Token approval: vì sao ví bị rút sạch và cách thu hồi quyền
Hướng dẫn thực tế giúp bạn hiểu về cấp quyền token (Token Approval), cách các hợp đồng độc hại rút sạch ví, và các bước kiểm tra, thu hồi quyền an toàn trên các mạng như BEP20.
Bạn đã bao giờ kết nối ví với một dApp chỉ bằng một cú nhấp mang tên "Approve", rồi quên bẵng đi mất chưa? Khoảnh khắc thoáng qua đó có thể vẫn còn hiệu lực trong nhiều năm, và đây là một trong những cách phổ biến nhất khiến ví bị rút sạch hiện nay. Trong bài viết này, chúng tôi sẽ giải thích "cấp quyền token" (Token Approval) là gì, kẻ lừa đảo lợi dụng nó ra sao, và quan trọng nhất: cách bạn tự kiểm tra và thu hồi quyền của mình, từng bước một.
"Token approval" (cấp quyền token) nghĩa là gì?
Các đồng như USDT trên mạng BEP20 là token, không tự di chuyển được. Khi bạn muốn dùng chúng trong một ứng dụng phi tập trung — hoán đổi, thanh khoản, hay bất kỳ hợp đồng thông minh nào — hợp đồng đó cần quyền trước để rút token từ ví của bạn. Quyền này gọi là "allowance", và bạn cấp nó thông qua giao dịch "Approve".
Vấn đề là mặc định của rất nhiều ứng dụng lại yêu cầu quyền không giới hạn (Unlimited), tức là: "cho phép hợp đồng này rút bất kỳ số lượng nào của token này, vào bất kỳ lúc nào, mãi mãi". Bạn chỉ ký một lần, nhưng cánh cửa vẫn mở cho đến khi chính bạn đóng lại.
Ký "Approve" không di chuyển tiền của bạn ngay lúc đó, nhưng lại trao cho hợp đồng một chiếc chìa khóa vĩnh viễn. Nguy hiểm không nằm ở số tiền lúc này, mà nằm ở quyền còn để ngỏ về sau.
Các hợp đồng rút sạch (drainer) hoạt động thế nào?
Hợp đồng rút sạch (Approval Drainer) không "hack" ví của bạn — chúng lừa để chính bạn ký cấp quyền. Kịch bản thường gặp:
- Bạn truy cập một trang giả mạo bắt chước một nền tảng quen thuộc, hoặc bị dụ bởi tin nhắn về một "phần thưởng" hay "airdrop".
- Trang web yêu cầu kết nối ví, rồi hiện ra một cửa sổ ký có vẻ như bình thường.
- Chữ ký đó thực chất là cấp quyền không giới hạn trên một token bạn sở hữu (như USDT hay token gốc của mạng).
- Không có gì hiển thị xảy ra, nên bạn tưởng thất bại và rời đi.
- Vài giờ hoặc vài ngày sau, kẻ tấn công gọi hàm
transferFromvà rút sạch số dư của bạn, có thể rút một lần hoặc rút dần dần.
Chiêu nguy hiểm nhất là chữ ký Permit và Permit2: một chữ ký "off-chain" không tốn phí gas, không hiện ra như một giao dịch, nhưng vẫn cấp quyền đầy đủ. Chính vì vậy yêu cầu này có thể trông hoàn toàn vô hại.
Không nền tảng nghiêm túc nào yêu cầu bạn "ký để nhận thưởng" hay kích hoạt lại tài khoản bằng cách cấp quyền trên token của bạn. Bất kỳ yêu cầu ký nào đổi lấy tiền miễn phí đều gần như chắc chắn là dấu hiệu nguy hiểm.
Dấu hiệu cảnh báo trước khi ký
- Trang web đến với bạn qua tin nhắn riêng, quảng cáo trả phí, hoặc một tài khoản "hỗ trợ" nhắn tin cho bạn trước.
- Cửa sổ ví hiện
ApprovehoặcPermitcho một token mà bạn không có ý định giao dịch lúc này. - Quyền được yêu cầu là không giới hạn, trong khi bạn chỉ cần một số lượng nhỏ.
- Hợp đồng thụ hưởng là một địa chỉ lạ, chưa xác minh, không hiện ra như một hợp đồng đã biết trên trình khám phá blockchain.
- Có sự thúc giục và áp lực thời gian: "Ưu đãi kết thúc trong vài phút."
Làm sao để kiểm tra và thu hồi quyền của bạn?
Tin tốt là quyền có thể thu hồi bất cứ lúc nào, và việc thu hồi rất đơn giản. Về bản chất, bạn gửi một giao dịch đưa hạn mức được phép về lại số 0.
Các bước thực hiện
- Mở một công cụ kiểm tra quyền (Revoke Tool) đáng tin cậy trên trình duyệt, và tự tay gõ địa chỉ chứ không bấm vào liên kết trong tin nhắn.
- Kết nối ví của bạn, hoặc tốt hơn: chỉ dán địa chỉ công khai để xem mà không cần kết nối, rồi mới thực hiện thu hồi sau khi đã xác nhận mọi thứ.
- Chọn đúng mạng (ví dụ BNB Smart Chain cho token BEP20).
- Xem lại danh sách quyền: mỗi dòng hiển thị một token, hợp đồng thụ hưởng, và hạn mức được phép.
- Tìm các quyền không giới hạn hoặc hợp đồng bạn không nhận ra, rồi nhấn "Revoke".
- Ký giao dịch thu hồi, trả một khoản phí gas nhỏ, và chờ xác nhận.
Mỗi giao dịch thu hồi trên blockchain đều tốn một khoản phí gas nhỏ. Hãy ưu tiên: thu hồi trước các quyền không giới hạn trên những token có giá trị cao (USDT, token của mạng).
Các cách kiểm tra quyền của bạn
| Phương pháp | Cách hoạt động | Lưu ý |
|---|---|---|
| Công cụ thu hồi chuyên dụng | Hiển thị mọi quyền và thu hồi chỉ bằng một cú nhấp | Nhanh nhất; kiểm tra kỹ địa chỉ trang web |
| Trình khám phá blockchain | Tab "Token Approvals" trên trình khám phá của mạng | Đáng tin cậy, lấy trực tiếp từ dữ liệu on-chain |
| Chính ví của bạn | Một số ví có sẵn mục quyền tích hợp | Tiện lợi nếu ví của bạn hỗ trợ |
Những thói quen bảo vệ bạn về sau
- Đặt đúng số lượng cần thiết: mỗi khi "Approve", hãy chọn mức quyền vừa đủ với nhu cầu, không chọn "không giới hạn" nếu ứng dụng cho phép.
- Kiểm tra định kỳ: rà soát quyền của bạn vài tuần một lần, và sau mỗi lần tương tác với một trang web mới.
- Tách biệt các ví: một ví "dùng thử" nhỏ để tương tác với trang mới, và một ví "két sắt" không bao giờ kết nối với bất kỳ dApp nào.
- Đọc kỹ cửa sổ ký: hiểu rõ tên hàm và hợp đồng thụ hưởng trước khi nhấn; nếu không hiểu, đừng ký.
- Cẩn thận với chữ ký không tốn gas: chữ ký
Permitcó thể miễn phí nhưng vẫn cấp quyền đầy đủ.
Nội dung này chỉ mang tính giáo dục nhằm nâng cao nhận thức bảo mật của bạn, không phải là lời khuyên tài chính, pháp lý hay tôn giáo. Các công cụ thu hồi và tên mạng có thể thay đổi theo thời gian, vì vậy hãy luôn tự kiểm tra nguồn chính thức trước khi kết nối ví hoặc ký bất cứ điều gì. Trách nhiệm bảo vệ khóa và quyền của bạn hoàn toàn thuộc về chính bạn.
Kết luận
Cấp quyền token là công cụ cần thiết cho các ứng dụng phi tập trung, nhưng đồng thời cũng là cánh cửa hậu bị lợi dụng nhiều nhất. Quy tắc rất đơn giản: chỉ cấp những gì bạn cần, và thu hồi những gì bạn không còn dùng đến. Hãy biến việc kiểm tra quyền thành thói quen định kỳ, giống như dọn dẹp ví của bạn, và bạn sẽ đóng lại cánh cửa rộng nhất mà kẻ lừa đảo trông cậy vào trước khi chúng kịp gõ cửa. Tại Paperino, chúng tôi tin rằng bảo mật bắt đầu từ nhận thức: một lần thu hồi hôm nay có thể bảo vệ toàn bộ số dư của bạn vào ngày mai.
Bài viết liên quan
- Lừa đảo đầu độc địa chỉ: vì sao sao chép nhầm địa chỉ từ chính lịch sử của bạn có thể khiến bạn mất trắng
- Mã độc chiếm quyền clipboard: loại virus đổi địa chỉ USDT của bạn ngay khi bạn vừa sao chép
- Cách bảo vệ cụm từ khôi phục và khóa riêng tư của ví: Hướng dẫn cho người mới
- BNB Smart Chain Là Gì? Mạng Lưới Đứng Sau Chuẩn BEP20
May mắn luôn mỉm cười với người dũng cảm. Hãy vượt sông bằng cả lòng can đảm — phần thưởng là có thật.