Web3 hiện còn khá non trẻ và dễ dàng trở thành "con mồi" bị tấn công, chúng ta cần có các biện pháp bảo vệ tốt hơn được tích hợp vào Web3.
Tháng 2 vừa qua chứng kiến một thủ đoạn lừa đảo trên OpenSea bằng cách gửi email giả tạo cho người dùng, các hackers muốn đánh cắp 254 NFTs bao gồm Bộ sưu tập loạt phim Decentraland và Bored Ape Yacht Club nhưng không thành công. Người dùng nhận được một email giả mạo và được yêu cầu phê duyệt hợp đồng thông minh, sau khi thực hiện điều đó chúng ta có thể mất sạch tài sản.
Lừa đảo vẫn là công cụ phổ biến nhất mà mọi người mất tiền trong Web2 và Web3, hiện nay các hợp đồng thông minh vẫn có nhiều rủi ro đáng quan tâm.
Những bài học dưới đây được đúc kết từ nhiều cuộc lừa đảo trên OpenSea.
Đánh cắp tiền điện tử thông qua hợp đồng thông minh
Hầu hết các hợp đồng thông minh hiện nay sử dụng chức năng "Phê duyệt", bạn sẽ cho phép ví của mình tương tác với ứng dụng. Microsoft sử dụng thuật ngữ "Ice phishing" để chỉ ra người dùng phê duyệt cho hành động của các hackers. Chỉ cần bạn đồng ý bên trong MetaMask, chúng ta sẽ cấp toàn quyền cho hackers truy cập vào ví. Những điều này đang diễn ra thường xuyên trên OpenSea.
Khó phân biệt được hợp đồng thông minh lừa đảo
Hình thức lừa đảo qua email đã được người dùng cảnh giác hơn và có nhiều bộ lọc thư rác hiện đại giúp chúng ta tránh được những thư lừa đảo.
Nhưng trong Web3 có những điểm khó khăn để xác định được hợp đồng thông minh này có lừa đảo hay không.
Ở ví dụ trên bạn thấy URL của trang web khi ký không giống nhau: "uniswap.org" ở bên trái và "unLswap.org" ở bên phải. Nếu người dùng không chú ý những chi tiết này và ký hợp đồng thì tất cả USDC sẽ bị đánh cắp.
Mặc dù đây là một kiểu lừa đảo cổ điển nhưng vẫn có nhiều người không chú ý và dẫn đến mất tài sản không mong muốn.
Chưa có công cụ phòng chống lừa đảo cho người dùng tiền điện tử
Công cụ sử dụng phổ biến hiện tại là lọc bỏ thư rác nhưng ít được sự chú ý của mọi người. Công cụ này giúp phát hiện hầu hết các cuộc tấn công lừa đảo trên Web2.
Trong tương lai khi bước sang Web3 không biết có công cụ nào được phát triển để bảo vệ người dùng hay không. Người dùng hiện nay có xu hướng đánh giá thấp hậu quả của các trò lừa đảo trực tuyến và dễ dàng trở thành nạn nhân của chúng.
Thực tế các trò lừa đảo vẫn là loại tội phạm mạng phổ biến nhất do tính dễ thực hiện và thu lợi tức thì. Để ngăn chặn vấn nạn trên, cộng đồng tiền điện tử và nhà phát triển phần mềm cần kết hợp lại với nhau để tìm ra những giải pháp tốt hơn.
Ý tưởng mới của Death Star để ngăn chặn các cuộc tấn công lừa đảo
Tại sự kiện EthDenver 2022, một dự án mới nổi có tên Death Star đưa ra cách để giải quyết vấn đề lừa đảo trên mạng thông qua flashbots mã nguồn mở.
Các flashbot này có thể biết tiền trong ví bạn đang được chuyển và khi phát hiện tiền chuyển đến một ví không đáng tin cậy, công cụ MEV sẽ yêu cầu mức phí giao dịch gấp đôi và chuyển tất cả tài sản người dùng sang địa chỉ thay thế.
Web3 hiện còn khá non trẻ và dễ dàng trở thành "con mồi" bị tấn công, chúng ta cần có các biện pháp bảo vệ tốt hơn được tích hợp vào Web3.
Lưu ý: Đây không phải là lời khuyên đầu tư, Thecoindesk chỉ đưa ra những thông tin xung quanh dự án, bạn phải chịu trách nhiệm trước những quyết định mình đưa ra!