Trải nghiệm nhanh Xiaomi TV A/A Pro Series 2026: Tham vọng trở thành "TV quốc dân" với loạt tính năng tiện lợi
Lừa đảo honeypot crypto là gì và làm thế nào để phát hiện ra nó?
Không có gì bí mật khi các trò lừa đảo tiền điện tử xảy ra thường xuyên hơn nhiều so với các lĩnh vực khác. Điều tồi tệ hơn cả là hầu hết những người bị ảnh hưởng là những chủ sở hữu tiền điện tử vô tội, những người này bằng cách nào đó đã bị lừa giao tiền của họ cho một kẻ lừa đảo.
Trong số các loại lừa đảo tiền điện tử, điển hình phải kể đến ‘Honeypot’.
Các chương trình hợp đồng thông minh trên một mạng lưới các node phi tập trung có thể được thực thi trên các blockchain hiện đại như Ethereum. Các hợp đồng thông minh ngày càng trở nên phổ biến và có giá trị, khiến chúng trở thành mục tiêu hấp dẫn hơn đối với những kẻ tấn công. Một số hợp đồng thông minh đã bị tin tặc nhắm mục tiêu trong những năm gần đây.
Tuy nhiên, một xu hướng mới xuất hiện: những kẻ tấn công không còn tìm kiếm các hợp đồng nhạy cảm mà đang áp dụng một chiến lược chủ động hơn. Chúng nhằm mục đích lừa nạn nhân rơi vào bẫy bằng cách gửi các hợp đồng có vẻ dễ bị tổn thương nhưng ẩn chứa những cái bẫy. Honeypots là một thuật ngữ được sử dụng để mô tả loại hợp đồng độc hại này. Nhưng, bẫy honeypot crypo là gì?
Honeypot là hợp đồng thông minh có vẻ như có vấn đề về thiết kế cho phép người dùng tùy ý rút Ether (tiền tệ bản địa của Ethereum) khỏi hợp đồng nếu người dùng gửi trước một lượng Ether cụ thể vào hợp đồng. Tuy nhiên, khi người dùng cố gắng khai thác lỗ hổng rõ ràng này, một cửa sập sẽ mở ra lỗ hổng thứ hai, lỗ hổng này không được người dùng biết, ngăn chặn người dùng rút ether. Vậy honeypot làm gì?
Mục đích của nó là làm cho người dùng tập trung hoàn toàn vào điểm yếu có thể nhìn thấy và bỏ qua bất kỳ dấu hiệu nào cho thấy hợp đồng có lỗ hổng thứ hai. Các cuộc tấn công của Honeypot hiệu quả vì mọi người thường dễ dàng bị lừa. Do đó, mọi người không phải lúc nào cũng có thể định lượng rủi ro.
Trong các cuộc tấn công mạng tiền điện tử như honeypot, tiền của người dùng sẽ bị khóa lại, chỉ người tạo honeypot (kẻ tấn công) mới có thể khôi phục chúng.
Về cơ bản, câu chuyện lừa đảo là như thế này:
Bạn nhận được một khóa riêng tư ở đâu đó trên các kênh.
Bạn mở nó bằng ví Ethereum và thấy tài khoản đang giữ một số token có giá trị
Nhưng ví không có ETHER có nghĩa là không có gas để chuyển token
Bạn gửi một số ETHER vào ví
Trước khi bạn có thể thực hiện giao dịch từ ví để chuyển token ra ngoài, ai đó đã thực hiện một giao dịch để gửi tất cả ETHER của bạn ra khỏi ví đến một địa chỉ cụ thể!
Bạn thử lại và ETHER vẫn bị gửi đi trước khi bạn có thể làm bất cứ điều gì! Bạn đã mất ETHER!
Vậy làm sao để biết đây là lừa đảo?
Nếu bạn nhìn vào lịch sử giao dịch, bạn có thể thấy thời gian giữa sự kiện khi ai đó gửi ETHER đến hợp đồng thông minh và ETHER gửi đến một địa chỉ khác (của kẻ lừa đảo) gần như ngay lập tức (chỉ cách đó 3 khối). Vì vậy, người gửi ETHER vào là người bị lừa đảo :))
Trước hết, ví không có ETHER nhưng có giá trị lớn của token. Một trong những token có giá trị nhất là FDZ có hợp đồng thông minh ERC-20 tại đây: https://etherscan.io/address/0x23352036e911a22cfc692b5e2e196692658aded9.
Tôi đã xem xét hợp đồng thông minh của token và nhận ra rằng token này thậm chí chưa được phát hành - có nghĩa là bạn không thể tự do chuyển token từ ví sang nơi khác, token có một số logic để khóa số dư tối thiểu khiến bạn không thể gửi tất cả token từ ví đó đến ví của bạn và bạn cần đọc hợp đồng thông minh để biết bạn có thể chuyển bao nhiêu token (tôi thực sự chỉ có thể gửi khoảng 10% số token của tôi trong ví). Chức năng chuyển của token này phức tạp đến mức nó cần rất nhiều gas để thực hiện - giới hạn gas ≥ 60740 Gwei (trong khi chuyển khoản thông thường cho ETHER chỉ tốn 21000 Gwei)
Đó là lý do tại sao ai đó đã lấy được khóa riêng và mở ví, anh ta thấy rằng ví này có rất nhiều tiền trong mã thông báo FDZ và cố gắng trở thành kẻ lừa đảo bằng cách gửi một số ETHER vào và đánh cắp tất cả token, nhưng thực ra, anh ta mới là kẻ bị lừa đảo! Bởi vì kẻ lừa đảo thực sự đã thiết lập một tập lệnh tự động để gửi tất cả ETHER vào ví của kẻ lừa đảo thực sự.
Tôi đã phân tích các giao dịch chi tiết được kích hoạt bởi tập lệnh tự động và biết được rằng dường như không thể lấy cắp token ra khỏi ví này!
Nếu bạn thấy những điều này hữu ích, vui lòng like hoặc share bài viết nhé.
>> Các hình thức lừa đảo tiền điện tử 2022
Thành viên mới đăng