Hack 440.000 USD phơi bày mối đe dọa từ các vụ lừa đảo “permit” trên Ethereum

Một hacker đã lấy cắp hơn 440.000 USD bằng USDC sau khi chủ ví vô tình ký một chữ ký “permit” độc hại, theo cảnh báo được công bố hôm thứ Hai bởi nền tảng chống lừa đảo Scam Sniffer.

Vụ việc diễn ra trong bối cảnh thiệt hại từ các cuộc tấn công phishing tăng mạnh. Riêng tháng 11, khoảng 7,77 triệu USD bị rút khỏi hơn 6.000 nạn nhân—tăng 137% so với tháng 10, dù số nạn nhân giảm 42%.

Theo báo cáo, “whale hunting” tiếp tục gia tăng với vụ lớn nhất đạt 1,22 triệu USD chỉ từ một chữ ký permit, cho thấy dù số vụ giảm nhưng mức độ thiệt hại mỗi nạn nhân lại tăng đáng kể.

Lừa đảo Permit là gì?

Các vụ lừa đảo dạng permit khai thác việc đánh lừa người dùng ký một giao dịch nhìn có vẻ hợp lệ nhưng thực chất trao cho kẻ tấn công quyền tiêu tiền của họ. Nhiều dApp độc hại ngụy trang nội dung, giả mạo tên hợp đồng hoặc tạo yêu cầu ký trông như thao tác thường ngày.

Nếu người dùng không kiểm tra kỹ, chữ ký đó sẽ cấp phép cho kẻ tấn công toàn quyền sử dụng token ERC-20 trong ví. Sau khi được cấp phép, chúng thường rút sạch tiền ngay lập tức.

Phương thức này lợi dụng hàm permit của Ethereum — vốn được thiết kế để tạo thuận tiện cho việc ủy quyền chi tiêu cho ứng dụng đáng tin cậy. Tuy nhiên, sự tiện lợi trở thành lỗ hổng khi quyền này rơi vào tay kẻ xấu.

Một sáng kiến liên cơ quan mới đã được triển khai nhằm triệt phá các mạng lưới lừa đảo crypto quốc tế, đặc biệt là các mô hình “pig butchering” gây thiệt hại hàng tỷ USD trong những năm gần đây. Nhiều cơ quan như DOJ, FBI, Secret Service và Bộ Tài chính Mỹ sẽ phối hợp để truy quét các nhóm tội phạm này.

Vì sao permit scam khó nhận biết?

Tara Annison, trưởng bộ phận sản phẩm tại Twinstake, cho biết điểm nguy hiểm là kẻ tấn công có thể rút tiền ngay trong một giao dịch hoặc chờ đợi đến khi nạn nhân nạp thêm token vào ví — miễn là chúng đã đặt thời hạn hiệu lực chữ ký đủ dài.

“Thành công của loại lừa đảo này nằm ở việc người dùng ký vào thứ họ không hiểu rõ. Nó khai thác sự chủ quan và tâm lý nóng vội của con người,” bà nói.

Bà cũng cho biết đây không phải là vụ hiếm gặp. Nhiều cuộc tấn công phishing giá trị lớn thường mạo danh airdrop miễn phí, trang web dự án giả mạo hoặc cảnh báo bảo mật giả để dụ người dùng kết nối ví và ký giao dịch.

Ví crypto tăng cường cảnh báo — nhưng chưa đủ

Các ví như MetaMask đã bổ sung tính năng cảnh báo trang web đáng ngờ và chuyển dữ liệu giao dịch sang dạng dễ hiểu hơn. Một số ví khác cũng làm nổi bật các thao tác có rủi ro cao. Tuy vậy, kẻ tấn công liên tục thay đổi chiến thuật.

Harry Donnelly, nhà sáng lập Circuit, cảnh báo rằng tấn công dạng permit “khá phổ biến” và người dùng cần kiểm tra địa chỉ gửi, hợp đồng liên quan và đặc biệt là giới hạn cấp phép — trong nhiều trường hợp kẻ xấu yêu cầu quyền chi tiêu không giới hạn.

Cách tự bảo vệ

Annison nhấn mạnh rằng kiểm tra kỹ những gì bạn sắp ký vẫn là tuyến phòng thủ quan trọng nhất:

• Hiểu rõ hành động nào sẽ xảy ra sau khi ký
• Kiểm tra chức năng đang được gọi có đúng với thao tác mình mong muốn hay không
• Không ký chỉ vì dapp yêu cầu hoặc vì lời hứa nhận thưởng

Nhiều ví đã cải thiện giao diện để giúp người dùng dễ hiểu hơn, nhưng việc cảnh giác vẫn phụ thuộc vào chính người dùng.

Theo Martin Derka, đồng sáng lập Zircuit Finance, khả năng lấy lại tiền “gần như bằng 0”.

Ông cho biết trong các cuộc tấn công phishing, nạn nhân không biết kẻ đối diện là ai, không có điểm liên hệ và kẻ tấn công luôn chỉ có một mục tiêu: lấy tiền rồi biến mất. “Một khi tiền đã đi, xem như mất hẳn,” ông nói.

Thạch Sanh