Dejte si pozor na rizika phishingu Povolení podpisu z vyskakovacích oken peněženky
V současné době se phishingové útoky staly hlavním rizikem, které způsobuje největší ztráty jednotlivým uživatelům Web3. Útočníci obvykle napodobují uživatele na oficiálním Twitteru, telegramu, e-mailech, odpovědích na Discord nebo soukromých chatech, aby využili možnosti Claim airdrops, refundace a sociální aktivity, aby nalákali uživatele ke kliknutí. na odkazy na phishingové webové stránky a poté v jejich peněženkách Autorizovaný majetek uživatele je odcizen prostřednictvím podpisů „Povolení“ atd. Jedná se o offline standard pro autorizaci podpisů, který přijímá EIP-2612 a umožňuje uživatelům schvalovat, aniž by vlastnili Eth poplatky za plyn. To může zjednodušit proces schvalování uživatele a snížit riziko chyb nebo zpoždění způsobených manuálními schvalovacími procesy, ale také se stává. Současné běžné metody phishingových útoků.
Co je to podpis povolení?
Zjednodušeně řečeno, v minulosti jsme potřebovali Schválit, než jsme mohli převést tokeny do jiných smluv. Pokud však smlouva podporuje Povolení, můžeme podepsat offline přes Povolení, přeskočit Schválit a po autorizaci třetí strana jej bude vlastnit S odpovídajícími kontrolními právy lze aktiva autorizovaná uživatelem kdykoli převést.
Alice používá off-chain podpis k autorizaci protokolu. Protokol zavolá Permit, aby získal autorizaci v řetězci, a poté zavolá TransferFrom, aby přenesl odpovídající aktiva.
Připojte podpis povolení k transakci pro interakci bez předchozího schválení
Off-chain podpis, on-chain operace jsou prováděny autorizovanými adresami a autorizované transakce lze prohlížet pouze na autorizovaných adresách.
Je nutné zapsat příslušné metody do smlouvy o tokenu ERC20. Tokeny vydané před EIP-2612 nejsou podporovány.
Poté, co phishingoví útočníci zfalšují phishingový web, použijí podpis povolení k získání oprávnění uživatele. Podpis povolení obvykle obsahuje:
Interaktivní: interaktivní URL
Vlastník: Adresa autorizující strany
Spender: Adresa oprávněné strany
Hodnota: Povolené množství
Ne: náhodné číslo (anti-replay)
Termín: Doba platnosti
Jakmile uživatel podepíše podpis povolení, může Spender převést odpovídající aktiva Value ve stanovené lhůtě.
Jak zabránit útokům typu Permit signature phishing
1. Neklikejte na žádné neznámé nebo nedůvěryhodné odkazy a vždy opakovaně potvrďte správné oficiální informace o kanálu.
2. Pokud otevřete jakoukoli webovou stránku a probudíte vyskakovací okno pro potvrzení podpisu peněženky, nespěchejte s potvrzením a pečlivě si přečtěte interaktivní adresy URL a obsah podpisu, které se objevují nad žádostí o podpis zobrazí se informace včetně Spendera a hodnoty Klikněte přímo na [ Odmítnout], abyste předešli ztrátě aktiv.
3. Bezpečné je pouze vyskakovací okno s podpisem zprávy, které se probudí při přihlášení a registraci. Operaci můžete potvrdit kliknutím.