Revoke là gì? Phương pháp dùng Token Approval để ko mất tiền oan

Chào anh em, trước tiên mình muốn hỏi là anh em nghĩ sao về vấn đề bảo mật để bảo vệ tài sản của mình trong quá trình thanh toán? Anh em đã bao giờ cảm thấy khó chịu về những Dapp khác nhau mà anh em đã chấp thuận dùng token ERC20 từ account của mình chưa? Có thể anh em có số vốn bé thì nghĩ rằng điều đấy là ko cần thiết, nhưng việc tạo thói quen bảo mật sẽ giúp anh em giảm thiểu những rủi ro ko đáng có.

Chuyện là Jhon Doe vào tháng 10/2020, sau lúc nạp tiền và farm tại dự án lừa đảo UniCats, anh rút tiền về ví Metamask và nghĩ đã an toàn, nhưng trong đêm anh đã mất 36K token UNI (hơn $1M).

Trong bài viết này mình sẽ giải thích mánh lừa đảo này và chỉ dẫn anh em bí quyết dùng 1 device Token Approval để phòng giảm thiểu, đấy là Revoke!

Revoke là gì?

Revoke là 1 loại công cụ Token Approval, cho phép theo dõi toàn bộ hợp đồng mà người mua đã chấp thuận dùng tiền trong ví của mình, đồng thời người mua cũng có thể thu hồi những quyền truy cập đấy giả dụ nó ko cần thiết. Nhưng giả dụ ko muốn thu hồi hoàn toàn quyền truy cập, người mua có thể cập nhật số tiền giới hạn mà Dapp đấy được dùng.

Revoke có hợp tác giữa liên hệ ví những Dapp và tên của Dapp đấy. Điều này giúp người mua theo dõi hợp tác 1 bí quyết trực quan và dễ hiểu hơn (tức là anh em sẽ có thể nhìn thấy Aave, Sushi thay vì là liên hệ ví Dapp đấy).

Xem Thêm  ZkSync Period úp mở về việc ra mắt token và layer 3

Lỗ hổng bảo mật mang tên limitless ERC20 allowances

Lúc đặt cọc số tiền cụ thể (dí dụ 100 DAI) vào hợp đồng, anh em có set allowance chính xác số tiền đấy. Nhưng thay vào đấy, nhiều ứng dụng bắc buộc limitless allowance (cho phép ko giới hạn) từ phía người mua. Điều này giúp anh em chỉ cần phê thông qua 1 lần mà ko nên lặp lại quy trình này cho những lần gửi tiền tiếp theo.

Tuy nhiên thiết lập này tiềm ẩn rủi ro vô cùng lớn. Hệ thống có thể gặp bug, lúc đã phê thông qua limitless allowance, anh em ko chỉ làm những khoản tiền đã gửi vào ứng dụng chuyển sang báo động đỏ, mà còn cả những token còn lại trong ví cũng có thể ko cánh mà bay.

Người đề cập tới vấn đề này trước tiên là Paul Berg tại Devcon 5, anh em có thể theo dõi lại thông qua video tại đây. Bên cạnh lý thuyết, thì mình cũng xin đưa cho anh em 1 vài dí dụ để cảnh tỉnh.

Đầu 5 nay, Bancor đã gặp nên bug làm tiền của người mua gặp rủi ro. Hàm thực thi ERC20 transferFrom() đã vô tình được đặt ở chế độ công khai (thay vì personal như trong hợp đồng), điều này cho phép bất kỳ ai cũng có thể thực thi nó và rút ví của người mua.

Bancor đã thực hành 1 vụ white-hat hack để ngăn chặn thiệt hại và trả lại tiền cho người mua.

Câu chuyện về Jhon Doe tại mở đầu mình xin được nói chi tiết lại. Trước tiên Jhon thấy 1 trang net khá bắt mắt có hình con mèo dễ thương, tên là UniCats, anh quyết định cho 1 số tiền của mình vào đây và nghĩ rằng đây có thể là YFI tiếp theo.

Xem Thêm  CoreDAO (CORE) là gì? Toàn tập về tiền điện tử CORE Token

Jhon quyết định deposit UNI và nhận được thông điệp “Permit this Dapp lớn spend your UNI” từ Metamask, anh nghĩ nó cũng giống những lần farm trước của anh. Sau đấy anh farm $MEOW, nghĩ rằng mình đã kiếm đủ và lấy lại toàn bộ UNI về ví Metamask.

Điều mà John ko biết đấy là anh đã chấp thuận cho tên lừa đảo Unicats dùng ko giới hạn số UNI của anh. Và sau đấy anh đã mất tổng cùng 36K UNI lúc đang ngủ. Anh em có thể theo dõi thêm tại đây.

Tại sao lại cần Revoke liên hệ ví?

Phương pháp hoạt động của những công cụ Token Approval là sẽ hủy quyền truy cập của những DApp đối có token mà người mua đã phê thông qua (approve), từ đấy giúp người mua giảm thiểu khỏi những rủi ro liên quan tới việc chấp thuận những quyền truy cập từ DApp dùng ERC20 token trong ví của mình.

Revoke cũng vậy, ý nghĩa của công cụ này là để giúp anh em giảm thiểu mất tiền oan lúc hoang mang ko biết mình đang chơi App nào, và nó đang bắc buộc quyền gì có ví của mình.

Giống như trong dí dụ có UniCats phía trên, lúc thanh toán xong có Dapp, anh em có thể dùng Revoke để tắt quyền truy cập từ UniCats vào ví của mình. Ví dụ Jhon xài Revoke sớm hơn thì có lẽ ko xảy ra mất mát hơn $1M như vậy.

Xem Thêm  Thư viện thuật ngữ Buying and selling liên quan tới Cryptocurrency

Hay 1 trường hợp sắp đây cũng cần nên Revoke đấy là OpenSea, lúc dự án đã bị Exploited dẫn tới tổng thiệt hại trị giá khoảng 3 triệu đô cho người mua. Chi tiết về sự việc, anh em tham khảo thêm: Thực hư việc OpenSea bị tấn công

Chỉ dẫn dùng Revoke trên Coin98 Tremendous App

Anh em có thể dùng Revoke trên Coin98 Tremendous App thông qua những bước đơn giản sau:

Bước 1: Mở Coin98 Tremendous App, chọn Extra.

Bước 2: Chọn Pockets Approval.

Bước 3: Chọn ví mà anh em muốn Revoke.

Bước 4: Anh em Revoke bằng bí quyết bấm vào dấu [x] ở ứng dụng mình muốn Revoke.

Bước 5: Bấm Accomplished để hoàn thành quá trình.

Như vậy là anh em đã revoke thành công có ví tương ứng trên Coin98 Tremendous App.

1 số công cụ Token Approval khác để bảo mật tài sản

Anh em cũng có thể tham khảo 1 vài app Token Approval sau để bảo mật tài sản của mình, có bí quyết thức hoạt động tương tự có revoke như: Accredited.zone, Tac.dappstar.io

Còn để chắc chắn hơn nữa, anh em cũng có thể tạo ra những ví phụ chuyên để thanh toán và cấp phép cho những Dapp, sau lúc thanh toán xong anh em lại đưa hết token về ví chính.

Tổng kết

Để kiếm được tiền trên thị trường này đã khó, thế nên anh em cũng nên dành chút thời kì để tìm hiểu về những bí quyết thức bảo mật để giảm thiểu bị mất tiền vì ko hiểu biết. Trên đây mình đã giới thiệu tới anh em những vấn đề xung quanh việc cấp phép cho Dapp trên ERC20 và chỉ dẫn dùng revoke để đảm bảo tính bảo mật cho account của anh em.