Honeypot là gì? Hình thức lừa đảo crypto "bẫy trong bẫy"

Đầu tiên, xét theo khía cạnh tích cực, honeypot được các nhà phát triển sử dụng để cố ý thu hút tin tặc tấn công hợp đồng thông minh. Mục đích là thu thập dữ liệu và theo dõi hành vi, kỹ thuật tấn công của tin tặc để có thể phòng tránh chúng.

Bên cạnh đó, xét theo khía cạnh tiêu cực, honeypot được các hacker sử dụng để cố ý tạo ra lỗ hổng bảo mật mà người dùng có thể dễ dàng nhận thấy và khai thác chúng. Mục đích là đánh cắp tài sản từ sự khai thác của người dùng.

Nhìn chung, honeypot vẫn là một hình thức lừa đảo. Tuy nhiên, tuỳ vào mục đích sử dụng mà hiệu quả và hậu quả mang lại sẽ khác nhau. Vì tính chất nguy hiểm và rủi ro tiềm ẩn của nó đối với người dùng, bài viết này sẽ tập trung khai thác theo khía cạnh honeypot là hình thức lừa đảo được sử dụng bởi những kẻ tấn công (hacker) trong thị trường crypto. 

Honeypot là gì?

Honeypot là thuật ngữ chỉ những hợp đồng thông minh được hacker thiết kế với nhiều lỗ hổng bảo mật (một cách cố ý), khiến người dùng dễ dàng nhận thấy và khai thác chúng. Sau đó, hacker sẽ trích xuất tài sản từ nỗ lực khai thác lỗ hổng của người dùng. 

Hiểu theo cách đơn giản hơn: 

Hacker cố ý tạo ra một hợp đồng thông minh (smart contract) chứa tài sản và có nhiều lỗ hổng bảo mật (dễ nhận thấy). 
Người dùng (có kiến thức về smart contract) phát hiện rằng lỗ hổng đó cho phép họ tuỳ ý rút token ra nếu họ gửi trước một lượng token cụ thể vào hợp đồng. 
Sau khi gửi token vào hợp đồng, người dùng lại không thể rút token ra vì hợp đồng quy định chỉ có người tạo hợp đồng mới được quyền rút tài sản.

Có thể thấy, honeypot là hình thức lừa đảo “bẫy trong bẫy", chúng khiến người dùng nghĩ rằng họ có thể lấy được tài sản bên trong hợp đồng, nhưng thực chất chính họ lại là người bị mất tài sản.

Cách hoạt động của Honeypot trong crypto

Khi bị lừa đảo honeypot, tài sản của người dùng trong hợp đồng sẽ bị đóng băng và chỉ có người tạo ra hợp đồng mới có thể sử dụng và tương tác với chúng. 

Theo đó, quy trình hoạt động của một vụ lừa đảo honeypot sẽ bao gồm ba giai đoạn chính:

Kẻ tấn công triển khai hợp đồng thông minh có lỗi bảo mật: Hợp đồng được thiết kế trông giống với các chương trình hợp pháp được xây dựng trên blockchain (ví dụ như ứng dụng ngân hàng). Điểm khác biệt là hợp đồng này có lỗ hổng dễ bị nhận ra, khiến người dùng nghĩ rằng họ sẽ lấy được tài sản bên trong hợp đồng một cách miễn phí.
Người dùng khai thác lỗ hổng: Phát hiện lỗ hổng và gửi một lượng token vào hợp đồng với mong muốn rút được toàn bộ token bên trong. Sau đó, có một lỗ hổng thứ hai khiến người dùng không thể rút token khỏi đó. Người duy nhất có quyền rút là người tạo tạo hợp (kẻ tấn công). 
Kẻ tấn công rút tài sản: Đánh cắp toàn bộ token mà người dùng đã gửi vào và biến mất. 

Điểm đáng chú ý trong honeypot là kẻ tấn công hiểu được tâm lý hám lợi và thiếu cảnh giác của con người để thực hiện hành vi xấu. Người dùng thường chỉ tập trung vào những điểm yếu dễ nhìn thấy trên hợp đồng và có thể mang lại tiền miễn phí cho họ, nhưng lại bỏ qua những dấu hiệu cho thấy hợp đồng còn có lỗ hổng khác khiến họ bị mất tiền.

Honeypot thường được lưu trữ và hoạt động trên các máy ảo. Do đó, nếu honeypot bị phần mềm độc hại (malware) xâm nhập, nó có thể được khôi phục một cách dễ dàng và nhanh chóng. 

Ngoài ra, việc triển khai, quản lý honeypot có thể được hỗ trợ và cung cấp thông qua các dịch vụ mã nguồn mở. Người dùng mới cũng có thể tìm kiếm các phần mềm honeypot trên Github để hiểu về cách sử dụng chúng. 

Cách phòng tránh lừa đảo Honeypot crypto

Cách hiệu quả nhất để phòng tránh honeypot là phát hiện kịp thời và không tương tác với những hợp đồng thông minh có lỗ hổng trong thiết kế. 

Đối với đồng token trong honeypot, nó thường sẽ dễ mua và khó bán (hoặc gần như là không bán được). Do đó, việc sử dụng các trình khám phá (blockchain explorer) để kiểm tra lịch sử giao dịch của đồng token sẽ giúp người dùng bước đầu xác định được đó có phải honeypot hay không.

Ngoài ra, người dùng cũng có thể đánh giá khả năng hợp đồng thông minh có phải honeypot hay không thông qua các yếu tố sau:

Hợp đồng đã được kiểm định (audit) chưa? Nếu có, tiếp tục kiểm tra liệu đơn vị, công ty thực hiện kiểm định có uy tín và được đánh giá tốt hay không.
Tránh các đồng coin/token có rất ít ví nắm giữ.
Kiểm tra trang web để đánh giá sơ bộ tính chỉn chu, nghiêm túc của dự án triển khai hợp đồng thông minh. Người dùng cũng có thể truy cập trang https://whois.domaintools.com và nhập tên miền trang web dự án để xem thời gian đăng ký của nó. Nếu nó mới được đăng ký trong thời gian quá ngắn (vài ngay, 24 giờ hoặc ít hơn) thì có thể là lừa đảo. 
Kiểm tra các kênh truyền thông của dự án như X, Telegram, Discord… Các dự án lừa đảo honeypot thường chỉ đăng những nội dung, hình ảnh kém chất lượng, sai chính tả, ngữ pháp cùng những tin nhắn spam như “drop your ETH address below!" (gửi địa chỉ ví ETH vào dưới đây!)...

Cuối cùng, honeypot là trò lừa đảo nhắm vào việc người dùng cố gắng khai thác lỗ hổng của hợp đồng thông minh và sẵn lòng gửi tài sản vào với mong muốn lấy được token miễn phí. Do đó, chìa khoá để tránh bị lừa đảo honeypot nằm ở việc loại bỏ tâm lý bị cám dỗ bởi những token miễn phí. Điều này sẽ giúp giảm thiểu khả năng trở thành nạn nhân và tăng độ an toàn cho tài sản của người dùng trong crypto.

Đọc thêm Hình thức tấn công social engineering