天天看點

币圈大佬接連中招,Permit簽名釣魚為何這麼厲害?

原文來源:律動

轉載:Koala,火星财經

9 月 28 日,Lookonchain 發文披露,由于網絡釣魚攻擊,某位址損失了 12,083.6 枚 spWETH(約合 3233 萬美元)。Arkham 稱該錢包可能與 Cobo 聯合創始人兼 CEO 神魚 ( @bitfish1 ) 有關。目前,神魚暫未對此做出回應。今日,據 Lookonchain 報道,某位址(可能與 @ContinueFund 有關)在 6 小時前通過簽署「Permit」釣魚簽名損失了 15079 fwDETH(價值 3600 萬美元)。Permit 簽名釣魚為何如此厲害,連圈内大佬也接連中招?本文對此進行了詳細科普。BlockBeats 再次提醒使用者,請不要點選任何未知的連結,也不要簽署任何未知簽名。

據 GoPlus 安全團隊監測,當下釣魚攻擊成為 Web3 個人使用者損失最多的主要風險,通常攻擊者模仿官方推特、Telegram、郵件、Discord 回複或私聊使用者用 Claim 空投、退款、福利活動引誘使用者點選釣魚網站連結,然後在錢包通過「Permit」簽名等将使用者授權資産盜走。這是一種采用 EIP-2612 離線簽名授權标準,允許使用者無需擁有 Eth 來支付 Gas 費即可進行準許,能夠簡化了使用者的審批流程,降低手動審批流程導緻的錯誤或延遲的風險,但也成為了目前釣魚攻擊的常用方式。

什麼是 Permit 簽名

簡單說,過去我們需要 Approve 後才可以将代币轉給别的合約,但如果合約支援 Permit,可以通過 Permit 離線簽名,跳過 Approve 且無需支付 gas 的方式進行授權,進行授權後第三方就擁有了相應控制權,随時可以轉走使用者授權的資産。

Alice 使用鍊下簽名向協定進行授權,協定調用 Permit 上鍊拿到授權,然後可以調用 TransferFrom 轉移相應資産。

币圈大佬接連中招,Permit簽名釣魚為何這麼厲害?

1. 交易中附加 permit 簽名進行互動,無需預先 approve

2. 鍊下簽名,鍊上操作由被授權位址操作,隻能在被授權位址檢視授權交易

3. 要求将相關方法寫入 ERC20 代币合約内,EIP-2612 之前釋出的 token 不支援

釣魚攻擊者僞造好釣魚網站後會利用 Permit 簽名擷取使用者授權,Permit 簽名通常包含了:

Interactive:互動網址

Owner:授權方位址

Spender:被授權方位址

Value:授權數量

Nonce:随機數(防重放)

Deadline:過期時間

币圈大佬接連中招,Permit簽名釣魚為何這麼厲害?

使用者一旦簽署了 Permit 簽名,Spender 就可以在 Deadline 内轉移相應 Value 的資産。

如何防範 Permit 簽名釣魚攻擊

1、不要點選任何陌生、不信任的連結,始終要反複确認正确的官方管道資訊。

2、打開任何網站如果喚醒錢包簽名确認彈窗,不要着急點确認,耐心仔細的閱讀 Singnature request 上方出現的互動網址和簽名内容,一般出現陌生網址和 Permit 包含 Spender 、Value 的 Permit 資訊,直接點選【拒絕】可避免資産損失。

币圈大佬接連中招,Permit簽名釣魚為何這麼厲害?

3、當登入注冊時喚醒的【消息簽名】彈窗才是安全可以點選的确認操作,參考樣式如下:

币圈大佬接連中招,Permit簽名釣魚為何這麼厲害?