Tìm kiếm
Một cuộc tấn công phishing đã khiến một nhà đầu tư tiền điện tử mất gần 1 triệu USD sau khi vô tình ký hàng loạt giao dịch độc hại được ngụy trang dưới dạng hoán đổi trên Uniswap, theo báo cáo của công ty bảo mật blockchain Scam Sniffer.
Ngày 22/8, Yu Xiang – nhà sáng lập SlowMist – cho biết vụ việc liên quan đến 5 loại token bị đánh cắp thông qua giao dịch khai thác cơ chế EIP-7702 mới của Ethereum.
Ông giải thích: “Từ góc nhìn người dùng bị tấn công, quá trình diễn ra như sau: họ mở một website phishing, hộp thoại ký ví hiện lên, họ bấm xác nhận và chỉ với một hành động đó, toàn bộ tài sản giá trị trong ví biến mất ngay lập tức.”
100 万美金一笔被钓,涉及 5 个 token,原理是 EIP-7702 利用,将用户 EOA 地址委托授权给 MetaMask: EIP-7702 Delegator,并通过其合约 execute (0xe9ae5c53) 调用 Uniswap Universal Router 相关函数完成后续 token 转移操作。… https://t.co/BxleJZmyE4
— Cos(余弦)😶🌫️ (@evilcos) August 22, 2025
EIP-7702 và rủi ro mới
EIP-7702 được giới thiệu trong bản nâng cấp Pectra nhằm cải thiện trải nghiệm người dùng Ethereum. Tính năng này cho phép ví hoạt động như một hợp đồng thông minh tạm thời, giúp thực hiện nhiều giao dịch cùng lúc, cho phép tài trợ phí gas hoặc thiết lập hạn mức chi tiêu chỉ trong một bước.
Về nguyên tắc, quyền ủy quyền này có thể thu hồi và chỉ áp dụng trong mạng lưới cụ thể. Tuy nhiên, trên thực tế, kẻ tấn công đã tìm ra cách lợi dụng cơ chế này.
Cảnh báo từ cộng đồng bảo mật
Nhà tạo lập thị trường Wintermute cảnh báo việc triển khai chuẩn này đang bị khai thác trên diện rộng. Phân tích hồi tháng 6 của công ty cho thấy hơn 90% các ủy quyền EIP-7702 liên quan đến hợp đồng độc hại. Nhiều hợp đồng chỉ là mã copy-paste đơn giản, tự động quét và rút tài sản khỏi ví dễ bị tấn công.
Scam Sniffer và Yu Xiang khuyến nghị người dùng cần thận trọng trước khi ký yêu cầu từ ví. Các biện pháp phòng tránh gồm: kiểm tra kỹ tên miền, không xác nhận vội vàng và từ chối các chữ ký mơ hồ hoặc có phạm vi quá rộng.
Một số dấu hiệu cảnh báo gồm: yêu cầu cấp quyền chi tiêu không giới hạn, nâng cấp hợp đồng theo EIP-7702 hoặc mô phỏng giao dịch không khớp kỳ vọng.
- ZachXBT vạch trần các nhân viên CNTT Triều Tiên sử dụng 30 danh tính giả trên các nền tảng phát triển
- ZachXBT cáo buộc Kaito thổi phồng quá mức số liệu người dùng
- Nhà đầu tư Bitcoin mất 91 triệu USD vì chiêu trò lừa đảo social engineering: ZachXBT
Thạch Sanh
Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.
Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, CoinPhoton.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.
Theo dõi chúng tôi ngay:
- Telegram: @coinphoton_vn
-
X (Twitter):
@coinphoton_vi
-
Discord:
@coinphoton_vn
- Thẻ đính kèm:
- SlowMist
- uni
- Uniswap Labs
Trong bài có dùng tiện ích single ticker trích dữ liệu realtime từ Tradingview cho các đồng tiền số như Uniswap
Họ tên: Hayden Adams Chức danh: Nhà sáng lập và CEO của Uniswap Labs Quốc tịch: Hoa Kỳ Sinh năm: 1992 Học vấn: Cử nhân Kỹ thuật Cơ khí – Stony Brook University, New York Từng làm kỹ sư tại Siemens trước khi chuyển sang lĩnh vực blockchain Hành trình… …
Uniswap Labs là công ty phần mềm có trụ sở tại Hoa Kỳ, được sáng lập bởi Hayden Adams vào năm 2018. Công ty này là đơn vị khởi tạo và hiện đang phát triển các sản phẩm cốt lõi liên quan đến giao thức Uniswap – nền tảng AMM… …
