Một địa chỉ mất 72,6 K USD ASTER vì ký chữ ký “permission” độc hại

Theo giám sát của Scam Sniffer, một nạn nhân đã ký một chữ ký “permission” độc hại và bị mất ASTER trị giá USD 72.572.

Sự cố cho thấy rủi ro khi chấp thuận quyền truy cập (permission) không rõ ràng trên ví và ứng dụng liên kết; người dùng cần kiểm tra kỹ trước khi ký mọi yêu cầu quyền để tránh mất tài sản tiền điện tử.

Sự việc

Một người dùng đã ký yêu cầu permission độc hại và bị rút ASTER trị giá USD 72.572.

Sự kiện này được phát hiện từ cơ chế giám sát mạng lưới; nạn nhân ký một chữ ký cho phép tương tác với tài sản, sau đó kẻ tấn công tận dụng quyền để chuyển Token ra khỏi ví.

Nguyên nhân và cơ chế tấn công

Tấn công tận dụng việc người dùng chấp thuận permission quá rộng hoặc không kiểm tra kỹ các tham số trước khi ký.

Khi ký permission, hợp đồng hoặc ứng dụng có thể được cấp quyền truy cập dài hạn tới Token hoặc khả năng chuyển Token; nếu permission chứa điều kiện độc hại, kẻ gian có thể rút tài sản một khi quyền được cấp.

Cách phòng ngừa cho người dùng

Không ký mọi yêu cầu permission; luôn kiểm tra nguồn, phạm vi quyền và thời hạn trước khi chấp thuận.

Sử dụng ví cứng hoặc ví có chức năng hạn chế quyền, đặt giới hạn số lượng Token được phép chuyển, kiểm tra hợp đồng trên công cụ uy tín và huỷ các permission không cần thiết để giảm rủi ro.

Nên làm gì ngay khi phát hiện mất Token?

Nhanh chóng huỷ mọi permission liên quan, chuyển phần còn lại sang ví an toàn, và báo cáo sự cố lên nền tảng liên quan; ghi lại bằng chứng giao dịch để hỗ trợ điều tra.

Làm sao xác định permission có rủi ro?

Kiểm tra các trường hợp như allowance không giới hạn, thời hạn dài, địa chỉ lạ; dùng công cụ phân tích hợp đồng để đọc rõ quyền được cấp trước khi ký.

Ví nào an toàn hơn để tránh rủi ro permission?

Ví cứng (hardware wallet) an toàn hơn khi ký giao dịch; nếu dùng ví phần mềm, chọn nhà phát triển uy tín và bật các chức năng xác thực bổ sung.

Lưu ý: Nội dung bài viết chỉ nhằm cung cấp thông tin, không phải khuyến nghị đầu tư. Vui lòng tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định. Chúng tôi không chịu trách nhiệm đối với mọi kết quả phát sinh từ quyết định đầu tư của bạn.