Các vụ lừa đảo 'permit' trên Ethereum báo hiệu mối đe dọa DeFi ngày càng tăng

Tóm tắt điều hành

Vụ trộm 440.000 USD nhắm vào một người dùng Ethereum duy nhất thông qua "lừa đảo permit" làm nổi bật một vector đe dọa leo thang trong hệ sinh thái tài chính phi tập trung (DeFi). Sự cố này không phải là cá biệt mà đại diện cho một sự phát triển tinh vi của các cuộc tấn công lừa đảo khai thác các chức năng cốt lõi của blockchain. Những cuộc tấn công này đặt ra một mối đe dọa kép: chúng gây ra tổn thất tài chính trực tiếp, không thể đảo ngược cho các nhà đầu tư và làm xói mòn một cách có hệ thống niềm tin của người dùng cần thiết cho sự tăng trưởng và áp dụng liên tục của các giao thức DeFi. Sự chuyên nghiệp hóa ngày càng tăng của tội phạm mạng, như được chứng minh bằng các xu hướng rộng hơn trong gian lận kỹ thuật số, cho thấy các khai thác trên chuỗi sẽ trở nên phổ biến và phức tạp hơn.

Chi tiết sự kiện

"Lừa đảo permit" tận dụng một tính năng của một số token ERC-20 được gọi là EIP-2612. Chức năng này cho phép người dùng phê duyệt việc chi tiêu token thông qua một chữ ký ngoài chuỗi thay vì một giao dịch trên chuỗi tiêu chuẩn, được thiết kế để cho phép phê duyệt không tốn phí gas. Trong cuộc khai thác này, nạn nhân đã bị kỹ thuật xã hội lừa ký một tin nhắn mà họ tin là vô hại, chẳng hạn như đăng nhập vào một dịch vụ. Tuy nhiên, chữ ký mà họ cung cấp là dành cho chức năng permit. Chữ ký này đã cấp cho địa chỉ của kẻ lừa đảo quyền chuyển token của nạn nhân, dẫn đến vụ trộm 440.000 USD. Người dùng đã không phê duyệt một giao dịch điển hình, khiến cuộc tấn công đặc biệt lừa dối.

Ý nghĩa thị trường

Sự gia tăng của các vụ lừa đảo tinh vi như vậy có ý nghĩa đáng kể đối với thị trường DeFi. Thứ nhất, nó làm tăng mối lo ngại của người dùng, có khả năng làm chậm việc áp dụng các giao thức mới đòi hỏi các quyền phức tạp. Các nhà đầu tư có thể trở nên ngày càng cảnh giác khi tương tác với các hợp đồng thông minh, lo sợ các lỗ hổng ẩn. Thứ hai, nó đặt gánh nặng lớn hơn lên các nhà phát triển ứng dụng DeFi để thiết kế giao diện người dùng truyền đạt rõ ràng và minh bạch hậu quả của việc ký bất kỳ tin nhắn nào. Việc không làm như vậy có thể dẫn đến thiệt hại về danh tiếng và mất tổng giá trị bị khóa (TVL). Sự cố này là một lời nhắc nhở rõ ràng rằng đổi mới kỹ thuật trong DeFi phải đi kèm với những tiến bộ trong bảo mật và giáo dục người dùng.

Bình luận của chuyên gia

Mặc dù không có bình luận cụ thể nào về sự cố này, cộng đồng an ninh mạng rộng lớn hơn đã cảnh báo về xu hướng này. Theo báo cáo FinCEN của Bộ Tài chính Hoa Kỳ, các khoản thanh toán liên quan đến ransomware đã tăng vọt, với hơn 2,1 tỷ USD được báo cáo từ năm 2022 đến 2024. Phần lớn các khoản thanh toán bất hợp pháp này được thực hiện bằng Bitcoin (BTC). Bill Siegel, Giám đốc điều hành của công ty phản ứng sự cố Coveware, đã nhấn mạnh sự cần thiết phải thu thập dữ liệu tốt hơn, nói rằng "các yêu cầu báo cáo bắt buộc toàn diện" là cần thiết để tạo ra "một nguồn sự thật duy nhất về mức độ nghiêm trọng và tần suất của... các cuộc tấn công." Quan điểm này trực tiếp áp dụng cho DeFi, nơi nhiều tổn thất không được báo cáo. Hơn nữa, chiến dịch "dừng lại một chút" của FBI kêu gọi người dùng tạm dừng và xác minh khi đối mặt với các yêu cầu khẩn cấp về hành động hoặc thông tin — một biện pháp phòng thủ quan trọng chống lại các chiến thuật kỹ thuật xã hội cho phép lừa đảo permit.

Bối cảnh rộng hơn

Lừa đảo permit Ethereum là một tiểu vũ trụ của một xu hướng rộng lớn hơn, liên ngành trong gian lận kỹ thuật số. Tội phạm mạng ngày càng hoạt động với sự tinh vi của các doanh nghiệp hợp pháp, tận dụng các mô hình Ransomware-as-a-Service (RaaS) và công nghệ tiên tiến. Theo các nhà nghiên cứu bảo mật, các chiến thuật hiện nay bao gồm sử dụng AI để tạo các tin nhắn lừa đảo thuyết phục, "đầu độc SEO" để thao túng kết quả tìm kiếm các số hỗ trợ khách hàng giả mạo và tạo mã QR gian lận. Tất cả các phương pháp này được thiết kế để khai thác tâm lý con người và vượt qua các biện pháp bảo vệ kỹ thuật. Vấn đề cốt lõi là sự bất đối xứng thông tin: người dùng thường không nhận thức được các quyền kỹ thuật mà họ đang cấp, một lỗ hổng mà tội phạm đang khai thác một cách có hệ thống trong cả tài chính truyền thống và bối cảnh DeFi đang phát triển. Khi cơ sở hạ tầng tài chính trở nên phi tập trung hơn và chủ quyền người dùng, trách nhiệm xác minh bảo mật ngày càng thuộc về cá nhân, khiến giáo dục và sự hoài nghi trở nên tối quan trọng.