Xem thêm

Gas token scam: Khai thác tính năng hoàn tiền của Binance Smart Chain

4 mins
Bởi James Morales
Đã dịch Bùi Linh
Tham gia cộng đồng giao dịch của chúng tôi trên Telegram

Tóm lại

  • Sau vụ hack cầu Multichain trị giá 126 triệu USD, các chủ sở hữu ví đã được khuyến khích thu hồi các hợp đồng liên quan.
  • Nhưng thật không may, những kẻ độc hại đang lợi dụng làn sóng thu hồi để thực hiện các vụ gas token scam.
  • Hiện tại, chỉ có BSC được xác nhận là đã bị nhắm mục tiêu, nhưng các chuỗi khối theo mô hình Ethereum khác cũng có thể dễ bị tấn công.
  • promo

Các nhà nghiên cứu bảo mật đã xác định được một vụ gas token scam nhắm vào người dùng của Binance Smart Chain (BSC).

Công cụ được hacker sử dụng trong trường hợp này là gas token nhằm mục đích giúp người dùng tiết kiệm phí gas. Mặc dù đây không phải là lần đầu tiên nó diễn ra nhưng vụ hack của Multichain một lần nữa lại sử dụng hình thức này.

Tham gia Cộng đồng BeInCrypto trên Telegram để tìm hiểu về các bài phân tích kỹ thuật, thảo luận về tiền điện tử và nhận câu trả lời cho tất cả các câu hỏi của bạn từ các chuyên gia và nhà giao dịch chuyên nghiệp của chúng tôi nhé.

Tin tặc lợi dụng việc người dùng thu hồi phê duyệt đa chuỗi

Vụ lừa đảo mã thông báo gas mới nhất dường như đã phát sinh do các công cụ bảo mật khác nhau nhắc người dùng của họ thu hồi bất kỳ giao dịch không mong muốn nào. Những lời nhắc này đã được đưa ra để đối phó với vụ hack của Multichain khi mà hacker đã nhanh tay cuỗm đi số tiền khoảng 126 triệu USD các tài sản tiền điện tử.

Sau khi có tin tức rằng cầu Fantom của Multichain đã bị xâm phạm, Multichain đã kêu gọi người dùng thu hồi tất cả các phê duyệt hợp đồng liên quan đến giao thức bắc cầu xuyên chuỗi này. Sau thông báo đó, các nhà phát triển công cụ bảo mật đã nhanh chóng hành động để giảm thiểu rủi ro cho người dùng. Ví dụ, tiện ích mở rộng trình duyệt Revoke Cash đã khuyến nghị người dùng thu hồi tất cả các phê duyệt của Multichain. Ví tiền điện tử Rabby cũng vậy.

Mặc dù các nhà phát triển đã đưa ra những cảnh báo như vậy để giúp bảo vệ người dùng khỏi các mối đe dọa tiềm ẩn, nhưng ít nhất một tin tặc đã nhanh tay lợi dụng làn sóng hủy bỏ phê duyệt đó. Người dùng Twitter blanker.Eth lần đầu tiên xác định kẻ lừa đảo đã triển khai mã thông báo ERC-20 giả trên BSC để đánh cắp tiền khi người dùng thu hồi hợp đồng.

Bằng cách sử dụng một hợp đồng giả, kẻ lừa đảo đã đúc CHI vào ví của nạn nhân trước khi chuyển nó đến một địa chỉ khác. Nhưng CHI chính xác là gì? Và nó đã được sử dụng như thế nào để vượt qua hệ thống phòng thủ của ví và giúp hacker có thể đánh cắp được tiền điện tử?

Gas token được sử dụng để hút tiền

Được phát triển bởi nhóm đằng sau giao thức DeFi 1inch, CHI được gọi là gas token. Khái niệm này ban đầu được phát triển để giúp người dùng Ethereum chốt giá gas thấp để sử dụng sau này khi giá tăng. Các mã thông báo như vậy đã sử dụng một tính năng được tích hợp trong Ethereum để hoàn trả phí gas khi xóa bộ nhớ. Đó là cho đến khi bản cập nhật năm 2021 khiến gas token trở nên dư thừa trên mạng chính Ethereum bằng cách vô hiệu hóa tính năng hoàn lại tiền mà chúng đã khai thác.

Tuy nhiên, một số chuỗi khối nhất định, bao gồm cả BSC, vẫn triển khai các giao thức đã triển khai gas token. Hơn nữa, các chuỗi khối dựa trên Ethereum khác cũng có thể dễ bị tấn công. Mặc dù không có bằng chứng nào cho thấy chúng hiện đang bị khai thác theo cách này.

Thật không may, đối với BSC, điểm yếu dường như là một vấn đề lặp đi lặp lại. Ví dụ, BlockSec đã xác định được một vụ lừa đảo tương tự vào tháng Giêng. Và miễn là cơ chế hoàn trả mà gas token sử dụng vẫn còn hoạt động, những kẻ tấn công vẫn có thể sẽ tiếp tục khai thác chúng.

Sau khi họ được cảnh báo về mối đe dọa mới nhất, các nhà phát triển đằng sau Revoke Cash và Rabby đã nhanh chóng phản hồi. Theo đó, Revoke Cash đã thêm một tính năng vô hiệu hóa việc thu hồi phê duyệt nếu phí gas vượt quá một ngưỡng nhất định. Rabby đã thực hiện các biện pháp phòng ngừa tương tự.

Những nền tảng giao dịch Crypto tốt nhất tại Việt Nam | Tháng 7 năm 2024
Những nền tảng giao dịch Crypto tốt nhất tại Việt Nam | Tháng 7 năm 2024
Những nền tảng giao dịch Crypto tốt nhất tại Việt Nam | Tháng 7 năm 2024

Trusted

Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.

builink-vietnamese-cryptocurrency-content-writer-and-editor.jpg
Bùi Linh
Linh Bùi (builink) là một nhà sáng tạo nội dung trong lĩnh vực tài chính nói chung và tiền điện tử nói riêng. Với mong muốn chia sẻ các bài viết chuyên về kiến thức về thị trường tiền điện tử, builink đảm nhận công việc biên soạn các bài viết về kinh nghiệm, kiến thức cho người mới cũng như cập nhật các tin tức HOT trên thị trường thông qua những góc nhìn đa chiều hơn. Ngoài ra, builink còn giữ vai trò tổng biên tập tại BeInCrypto Việt Nam. Nhờ vào văn phong báo chí dễ tiếp cận đến độc giả,...
Chi tiết
Được tài trợ
Được tài trợ