1. Để việc bán hàng của các bạn được hiệu quả, hãy tham khảo Quy định phần mua bán, Quy định khi Thanh lý, Hướng dẫn đóng topic bán hàng10 Bí quyết bán hàng hiệu quả
    Dismiss Notice

Toàn quốc: Làm Thế Nào Để Tránh Khai Thác Phê Duyệt Vô Hạn Metamask

Thảo luận trong 'CÁC SẢN PHẨM, DỊCH VỤ KHÁC' bởi hophudat, 4/7/2023.

  1. hophudat

    hophudat Thành viên rất tích cực

    Tham gia:
    28/8/2011
    Bài viết:
    1,207
    Đã được thích:
    104
    Điểm thành tích:
    103
    Bạn có biết rằng mỗi khi bạn tương tác với một DApp liên quan đến mã thông báo ERC-20 của mình , bạn sẽ thay mặt bạn cấp cho nó quyền truy cập và di chuyển mã thông báo của bạn không. Quyền này được gọi là phê duyệt mã thông báo và đây là một tính năng quan trọng đối với web3. Nhưng nếu không cẩn thận cũng rất nguy hiểm.

    b5228fcbe0194116a53f4e1160a918a5.png

    Cách phê duyệt mã thông báo hoạt động

    Chức năng phê duyệt () giống như đưa cho ai đó thẻ tín dụng của bạn và cho họ biết số tiền họ có thể chi tiêu với thẻ đó. Nó cho phép một ứng dụng phi tập trung khác (được gọi là người chi tiêu) thay mặt bạn sử dụng một số mã thông báo của bạn. Điều này hữu ích cho nhiều trường hợp sử dụng tiền điện tử như hoán đổi mã thông báo , cho vay và cung cấp thanh khoản .

    Chức năng phê duyệt () cần hai điều: địa chỉ của người chi tiêu và số lượng mã thông báo bạn muốn cho phép họ sử dụng. Ví dụ: nếu Alice muốn cho phép Bob sử dụng tối đa 100 mã thông báo cho cô ấy, cô ấy sẽ gọi cho phép (Bob, 100).

    Chức năng phê duyệt() chỉ cấp quyền chứ không thực sự di chuyển bất kỳ mã thông báo nào . Để di chuyển mã thông báo, người chi tiêu phải gọi một chức năng khác, transferFrom(), hàm này cần ba điều: địa chỉ của chủ sở hữu mã thông báo, địa chỉ của người nhận mã thông báo và số lượng mã thông báo sẽ được chuyển.

    Hàm transferFrom() kiểm tra xem người chi tiêu có đủ quyền từ chủ sở hữu mã thông báo hay không và chủ sở hữu mã thông báo có đủ mã thông báo để di chuyển hay không. Nếu cả hai điều đều đúng, nó sẽ chuyển các mã thông báo từ tài khoản của chủ sở hữu sang tài khoản của người nhận, giảm quyền chi tiêu của người tiêu dùng theo số tiền đã chuyển và tạo một bản ghi chuyển khoản.

    Vậy phê duyệt mã thông báo vô hạn là gì?

    Đôi khi, số lượng mã thông báo bạn chấp nhận là rất lớn. Điều này giống như đưa cho ai đó thẻ tín dụng của bạn và nói với họ rằng họ có thể chi tiêu bao nhiêu tùy thích với nó. Một số ứng dụng yêu cầu loại phê duyệt này vì chúng không biết chúng sẽ cần bao nhiêu mã thông báo để sử dụng cho bạn trong tương lai. Bạn cũng có thể tiết kiệm phí gas bằng cách không phải phê duyệt mọi lúc. Nhưng điều này cũng có nghĩa là bạn có thể mất tất cả các mã thông báo của mình nếu tính năng này bị khai thác.

    Làm thế nào phê duyệt mã thông báo có thể được khai thác

    Tất cả các cách khai thác hàm verify() đều có một điểm chung: tin tặc lừa bạn cấp cho họ quyền sử dụng mã thông báo của bạn mà bạn không nhận ra.

    Một cách để làm điều này là gửi cho bạn một email lừa đảo hoặc một trang web giả mạo giống như một dự án hoặc ứng dụng hợp pháp mà bạn tin tưởng. Bạn có thể được yêu cầu phê duyệt vô số mã thông báo. Nếu bạn làm như vậy, hàm transferFrom() có thể được sử dụng để khai thác ví của bạn.

    Một cách khác là khai thác lỗ hổng trong Hợp Đồng Thông Minh mà bạn đã phê duyệt để sử dụng mã thông báo của mình. Ví dụ: nếu hợp đồng có thể nâng cấp được, mã độc chuyển mã thông báo của bạn có thể được chèn vào. Một hợp đồng cũng có thể có một lỗi hoặc một cửa hậu cho phép tin tặc bỏ qua các kiểm tra và số dư thông thường.

    Cách bảo vệ bản thân khỏi các vụ khai thác phê duyệt mã thông báo vô hạn MetaMask

    Dưới đây là một số mẹo và thủ thuật để bảo vệ bạn khỏi các khai thác phê duyệt vô hạn MetaMask :
    • Luôn kiểm tra địa chỉ và số lượng mã thông báo bạn đang phê duyệt trước khi xác nhận giao dịch. Đảm bảo rằng bạn tin tưởng dự án hoặc ứng dụng đang yêu cầu bạn phê duyệt và rằng bạn đang sử dụng đúng trang web hoặc ứng dụng. Không nhấp vào bất kỳ liên kết hoặc email đáng ngờ nào tự nhận là từ một dự án hoặc ứng dụng hợp pháp.
    • Không phê duyệt vô số mã thông báo trừ khi bạn thực sự cần . Một số ứng dụng có thể yêu cầu bạn phê duyệt số lượng mã thông báo không giới hạn vì lý do thuận tiện hoặc tiết kiệm xăng, nhưng điều này cũng cho phép chúng lấy tất cả mã thông báo của bạn bất kỳ lúc nào. Nếu có thể, hãy chỉ phê duyệt số lượng mã thông báo mà bạn cần cho một giao dịch hoặc hoạt động cụ thể và thu hồi hoặc giảm bớt phê duyệt khi bạn hoàn tất.
    • Sử dụng các công cụ và nền tảng có thể giúp bạn xem xét, thu hồi hoặc tùy chỉnh các phê duyệt mã thông báo của bạn . Ví dụ: bạn có thể sử dụng công cụ Phê duyệt mã thông báo của Etherscan để xem tất cả các hợp đồng và mã thông báo mà bạn đã phê duyệt và thu hồi mọi hợp đồng và mã thông báo không cần thiết hoặc đáng ngờ. Etherscan cũng có một trình giải thích phê duyệt mã thông báo tốt để xem và thay đổi các khoản phụ cấp mã thông báo của bạn cho các hợp đồng khác nhau. Những công cụ này có thể giúp bạn quản lý việc phê duyệt mã thông báo của mình và kiểm soát chúng.
    • Luôn cập nhật tin tức và cảnh báo bảo mật mới nhất . Ví dụ: MetaMask đã xuất bản một chuỗi giải thích về tính năng phê duyệt mã thông báo:
    Bằng cách làm theo các mẹo đơn giản này, bạn có thể giữ an toàn trước các hoạt động khai thác phê duyệt mã thông báo vô hạn MetaMask và tận hưởng các tương tác web3.
     

    Xem thêm các chủ đề tạo bởi hophudat
    hophudat, 4/7/2023
    #1

Chia sẻ trang này