menu-icon
anue logo
熱門時事鉅亨號鉅亨買幣
search icon

區塊鏈

GoPlus:謹防錢包彈窗的Permit簽名釣魚風險

BlockBeats 律動財經 2024-04-02 18:00

cover image of news article
律動財經圖片

據 GoPlus 安全團隊監測,當下釣魚攻擊成為 Web3 個人用戶損失最多的主要風險,通常攻擊者模仿官方推特、Telegram、郵件、Discord 回復或私聊用戶用 Claim 空投、退款、福利活動引誘用戶點擊釣魚網站鏈接,然後在錢包通過「Permit」簽名等將用戶授權資產盜走。這是一種採用 EIP-2612 離線簽名授權標準,允許用戶無需擁有 Eth 來支付 Gas 費即可進行批准,能夠簡化了用戶的審批流程,降低手動審批流程導致的錯誤或延遲的風險,但也成為了當前釣魚攻擊的常用方式。

什麼是 Permit 簽名

簡單說,過去我們需要 Approve 後才可以將代幣轉給別的合約,但如果合約支持 Permit,可以通過 Permit 離線簽名,跳過 Approve 且無需支付 gas 的方式進行授權,進行授權後第三方就擁有了相應控制權,隨時可以轉走用戶授權的資產。

Alice 使用鏈下簽名向協議進行授權,協議調用 Permit 上鏈拿到授權,然後可以調用 TransferFrom 轉移相應資產。




1. 交易中附加 permit 簽名進行交互,無需預先 approve

2. 鏈下簽名,鏈上操作由被授權地址操作,只能在被授權地址查看授權交易

3. 要求將相關方法寫入 ERC20 代幣合約內,EIP-2612 之前發布的 token 不支持

釣魚攻擊者偽造好釣魚網站後會利用 Permit 簽名獲取用戶授權,Permit 簽名通常包含了:

Interactive:交互網址

Owner:授權方地址

Spender:被授權方地址

Value:授權數量

Nonce:隨機數(防重放)

Deadline:過期時間

用戶一旦簽署了 Permit 簽名,Spender 就可以在 Deadline 內轉移相應 Value 的資產。

如何防範 Permit 簽名釣魚攻擊

1、不要點擊任何陌生、不信任的鏈接,始終要反覆確認正確的官方渠道資訊。

2、打開任何網站如果喚醒錢包簽名確認彈窗,不要着急點確認,耐心仔細的閱讀 Singnature request 上方出現的交互網址和簽名內容,一般出現陌生網址和 Permit 包含 Spender 、Value 的 Permit 資訊,直接點擊【拒絕】可避免資產損失。

3、當登錄註冊時喚醒的【消息簽名】彈窗才是安全可以點擊的確認操作,參考樣式如下:



原文連結

暢行幣圈交易全攻略,專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群
不管是新手發問,還是老手交流,只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!

前往鉅亨買幣找交易所優惠

文章標籤


Empty