GoPlus:謹防錢包彈窗的Permit簽名釣魚風險
BlockBeats 律動財經 2024-04-02 18:00
據 GoPlus 安全團隊監測,當下釣魚攻擊成為 Web3 個人用戶損失最多的主要風險,通常攻擊者模仿官方推特、Telegram、郵件、Discord 回復或私聊用戶用 Claim 空投、退款、福利活動引誘用戶點擊釣魚網站鏈接,然後在錢包通過「Permit」簽名等將用戶授權資產盜走。這是一種採用 EIP-2612 離線簽名授權標準,允許用戶無需擁有 Eth 來支付 Gas 費即可進行批准,能夠簡化了用戶的審批流程,降低手動審批流程導致的錯誤或延遲的風險,但也成為了當前釣魚攻擊的常用方式。
什麼是 Permit 簽名
簡單說,過去我們需要 Approve 後才可以將代幣轉給別的合約,但如果合約支持 Permit,可以通過 Permit 離線簽名,跳過 Approve 且無需支付 gas 的方式進行授權,進行授權後第三方就擁有了相應控制權,隨時可以轉走用戶授權的資產。
Alice 使用鏈下簽名向協議進行授權,協議調用 Permit 上鏈拿到授權,然後可以調用 TransferFrom 轉移相應資產。
1. 交易中附加 permit 簽名進行交互,無需預先 approve
2. 鏈下簽名,鏈上操作由被授權地址操作,只能在被授權地址查看授權交易
3. 要求將相關方法寫入 ERC20 代幣合約內,EIP-2612 之前發布的 token 不支持
釣魚攻擊者偽造好釣魚網站後會利用 Permit 簽名獲取用戶授權,Permit 簽名通常包含了:
Interactive:交互網址
Owner:授權方地址
Spender:被授權方地址
Value:授權數量
Nonce:隨機數(防重放)
Deadline:過期時間
用戶一旦簽署了 Permit 簽名,Spender 就可以在 Deadline 內轉移相應 Value 的資產。
如何防範 Permit 簽名釣魚攻擊
1、不要點擊任何陌生、不信任的鏈接,始終要反覆確認正確的官方渠道資訊。
2、打開任何網站如果喚醒錢包簽名確認彈窗,不要着急點確認,耐心仔細的閱讀 Singnature request 上方出現的交互網址和簽名內容,一般出現陌生網址和 Permit 包含 Spender 、Value 的 Permit 資訊,直接點擊【拒絕】可避免資產損失。
3、當登錄註冊時喚醒的【消息簽名】彈窗才是安全可以點擊的確認操作,參考樣式如下:
暢行幣圈交易全攻略,專家駐群實戰交流
▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群)
不管是新手發問,還是老手交流,只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!
- 從零開始學合約系列講座熱烈報名中
- 掌握全球財經資訊點我下載APP
文章標籤
上一篇
下一篇