DApp là các ứng dụng hoạt động trên blockchain với hệ thống backend sử dụng hợp đồng thông minh cho phép tương tác crypto phi tập trung mà không cần qua trung gian.
Bối cảnh DApp mang lại tiện ích chưa từng có và tiềm năng to lớn nhưng cũng có thể khiến người dùng gặp rủi ro. Các chiêu trò lừa đảo phổ biến trong lĩnh vực này bao gồm tấn công phi kỹ thuật, lừa đảo phê duyệt, giả mạo chữ ký và các trang web chỉnh sửa blockchain giả mạo nhắm mục tiêu đến ví của người dùng.
Bảo vệ bản thân bằng cách xác minh các DApp, hiểu rõ quyền trước khi phê duyệt, sử dụng tính năng bảo mật của Ví Binance và không bao giờ chia sẻ cụm từ ghi nhớ hoặc khóa riêng tư.
Trong các ứng dụng phi tập trung (DApp), bạn là chủ – nhưng cũng là tuyến phòng thủ cuối cùng. Từ các giao thức DeFi và thị trường giao dịch NFT đến các trò chơi dựa trên blockchain, DApp cho phép bạn cho vay, giao dịch và chơi bằng tiền mã hóa mà không cần qua trung gian.
Tuy nhiên, khi không có bộ phận hỗ trợ khách hàng và hợp đồng thông minh hỗ trợ mỗi thao tác, bạn thường sẽ không có nút hoàn tác sau khi phê duyệt một giao dịch hoặc ký một tin nhắn.
Trong hướng dẫn này, chúng tôi sẽ giúp bạn điều hướng DApp một cách an toàn và tự tin – từ việc phát hiện các quyền có rủi ro đến việc quản lý phê duyệt token – để bạn có thể an tâm khám phá Web3 mà không mệt mỏi đến mức mất ngủ (hay mất tiền).
Ứng dụng phi tập trung (DApp) là ứng dụng chạy trên mạng blockchain như Ethereum hoặc BNB Chain thay vì dựa vào máy chủ tập trung. Hãy coi DApp như một ứng dụng có backend công khai, minh bạch, không thể thay đổi được và sử dụng các hợp đồng thông minh.
Trên Ví Binance, bạn có thể kết nối với DApp thông qua mã QR, duyệt xem hoặc tìm kiếm trên trang [Khám phá] hoặc nhấn vào DApp đã xác minh trong ví.
Với tính chất mở của Web3, bất kỳ ai cũng có thể triển khai hợp đồng thông minh hoặc tạo giao diện DApp. Những kẻ lừa đảo đã lợi dụng sự tự do này và việc thiếu bộ phận hỗ trợ khách hàng tập trung để tạo ra các DApp “giả” bắt chước giống hệt những DApp hợp lệ. Các ứng dụng độc hại này được thiết kế tỉ mỉ để lừa người dùng ký vào các tin nhắn rủi ro hoặc phê duyệt các giao dịch gây hại, cuối cùng khiến tài sản của bạn gặp rủi ro.
Tấn công phi kỹ thuật là một trong những cách phổ biến nhất mà những kẻ lừa đảo dùng để lừa người dùng kết nối ví của họ với các DApp độc hại. Thay vì chỉ dựa vào các lỗ hổng kỹ thuật, những kẻ lừa đảo này thao túng tâm lý con người – lợi dụng các cảm xúc như sợ hãi, tò mò và sự gấp rút để làm bạn mất cảnh giác. Dưới đây là các bước điển hình trong một cuộc tấn công phi kỹ thuật.
Mạo danh: Những kẻ lừa đảo thường mạo danh làm người đại diện chính thức của các nền tảng hoặc dự án đáng tin cậy. Chúng bắt chước logo, sử dụng tên người dùng rất thuyết phục và thậm chí sao chép toàn bộ nhóm cộng đồng trên Telegram, Discord hoặc Twitter để có vẻ hợp lệ.
Xây dựng lòng tin: Trong các tin nhắn riêng tư hoặc trong các nhóm này, những kẻ lừa đảo sẽ cố gắng lôi kéo người dùng vào cuộc trò chuyện thân thiện hoặc cung cấp "sự giúp đỡ" không mong muốn và từ từ xây dựng mối quan hệ để chiếm được lòng tin.
FOMO và chiêu trò “Làm giàu nhanh chóng”: Khi đã xây dựng được mức độ tin cậy cơ bản, những kẻ lừa đảo sẽ không mất thời gian tạo ra sự gấp rút. Họ sẽ thổi phồng một cơ hội trong thời gian giới hạn – như “mở bán trước độc quyền”, “airdrop” hoặc “tiếp cận người trong nội bộ” vào một “DApp lợi suất cao”. Các nạn nhân tiềm năng gặp áp lực phải hành động ngay và tương tác với DApp độc hại hoặc có rủi ro bỏ lỡ.
Cái bẫy: Nhưng những người duy nhất làm giàu lại chính là những kẻ lừa đảo. Những DApp này thường được thiết lập để rút hết tiền từ ví của bạn ngay khi bạn ký tin nhắn phê duyệt hoặc tệ hơn – là cấp cho những kẻ lừa đảo quyền truy cập vĩnh viễn vào tiền của bạn mà bạn không biết.
Lừa đảo phê duyệt
Trong DeFi, phê duyệt là một phần bình thường khi tương tác với các hợp đồng thông minh – các phê duyệt cho phép DApp di chuyển token thay mặt bạn. Trong lừa đảo phê duyệt, các DApp độc hại lạm dụng tính năng này bằng cách nhắc nhở người dùng phê duyệt chi tiêu token lượng lớn bất thường hoặc không giới hạn.
Sau khi được phê duyệt, những kẻ lừa đảo sẽ sử dụng chức năng hợp đồng thông minh như transferFrom() hoặc gom nhiều lệnh rút token bằng multicall() để rút hết tiền từ ví của bạn theo thời gian. Vì các phê duyệt vẫn có hiệu lực cho đến khi bị thu hồi thủ công hoặc đạt đến hạn mức tiền đã đặt, kẻ lừa đảo có thể tiếp tục truy cập vào ví của bạn, rút hết các token đã được phê duyệt từ lâu sau khi tương tác ban đầu diễn ra.
Giả mạo chữ ký
Giả mạo chữ ký thường liên quan đến việc lừa người dùng ký vào dữ liệu tùy ý hoặc không đọc được bằng các phương thức như Permit hoặc Permit 2 hoặc eth_sign. Khác với giao dịch trên chuỗi bình thường, những chữ ký này diễn ra ngoài chuỗi, vì vậy không có phí gas, không có hồ sơ blockchain và không có dấu hiệu cảnh báo ngay lập tức. Khi một chữ ký hợp lệ được tạo ra, những kẻ lừa đảo có thể gửi chữ ký đó tới hợp đồng thông minh để có quyền truy cập chi tiêu vào token của bạn – đôi khi cho phép chuyển tiền hoặc cấp quyền truy cập mở rộng mà bạn không hề nhận ra.
Một ví dụ phổ biến của chiêu trò lừa đảo này sử dụng Permit và Permit2 – các phương thức phê duyệt ngoài chuỗi hợp lệ được thiết kế để đơn giản hóa tương tác với DApp.
Permit cho phép người dùng phê duyệt chi tiêu token thông qua chữ ký thay vì giao dịch phê duyệt trên chuỗi.
Permit2 mở rộng chức năng này bằng cách cho phép một chữ ký duy nhất có thể phê duyệt nhiều token, với các hạn mức có thể tùy chỉnh và cài đặt ngày hết hạn.
Mặc dù các công cụ này rất tiện lợi, nhưng những kẻ lừa đảo vẫn lạm dụng chúng bằng cách cải trang các yêu cầu Permit hoặc Permit2 độc hại thành lời nhắc vô hại. Nếu nạn nhân ký vào một trong những văn bản này, kẻ lừa đảo có thể sử dụng chữ ký đó để rút tiền sau này – đôi khi là rất lâu sau khi tương tác. Vì không có giao dịch nào được phát khi chữ ký được tạo nên vi phạm thường không bị phát hiện cho đến khi token biến mất.
Các vụ lừa đảo dựa trên Permit đặc biệt nguy hiểm vì một chữ ký bị xâm phạm có thể mở khóa quyền truy cập vào nhiều token, tùy thuộc vào những gì bạn đã cho phép trước đó. Luôn kiểm tra kỹ những văn bản bạn ký – nếu văn bản không đọc được hoặc không hợp lý, đừng ký.
Chỉnh sửa blockchain là một loại lừa đảo nhắm vào những người dùng Web3 thiếu kinh nghiệm. Các trang web lừa đảo này tuyên bố có thể khắc phục các sự cố thường gặp về ví như lỗi trượt giá hoặc giao dịch không thành công nhưng thực chất được thiết kế để đánh cắp cụm từ ghi nhớ hoặc khóa riêng tư của bạn. Sau đây là cách thức lừa đảo thường diễn ra.
Nhắm mục tiêu vào người dùng bất bình: Kẻ lừa đảo nhắm vào những người dùng bị căng thẳng vì các lỗi như sự cố chuyển ví và lỗi trượt giá và đưa ra các "giải pháp khắc phục nhanh" giả mạo hứa hẹn các giải pháp dễ dàng.
Bắt chước: Những trang web này có thể sao chép giao diện của các dịch vụ đáng tin cậy, sử dụng thiết kế sạch hoặc giao diện gần như giống hệt để làm giảm sự cảnh giác của người dùng.
Lỗi mô phỏng: Khi vào trang web, người dùng sẽ thấy những thông báo lỗi giả mạo được thiết kế để có vẻ khẩn cấp và hợp lệ. Sau đó, họ được nhắc "kết nối thủ công" và bị lừa nhập cụm từ ghi nhớ hoặc khóa riêng tư – qua đó kẻ lừa đảo có toàn quyền truy cập ví và rút hết tiền.
Ví Binance có các biện pháp bảo vệ tích hợp như mô phỏng giao dịch và bộ lọc chữ ký để giúp bạn giữ an toàn cho tài sản của bạn. Ví Binance cũng chặn việc phê duyệt các tài khoản thuộc sở hữu bên ngoài (EOA), các yêu cầu có rủi ro cao như eth_sign và các DApp độc hại đã biết. Nhưng cuối cùng, bạn vẫn là người ra quyết định sau cùng. Luôn đọc và chú ý đến các cảnh báo của ví trước khi xác nhận một giao dịch hoặc ký một tin nhắn.
Không bao giờ ký hoặc phê duyệt yêu cầu một cách mù quáng. Hãy hiểu rõ những quyền mà DApp đang yêu cầu – đặc biệt là khi liên quan đến việc phê duyệt token.
Tránh cấp quyền truy cập không giới hạn: Luôn cấp số tiền tối thiểu cần thiết thay vì cấp quyền truy cập token không giới hạn. Việc này hạn chế thiệt hại có thể xảy ra nếu DApp là độc hại.
Thu hồi các phê duyệt cũ: Hãy tạo thói quen định kỳ truy cập vào tab [Tài sản] > [Phê duyệt] trong ví của bạn để thu hồi bất kỳ phê duyệt token nào mà bạn không còn cần đến.
Ngắt kết nối DApp không sử dụng: Trong phần [Thêm] > [DApp đã kết nối], hãy xóa quyền truy cập cho các DApp bạn không còn sử dụng. Việc duy trì kết nối các DApp sẽ làm tăng rủi ro.
Sử dụng ví có chức năng mô phỏng tích hợp, như Binance Wallet. Mô phỏng giúp bạn xem trước những gì sẽ xảy ra trước khi giao dịch thực sự được gửi trên chuỗi. Giống như việc hé lộ kết quả – để bạn có thể phát hiện ra lỗi hoặc gian lận trước khi bị thiệt hại.
Đối với các giao dịch chuyển tiền đơn giản giữa các ví, mô phỏng sẽ giúp gắn cờ các địa chỉ đáng ngờ hoặc các nhầm lẫn tiềm ẩn, chẳng hạn như gửi đến một địa điểm lừa đảo đã biết. Khi tương tác với các hợp đồng thông minh – như trong quá trình swap, stake hoặc các thao tác DeFi khác – Ví Binance sẽ chạy mô phỏng để cho bạn biết số lượng, giá trị token dự kiến và rủi ro tiềm ẩn. Điều này cung cấp cho bạn cái nhìn rõ ràng và đầy đủ trước khi bạn xác nhận.
Trước khi tương tác với bất kỳ DApp nào, hãy dành thời gian đánh giá kỹ lưỡng. Các dự án hợp lệ thường được kiểm toán bởi các công ty bảo mật độc lập và các báo cáo này thường có sẵn trên trang web chính thức của dự án. Hãy tìm hiểu về đội ngũ đứng sau dự án – nếu họ ẩn danh hoặc khó xác minh, đó có thể là một dấu hiệu cảnh báo. Ngoài ra hãy cân nhắc đến cộng đồng. Cơ sở người dùng mạnh mẽ, gắn kết và minh bạch thường là một dấu hiệu tốt, trong khi việc thiếu hoạt động hoặc phản hồi mơ hồ có thể báo hiệu những rủi ro cơ sở.
Khi truy cập bất kỳ DApp nào, hãy luôn bắt đầu từ các liên kết đã được xác minh trên trang web chính thức của dự án hoặc các nền tảng đáng tin cậy như CoinMarketCap. Những kẻ lừa đảo thường tạo ra các trang web giả mạo bằng cách khéo léo viết sai tên miền hoặc swap các ký tự trông giống nhau mà khó có thể phát hiện bằng mắt thường (ví dụ: uniswap.com so với unίswap.com). Tránh nhấp vào quảng cáo tìm kiếm vì các trang web tấn công giả mạo thường trả tiền để xuất hiện ở đầu kết quả. Để đảm bảo an toàn tối đa, hãy nhập thủ công URL thay vì nhấp vào quảng cáo hoặc dán liên kết do bên thứ ba cung cấp.
Nếu ai đó yêu cầu cụm từ ghi nhớ hoặc khoá riêng tư của bạn, hãy dừng ngay lập tức – bạn đang bị lừa đảo. Không có DApp, dịch vụ hoặc nhân viên hỗ trợ hợp lệ nào yêu cầu điều đó. Ngay khi bạn chia sẻ, ví của bạn chắc chắn sẽ bị rút sạch. Đóng tab, rời đi và đừng quay lại.
Kiến thức là tuyến phòng thủ đầu tiên của bạn trong không gian Web3. Hiểu rõ các hình thức lừa đảo phổ biến và biết các biện pháp phê duyệt thông minh là điều quan trọng để bảo vệ bản thân. Luôn cập nhật thông tin về các mối đe dọa mới nhất bằng cách theo dõi các tài nguyên đáng tin cậy như Binance Academy, chuỗi bài Bắt thóp các mánh lừa đảo và chuỗi bài về bảo mật của chúng tôi. Những tài nguyên này sẽ giúp bạn ngăn chặn các vụ lừa đảo mới nổi, cho phép bạn đưa ra quyết định sáng suốt để bảo vệ tài sản của mình.
Thế giới DApp rất giàu tính sáng tạo và khả năng. Cho dù bạn đang sử dụng các công cụ DeFi, khám phá NFT hay thử một game blockchain mới, sẽ luôn có nhiều điều để khám phá.
Kể cả một ngôi nhà được xây dựng tốt và có ổ khóa chắc chắn thì nó cũng trở nên vô dụng nếu bạn để cửa mở hoặc làm mất chìa khóa. Ví Binance cung cấp cho bạn các tính năng bảo mật mạnh mẽ – từ mô phỏng và cảnh báo lừa đảo đến hạn chế phê duyệt – nhưng việc sử dụng các tính năng một cách khôn ngoan vẫn phụ thuộc vào bạn. Phê duyệt, chữ ký và kết nối DApp là một phần của cuộc sống hàng ngày trong Web3 và việc hiểu chúng là chìa khóa để bảo vệ tiền của bạn. Nếu cảm thấy có điều gì đó không ổn, hãy dừng lại, xác minh và đừng vội vàng. Web3 thưởng cho những người giữ được sự nhạy bén và đặt câu hỏi. Với thói quen đúng đắn và sự thận trọng, bạn có thể tự tin khám phá mà vẫn giữ tài sản tiền mã hóa của mình luôn SAFU.
