Một vụ hack trị giá 440.000 đô la cho thấy mối đe dọa gia tăng từ các 'Permit Scam' trên Ethereum

Tóm tắt

• Một người nắm giữ USDC đã mất hơn $440,000 sau khi ký một giao dịch “permit” độc hại.
• Các cuộc tấn công lừa đảo “permit” chiếm phần lớn các vụ mất mát cá nhân lớn nhất trong thị trường crypto tháng 11.
• Các chuyên gia cảnh báo rằng kẻ lừa đảo dựa vào sai sót của con người và việc khôi phục tài sản gần như không thể.

Trung tâm Nghệ thuật, Thời trang và Giải trí của Decrypt.

Khám phá SCENE

Một hacker đã chiếm đoạt hơn $440,000 USDC sau khi chủ ví vô tình ký một chữ ký “permit” độc hại, theo một tweet hôm thứ Hai của Scam Sniffer.

Vụ trộm xảy ra trong bối cảnh các thiệt hại từ lừa đảo phishing tăng mạnh. Khoảng $7.77 triệu đã bị rút khỏi hơn 6,000 nạn nhân trong tháng 11, theo báo cáo hàng tháng của Scam Sniffer, ghi nhận mức tăng 137% tổng thiệt hại so với tháng 10, dù số nạn nhân giảm 42%.

🚨 Một người đã mất $440,358 trong $USDC sau khi ký một chữ ký “permit” độc hại. pic.twitter.com/USjHRUY3Lc

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) ngày 8 tháng 12, 2025

“Cuộc săn cá voi tăng cường với mức thiệt hại lớn nhất là $1.22 triệu qua (permit signature). Dù số lượng tấn công ít hơn, tổn thất cá nhân lại tăng đáng kể,” công ty nhận định.

Lừa đảo permit là gì?

Các chiêu trò lừa đảo dựa trên permit xoay quanh việc đánh lừa người dùng ký một giao dịch trông hợp pháp nhưng thật ra âm thầm trao cho kẻ tấn công quyền chi tiêu token của họ. Các dapp độc hại có thể ngụy trang các trường, giả mạo tên hợp đồng hoặc trình bày yêu cầu chữ ký như một thao tác quen thuộc.

Nếu người dùng không kiểm tra kỹ chi tiết, việc ký yêu cầu này thực chất đồng nghĩa với việc trao cho kẻ tấn công quyền truy cập tất cả token ERC-20 của người dùng. Khi đã có quyền, kẻ lừa đảo thường ngay lập tức rút hết tiền.

Phương pháp này khai thác hàm permit của Ethereum, vốn được thiết kế để giúp chuyển token dễ dàng hơn bằng cách cho phép người dùng ủy quyền quyền chi tiêu cho các ứng dụng đáng tin cậy. Tuy nhiên, sự tiện lợi này trở thành lỗ hổng khi quyền đó bị trao cho kẻ xấu.

“Điểm đặc biệt nguy hiểm của kiểu tấn công này là kẻ tấn công có thể thực hiện permit và chuyển token chỉ trong một giao dịch (kiểu đánh nhanh rút gọn) hoặc có thể tự cấp quyền truy cập qua permit rồi nằm im chờ chuyển đi các khoản tiền được nạp thêm sau này (miễn là chúng đặt hạn chót truy cập đủ xa trong metadata của permit),” Tara Annison, trưởng bộ phận sản phẩm tại Twinstake, chia sẻ với Decrypt.

“Thành công của các loại lừa đảo này dựa vào việc bạn ký một thứ mà bạn không thực sự hiểu rõ tác dụng của nó,” cô nói thêm, “Tất cả là về sự yếu đuối của con người và lợi dụng sự nôn nóng của mọi người.”

Annison bổ sung rằng đây không phải là trường hợp cá biệt. “Có rất nhiều ví dụ giá trị lớn và khối lượng cao về các vụ lừa đảo phishing được thiết kế để đánh lừa người dùng ký một thứ họ chưa hiểu rõ. Thường được thực hiện dưới dạng airdrop miễn phí, trang dự án giả để kết nối ví hoặc cảnh báo bảo mật giả để kiểm tra xem bạn có bị ảnh hưởng hay không,” cô nói thêm.

Cách tự bảo vệ

Các nhà cung cấp ví đã triển khai nhiều tính năng bảo vệ hơn. Ví dụ, MetaMask cảnh báo người dùng nếu một trang web có dấu hiệu đáng ngờ và cố gắng phiên dịch dữ liệu giao dịch sang ý định dễ hiểu. Các ví khác cũng làm nổi bật các hành động rủi ro cao. Tuy nhiên, kẻ lừa đảo vẫn không ngừng thích nghi.

Harry Donnelly, nhà sáng lập kiêm CEO Circuit, nói với Decrypt rằng các cuộc tấn công kiểu permit “khá phổ biến” và khuyên người dùng nên kiểm tra địa chỉ gửi và chi tiết hợp đồng.

“Đó là cách rõ ràng nhất để biết nếu giao thức không khớp với nơi bạn thực sự muốn chuyển tiền thì rất có thể ai đó đang cố lấy trộm tài sản của bạn,” anh nói. “Bạn có thể kiểm tra số lượng, vì họ thường cố gắng cấp quyền không giới hạn, kiểu như vậy.”

Annison nhấn mạnh rằng sự cảnh giác vẫn là biện pháp phòng thủ mạnh nhất của người dùng. “Cách tốt nhất để tự bảo vệ khỏi scam permit, approveAll hoặc transferFrom là đảm bảo bạn biết chính xác mình đang ký gì. Những hành động nào sẽ thực sự xảy ra trong giao dịch? Những hàm nào đang được sử dụng? Chúng có đúng với thứ bạn nghĩ rằng mình đang ký không?”

“Nhiều ví và dapp đã cải thiện giao diện người dùng để đảm bảo bạn không mù quáng ký một thứ gì đó và có thể thấy hệ quả của nó, cũng như cảnh báo khi có hàm rủi ro cao được sử dụng. Tuy nhiên, điều quan trọng là người dùng phải chủ động kiểm tra những gì mình ký chứ không chỉ kết nối ví rồi bấm ký,” cô cho biết.

Khi tài sản đã bị đánh cắp, khả năng lấy lại gần như là không thể. Martin Derka, đồng sáng lập kiêm trưởng nhóm kỹ thuật tại Zircuit Finance, nói với Decrypt rằng cơ hội lấy lại tài sản là “gần như bằng không.”

“Trong các cuộc tấn công phishing, bạn đang đối mặt với một cá nhân mà mục tiêu duy nhất là chiếm đoạt tài sản của bạn. Không có thương lượng, không có đầu mối liên hệ, và thường cũng không biết ai là đối phương,” ông nói.

“Những kẻ này chơi trò đánh số lượng,” Derka nói thêm, “Một khi tiền đã đi, nó sẽ không quay lại. Gần như không thể phục hồi.”