Gần đây, nhiều người dùng báo cáo ví của họ tự động chuyển tiền, nhưng mỗi lần số tiền chuyển là 0 USDT, họ rất hoảng sợ và hỏi chúng tôi liệu ví của họ có bị đánh cắp không.
Trên thực tế, đây là một hình thức lừa đảo rất phổ biến, trong đó kẻ tấn công lợi dụng lỗ hổng cố hữu của hợp đồng token EVM để thực hiện các giao dịch chuyển tiền độc hại. Không cần hoảng loạn, ví của bạn vẫn an toàn, chỉ cần bỏ qua.
Ví dụ: sau khi nạn nhân A gửi 500 USDC cho B trong một giao dịch bình thường, một lúc sau, anh ta sẽ nhận được 0 USDC từ C (tin tặc), và đồng thời, chính người dùng A sẽ tự động chuyển 0 USDC cho C trong cùng một mã băm giao dịch, thực hiện chuyển khoản 0 USDC.
Lý do của việc này là hàm TransferFrom của hợp đồng token không bắt buộc số tiền được ủy quyền chuyển phải lớn hơn 0, do đó có thể khởi tạo một giao dịch chuyển 0 USDC từ bất kỳ tài khoản người dùng nào đến một tài khoản không được ủy quyền mà không bị lỗi. Kẻ tấn công độc hại lợi dụng điều kiện này để liên tục khởi tạo các thao tác TransferFrom đối với người dùng hoạt động trên chuỗi để kích hoạt các sự kiện chuyển tiền.
Các sự kiện tấn công như vậy tồn tại trên cả chuỗi EVM và TRON. Vui lòng kiểm tra kỹ và sao chép đúng địa chỉ chuyển khoản để tránh mất tài sản.
Trong khi đó, OneKey đang phát triển một số thiết kế chống gian lận để tránh spam độc hại và bảo vệ bạn khỏi bị lừa đảo.