Gần đây, nhiều người dùng phản ánh rằng ví của họ tự động chuyển tiền, nhưng mỗi khi số tiền chuyển là 0 USDT, họ lại rất hoảng hốt và hỏi chúng tôi liệu ví của họ có bị đánh cắp hay không.
Trên thực tế, đây là một trò lừa đảo rất phổ biến, trong đó những kẻ tấn công lợi dụng lỗ hổng cố hữu của hợp đồng mã thông báo EVM để thực hiện các giao dịch chuyển tiền có mục đích xấu. Không cần phải hoảng sợ, ví của bạn vẫn an toàn, bạn chỉ cần bỏ qua nó.
Ví dụ: sau khi nạn nhân A gửi 500 USDC cho B trong một giao dịch thông thường, sau một thời gian, anh ta sẽ nhận được 0 USDC từ C (hacker), đồng thời, chính người dùng A sẽ chuyển 0 USDC sang C trong cùng một giao dịch băm, thực hiện chuyển khoản 0 USDC.
Lý do cho điều này là chức năng TransferFrom của hợp đồng token không buộc số tiền chuyển được ủy quyền phải lớn hơn 0, do đó có thể bắt đầu chuyển 0 USDC từ bất kỳ tài khoản người dùng nào sang tài khoản trái phép mà không gặp lỗi. Những kẻ tấn công độc hại lợi dụng điều kiện này để liên tục bắt đầu các hoạt động TransferFrom chống lại những người dùng đang hoạt động trên chuỗi nhằm kích hoạt các sự kiện chuyển tiền.
Các sự kiện tấn công như vậy xuất hiện trong cả chuỗi EVM và TRON. Vui lòng kiểm tra kỹ và sao chép địa chỉ chuyển khoản chính xác để tránh mất mát tài sản.
Trong khi đó Ukey đang nghiên cứu một số thiết kế chống lừa đảo để tránh thư rác có hại và bảo vệ bạn khỏi gian lận.