原文來源:律動
轉載:Koala,火星财經
9 月 28 日,Lookonchain 發文披露,由于網絡釣魚攻擊,某位址損失了 12,083.6 枚 spWETH(約合 3233 萬美元)。Arkham 稱該錢包可能與 Cobo 聯合創始人兼 CEO 神魚 ( @bitfish1 ) 有關。目前,神魚暫未對此做出回應。今日,據 Lookonchain 報道,某位址(可能與 @ContinueFund 有關)在 6 小時前通過簽署「Permit」釣魚簽名損失了 15079 fwDETH(價值 3600 萬美元)。Permit 簽名釣魚為何如此厲害,連圈内大佬也接連中招?本文對此進行了詳細科普。BlockBeats 再次提醒使用者,請不要點選任何未知的連結,也不要簽署任何未知簽名。
據 GoPlus 安全團隊監測,當下釣魚攻擊成為 Web3 個人使用者損失最多的主要風險,通常攻擊者模仿官方推特、Telegram、郵件、Discord 回複或私聊使用者用 Claim 空投、退款、福利活動引誘使用者點選釣魚網站連結,然後在錢包通過「Permit」簽名等将使用者授權資産盜走。這是一種采用 EIP-2612 離線簽名授權标準,允許使用者無需擁有 Eth 來支付 Gas 費即可進行準許,能夠簡化了使用者的審批流程,降低手動審批流程導緻的錯誤或延遲的風險,但也成為了目前釣魚攻擊的常用方式。
什麼是 Permit 簽名
簡單說,過去我們需要 Approve 後才可以将代币轉給别的合約,但如果合約支援 Permit,可以通過 Permit 離線簽名,跳過 Approve 且無需支付 gas 的方式進行授權,進行授權後第三方就擁有了相應控制權,随時可以轉走使用者授權的資産。
Alice 使用鍊下簽名向協定進行授權,協定調用 Permit 上鍊拿到授權,然後可以調用 TransferFrom 轉移相應資産。
1. 交易中附加 permit 簽名進行互動,無需預先 approve
2. 鍊下簽名,鍊上操作由被授權位址操作,隻能在被授權位址檢視授權交易
3. 要求将相關方法寫入 ERC20 代币合約内,EIP-2612 之前釋出的 token 不支援
釣魚攻擊者僞造好釣魚網站後會利用 Permit 簽名擷取使用者授權,Permit 簽名通常包含了:
Interactive:互動網址
Owner:授權方位址
Spender:被授權方位址
Value:授權數量
Nonce:随機數(防重放)
Deadline:過期時間
使用者一旦簽署了 Permit 簽名,Spender 就可以在 Deadline 内轉移相應 Value 的資産。
如何防範 Permit 簽名釣魚攻擊
1、不要點選任何陌生、不信任的連結,始終要反複确認正确的官方管道資訊。
2、打開任何網站如果喚醒錢包簽名确認彈窗,不要着急點确認,耐心仔細的閱讀 Singnature request 上方出現的互動網址和簽名内容,一般出現陌生網址和 Permit 包含 Spender 、Value 的 Permit 資訊,直接點選【拒絕】可避免資産損失。
3、當登入注冊時喚醒的【消息簽名】彈窗才是安全可以點選的确認操作,參考樣式如下: