Gần đây, nhiều người dùng báo cáo rằng ví của họ tự động chuyển tiền, nhưng mỗi lần số tiền chuyển là 0 USDT, họ rất cảnh giác và hỏi liệu ví của họ có bị đánh cắp hay không.
Trên thực tế, đây là một vụ lừa đảo rất phổ biến, trong đó kẻ tấn công lợi dụng lỗ hổng cố hữu của hợp đồng token EVM để thực hiện các giao dịch chuyển tiền độc hại. Bạn không cần phải hoảng sợ, ví của bạn vẫn an toàn, chỉ cần bỏ qua nó.
Ví dụ: sau khi nạn nhân A gửi 500 USDC cho B trong một giao dịch bình thường, một thời gian sau, anh ta sẽ nhận được 0 USDC từ C (hacker) và đồng thời, chính người dùng A sẽ không kiểm soát được việc chuyển 0 USDC cho C trong cùng một mã băm giao dịch, hiện thực hóa việc chuyển 0 USDC.
Lý do là hàm TransferFrom của hợp đồng token không buộc số tiền được ủy quyền chuyển phải lớn hơn 0, vì vậy có thể khởi tạo một giao dịch chuyển 0 USDC từ bất kỳ tài khoản người dùng nào đến một tài khoản không được ủy quyền mà không bị lỗi. Kẻ tấn công độc hại lợi dụng điều kiện này để liên tục khởi tạo các thao tác TransferFrom đối với những người dùng đang hoạt động trên chuỗi để kích hoạt các sự kiện chuyển tiền.
Các sự kiện tấn công như vậy tồn tại trên cả chuỗi EVM và TRON. Vui lòng kiểm tra kỹ và sao chép đúng địa chỉ chuyển tiền để tránh mất tài sản.
Trong khi đó, OneKey đang nỗ lực thiết kế các giải pháp chống gian lận để tránh thư rác có hại và bảo vệ bạn khỏi trò lừa đảo.