc hơi.”
Kẽ hở từ “giấy phép”
Cơ chế Permit được thiết kế để giúp người dùng dễ dàng ủy quyền chuyển token mà không cần giao dịch trên chuỗi. Tuy nhiên, chính sự tiện lợi này lại trở thành mảnh đất màu mỡ cho hacker.
- Sau khi nạn nhân ký, kẻ xấu có thể kết hợp Permit với TransferFrom để trực tiếp rút tiền.
- Giao dịch chỉ lộ diện trên chuỗi sau khi tài sản đã bị chuyển, khiến người dùng không kịp phát hiện.
Xu hướng lừa đảo gia tăng mạnh
Theo Scam Sniffer, chỉ riêng trong tháng 8, hơn 15.200 ví đã bị thiệt hại tổng cộng 12,17 triệu USD, tăng 72% so với tháng 7. Đáng chú ý, chỉ 3 tài khoản lớn đã chiếm gần một nửa số tiền bị đánh cắp, trong đó một ví mất tới 3,08 triệu USD chỉ với một lần ký.
Các chuyên gia nhận định sự gia tăng này gắn liền với các chiêu thức lừa đảo dựa trên EIP-7702 và các hợp đồng độc hại.
Cảnh báo bảo mật
Các công ty bảo mật khuyến cáo:
- Người dùng nên từ chối các yêu cầu cấp quyền không giới hạn.
- Luôn cảnh giác với bất kỳ cửa sổ bật lên nào từ ví, kể cả khi không yêu cầu phí gas.
Trong bối cảnh các vụ lừa đảo blockchain ngày càng tinh vi, việc thận trọng khi ký xác nhận ví chính là “lá chắn” quan trọng nhất để bảo vệ tài sản.
Thảo luận