據 GoPlus 安全團隊監測，當下釣魚攻擊成為 Web3 個人用戶損失最多的主要風險，通常攻擊者模仿官方推特、Telegram、郵件、Discord 回復或私聊用戶用 Claim 空投、退款、福利活動引誘用戶點擊釣魚網站鏈接，然後在錢包通過「Permit」簽名等將用戶授權資產盜走。這是一種採用 EIP-2612 離線簽名授權標準，允許用戶無需擁有 Eth 來支付 Gas 費即可進行批准，能夠簡化了用戶的審批流程，降低手動審批流程導致的錯誤或延遲的風險，但也成為了當前釣魚攻擊的常用方式。

什麼是 Permit 簽名

簡單說，過去我們需要 Approve 後才可以將代幣轉給別的合約，但如果合約支持 Permit，可以通過 Permit 離線簽名，跳過 Approve 且無需支付 gas 的方式進行授權，進行授權後第三方就擁有了相應控制權，隨時可以轉走用戶授權的資產。

Alice 使用鏈下簽名向協議進行授權，協議調用 Permit 上鏈拿到授權，然後可以調用 TransferFrom 轉移相應資產。

1. 交易中附加 permit 簽名進行交互，無需預先 approve

2. 鏈下簽名，鏈上操作由被授權地址操作，只能在被授權地址查看授權交易

3. 要求將相關方法寫入 ERC20 代幣合約內，EIP-2612 之前發布的 token 不支持

釣魚攻擊者偽造好釣魚網站後會利用 Permit 簽名獲取用戶授權，Permit 簽名通常包含了：

Interactive：交互網址

Owner：授權方地址

Spender：被授權方地址

Value：授權數量

Nonce：隨機數（防重放）

Deadline：過期時間

用戶一旦簽署了 Permit 簽名，Spender 就可以在 Deadline 內轉移相應 Value 的資產。

如何防範 Permit 簽名釣魚攻擊

1、不要點擊任何陌生、不信任的鏈接，始終要反覆確認正確的官方渠道資訊。

2、打開任何網站如果喚醒錢包簽名確認彈窗，不要着急點確認，耐心仔細的閱讀 Singnature request 上方出現的交互網址和簽名內容，一般出現陌生網址和 Permit 包含 Spender 、Value 的 Permit 資訊，直接點擊【拒絕】可避免資產損失。

3、當登錄註冊時喚醒的【消息簽名】彈窗才是安全可以點擊的確認操作，參考樣式如下：

原文連結