1. Một Tổng quan về Giấy phép

Hãy bắt đầu với một câu chuyện đơn giản về việc vay tiền:
Tôi dự định vay một triệu từ người bạn tốt Jack Ma. Không do dự, Jack Ma nhấc điện thoại, gọi cho ngân hàng và sau khi xác minh danh tính của mình, nói với ngân hàng: "Tôi ủy quyền cho người này người kia rút một triệu". Ngân hàng xác nhận và ghi nhật ký ủy quyền này.

Bước tiếp theo là tôi đến ngân hàng và nói với nhân viên giao dịch rằng tôi đến đây để rút một triệu đô la do Jack Ma ủy quyền. Ngân hàng kiểm tra hồ sơ ủy quyền và sau khi xác nhận tôi là người đúng, họ trao cho tôi một triệu đô la.

Câu chuyện này là một ví dụ tốt cho cách xác thực Approve hoạt động trên Ethereum. Trong quá trình này, chỉ có Jack Ma (chủ sở hữu tài sản) mới có thể gọi đến ngân hàng để cấp phép (trên chuỗi khối), và ngân hàng (hợp đồng token) quản lý những giấy phép này. Chỉ sau đó, tôi (bên được ủy quyền) mới có thể rút số tiền không vượt quá phép. Nếu ngân hàng không tìm thấy bản ghi phép, yêu cầu rút tiền của tôi sẽ bị từ chối không còn nghi ngờ.

Bây giờ, điều gì sẽ xảy ra nếu chúng ta sử dụng một phương pháp ủy quyền khác - Giấy phép? Làm thế nào để vay tiền từ Jack Ma trong trường hợp đó?

Lần này, tôi xin mượn thêm một triệu. Như mọi khi, Jack Ma rất hào phóng, ông không thậm chí gọi cho ngân hàng. Thay vào đó, ông rút sổ séc, điền số tiền, ký tên và đưa nó cho tôi. Sau đó, tôi mang séc này đến ngân hàng. Mặc dù ngân hàng không có bất kỳ hồ sơ ủy quyền nào, nhưng ngân hàng có thể xác minh chữ ký của Jack Ma trên séc và dựa vào đó, trao cho tôi số tiền đã chỉ định.

Bây giờ, bạn có thể thấy được sự khác biệt trong quá trình. Phê duyệt, là một chức năng ERC-20 cốt lõi, đã được sử dụng rộng rãi kể từ sau khi Ethereum ra mắt. Vậy tại sao phương thức Permit được giới thiệu trong ERC-2612 để đạt được kết quả tương tự?

2. Tại Sao Cần Giấy Phép?

Đề xuất ERC-2612 đã được giới thiệu vào tháng 3 năm 2019 và hoàn tất đợt xem xét cuối cùng vào tháng 10 năm 2022. Việc triển khai của nó chặt chẽ liên quan đến những đợt tăng đột ngột trong giá gas mà Ethereum mainnet đã trải qua trong khoảng thời gian đó.

Hình ảnh: Giá Gas Mạng chính ETH vẫn cao từ năm 2020 đến năm 2022

Sự kết hợp của một thị trường bò điên cuồng và hiệu ứng tạo ra tài sản của các dự án trên chuỗi gợi lên sự nhiệt huyết của người dùng trong việc giao dịch trên chuỗi. Họ sẵn lòng trả phí cao hơn để giao dịch của họ được xử lý nhanh hơn vì đôi khi được xác nhận sớm một khối có thể dẫn đến lợi nhuận cao hơn đáng kể.

Tuy nhiên, điều này dẫn đến một khía cạnh tiêu cực: khi người dùng muốn giao dịch token trên chuỗi, họ thường phải chịu mức phí gas cắt cổ hơn. Dưới phương pháp Approve, hoàn thành một giao dịch token đơn lẻ yêu cầu hai giao dịch (TX). Đối với người dùng có số vốn nhỏ, các phí giao dịch có thể là ác mộng.

Sự giới thiệu của ERC-2612 về Permit đã thay đổi quy trình này bằng cách thay thế việc phê duyệt trên chuỗi bằng chữ ký ngoại tuyến, không cần phải nộp ngay lập tức. Người dùng chỉ cần cung cấp sự cho phép khi chuyển đổi mã thông báo, tương tự như trong câu chuyện vay mượn, tôi chỉ cần hiển thị chi phiếu của Jack Ma khi rút tiền từ ngân hàng.

Busy Jack Ma giúp anh ấy tiết kiệm một cuộc gọi điện thoại, và dường như người dùng cũng tiết kiệm một TX. Khi giá gas cao, tiết kiệm phí có thể đáng kể, khiến nó trở nên như một tình huống đôi bên đều thắng. Tuy nhiên, ít ai nhận ra rằng hộp của Pandora đang được mở một cách yên lặng...

3. Sự tăng trưởng bùng nổ như một vụ nổ núi lửa

Trước khi Giấy phép xuất hiện, một trong những chiến thuật phổ biến mà tin tặc sử dụng để lừa người dùng tiền điện tử là lừa họ ký giao dịch Phê duyệt. Vì các giao dịch này yêu cầu người dùng phải chi tiêu gas, nó thường làm dấy lên nghi ngờ, khiến tin tặc khó thành công hơn. Ngay cả khi người dùng vô tình nhấp vào giao dịch, thực tế là phải mất một thời gian để được xác nhận trên chuỗi đã cho họ cơ hội gửi một giao dịch khác với cùng một nonce để hủy bỏ nó — khiến tin tặc tương đối khó thực hiện kế hoạch của họ.

Tuy nhiên sự xuất hiện của Permit như một giấc mơ thành hiện thực đối với các hacker. Không giống như Approve, Permit không tiêu thụ gas và chỉ yêu cầu một chữ ký, điều này giảm thiểu đáng kể sự cảnh giác của người dùng. Hơn nữa, do tính chất của chữ ký offline, quyền kiểm soát nằm trong tay của hacker. Không chỉ người dùng không có cơ hội để hoàn tác sai lầm của mình, mà hacker còn có thể giữ quyền ủy quyền và tấn công vào thời điểm thuận lợi nhất, tối đa hóa lợi nhuận của họ.

Điều này đã dẫn đến sự tăng đáng kể trong số lượng nạn nhân cáo lừa và số tiền bị đánh cắp. Theo thống kê từ @ScamSniffer"">@ScamSniffer:

• Năm 2023, tổng số tiền mất mát do lừa đảo lên tới 295 triệu đô la.
• Trong nửa đầu năm 2024, con số này đã vượt qua 314 triệu đô la.
• Vào cuối quý 3 năm 2024, đã xảy ra một sự cố lớn: địa chỉ ví của một nhân vật nổi tiếng, được nghi ngờ là Shenyu, đã trở thành nạn nhân của một cuộc tấn công lừa đảo Permit, dẫn đến việc mất đi 12.000 spWETH, trị giá khoảng 200 triệu RMB.

Hình ảnh: Báo cáo tấn công lừa đảo của ScamSniffer trong nửa đầu năm 2024

Một kịch bản như vậy có thể đã vượt xa những gì các nhà phát triển ban đầu đã hình dung. Mục đích của việc giới thiệu Permit là để giảm chi phí gas, cải thiện trải nghiệm người dùng và tăng hiệu suất. Những gì được cho là một thanh gươm có hai lưỡi, với cả lợi và hại, cuối cùng lại trở thành một lưỡi dao một mặt - sắc như dao cạo - tạo ra một lỗ hổng to lớn trong lá chắn được cho là bảo vệ tài sản của người dùng.

Giấy phép không phải là phương pháp ủy quyền duy nhất dựa trên chữ ký. Ví dụ, Uniswap sau đó giới thiệu Permit2, cho phép tất cả các token ERC-20 hỗ trợ chữ ký ngoại tuyến. Là DEX số 1, bước đi của Uniswap đã tăng sự phụ thuộc của người dùng vào chữ ký ngoại tuyến, từ đó tăng nguy cơ tấn công lừa đảo.

4. Làm thế nào để Tránh các Rủi ro?

Là người dùng thông thường, chúng ta có thể thực hiện những bước nào để tránh thiệt hại và bảo vệ bản thân khỏi con dao Damocles này - một lưỡi dao sắc - treo trên đầu chúng ta?

1⃣ Tăng cường nhận thức

• Hãy bình tĩnh khi bị cám dỗ bởi airdrops.
  Airdrops từ các dự án tiền điện tử có vẻ hấp dẫn, nhưng hầu hết thời gian, chúng là các cuộc tấn công lừa đảo được ngụy trang thành airdrops. Khi gặp thông tin như vậy, đừng vội vàng đòi nó. Thay vào đó, xác minh tính hợp pháp của airdrop và trang web chính thức từ nhiều nguồn tin cậy để tránh rơi vào bẫy lừa đảo.

• Tránh ký mù
  Nếu bạn vô tình truy cập vào một trang web lừa đảo và không nhận ra điều đó, hãy dành một chút thời gian để xem xét cẩn thận giao dịch khi ví của bạn nhắc bạn ký. Nếu các thuật ngữ như Permit, Permit2, Approval hoặc TăngAllowance xuất hiện, điều đó có nghĩa là giao dịch đang yêu cầu ủy quyền token. Tại thời điểm này, bạn nên thận trọng vì airdrop hợp pháp không yêu cầu quá trình này. Ví phần cứng Keystone đã triển khai các tính năng phân tích cú pháp và hiển thị giao dịch, cho phép người dùng hiểu rõ hơn về chi tiết giao dịch và tránh ký mù, điều này có thể dẫn đến hậu quả nghiêm trọng từ các quyết định vội vàng.

Hình ảnh: Keystone Hardware Wallet, Rabby Wallet Phân tích và Hiển thị Giao dịch Chữ ký Permit2

2⃣ Sử dụng Công cụ Tốt

• ScamSniffer
  Đối với người dùng bình thường, việc xác định chính xác các trang web lừa đảo có thể rất khó khăn và dễ để một số trang trượt qua. Bằng cách sử dụng tiện ích trình duyệt của ScamSniffer, bạn sẽ nhận được cảnh báo khi cố gắng truy cập vào các trang web lừa đảo tiềm năng, cho phép bạn có cơ hội ngừng tương tác trước khi quá muộn.

• Thu hồi
  Revoke.cashcho phép bạn xem các quyền ủy quyền token trong ví của bạn. Chúng tôi khuyến nghị thu hồi bất kỳ quyền ủy quyền nghi ngờ hoặc không giới hạn nào. Thực hành tốt là thường xuyên dọn dẹp các quyền ủy quyền của bạn và giới hạn chúng chỉ thành các khoản cần thiết.

3⃣ Phân tách Tài sản và Multi-Sig
Như câu ca dao điền, đừng đặt tất cả trứng vào một rổ - nguyên tắc này cũng áp dụng cho tài sản tiền điện tử. Ví dụ, bạn có thể lưu trữ số lượng lớn tài sản trong ví lạnh như Keystone, trong khi sử dụng ví nóng cho giao dịch hàng ngày. Ngay cả khi bạn trở thành nạn nhân của một cuộc tấn công, toàn bộ số dư của bạn sẽ không bị đe dọa.

Đối với những người có nhu cầu bảo mật cao hơn, sử dụng ví đa chữ ký (multi-sig) có thể tăng cường bảo vệ hơn nữa. Tài sản theo đa chữ ký chỉ có thể được di chuyển khi đạt đến một ngưỡng phê duyệt ví nhất định. Nếu một ví bị xâm phạm nhưng ngưỡng không được đáp ứng, tin tặc sẽ không có quyền truy cập vào tài sản của bạn.

5. Kết luận

Mặc dù chúng ta không thể phủ nhận giá trị mà Permit mang lại, số vụ trộm ngày càng tăng cũng cho thấy rằng những rủi ro mà nó mang lại có thể vượt quá những lợi ích của nó. Giống như phương pháp ethsign cũ, mà hacker ưa thích do khả năng đọc kém và lỗ hổng bảo mật đáng kể, Permit hiện đã bị vô hiệu hóa bởi hầu hết phần mềm ví tiền, với các phiên bản thay thế an toàn hơn.

Khi chúng tôi tập trung vào Permit, chúng ta có phải đứng ở một ngã rẽ tương tự như ethsign? Câu hỏi liệu có nên cải tiến và nâng cấp hay hoàn toàn bỏ đi là điều mà các nhà phát triển ETH cần dành thời gian để xem xét và thảo luận.

Trước khi đưa ra bất kỳ kết luận nào, Keystone nhằm mục tiêu tăng cường phòng ngừa rủi ro liên quan đến Permit trên ví cứng của mình. Chúng tôi đang khởi xướng một cuộc bỏ phiếu để thêm các tính năng sau:

• Cảnh báo mạnh mẽ cho giao dịch Permit/Permit2
• Một công tắc để tắt chức năng Cho phép/Cho phép2

Miễn trừ trách nhiệm:

1. Bài viết này được tái bản từ [GateKeystoneCN], và bản quyền thuộc về tác giả gốc [KeystoneCN], nếu bạn có bất kỳ ý kiến ​​nào về việc sao chép lại, vui lòng liên hệ Gate Learn Team , nhóm sẽ xử lý trong thời gian sớm nhất theo quy trình liên quan.
2. Miễn trừ trách nhiệm: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ đại diện cho quan điểm cá nhân của tác giả và không đại diện cho bất kỳ lời khuyên đầu tư nào.
3. Bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi có ghi chú, việc sao chép, phân phối hoặc đạo văn bản dịch là không được phép.