Hüten Sie sich vor den Risiken von Permit-Signatur-Phishing durch Wallet-Popups
Derzeit sind Phishing-Angriffe das Hauptrisiko, das einzelnen Web3-Benutzern die meisten Verluste verursacht. In der Regel imitieren Angreifer offizielle Twitter-, Telegram-, E-Mail-, Discord-Antworten oder private Chat-Benutzer, um Benutzer zum Klicken zu verleiten auf dem Phishing-Website-Link und dann in der Brieftasche. Die autorisierten Vermögenswerte des Benutzers werden durch „Erlaubnis“-Signaturen usw. gestohlen. Hierbei handelt es sich um einen Offline-Signatur-Autorisierungsstandard, der EIP-2612 übernimmt und es Benutzern ermöglicht, zu genehmigen, ohne Eth zu besitzen, um Gasgebühren zu zahlen. Dies kann den Genehmigungsprozess des Benutzers vereinfachen und das Risiko von Fehlern oder Verzögerungen durch manuelle Genehmigungsprozesse verringern Die derzeit gängigen Methoden von Phishing-Angriffen.
Was ist eine Genehmigungssignatur?
Um es einfach auszudrücken: In der Vergangenheit mussten wir Genehmigungen erteilen, bevor wir Token auf andere Verträge übertragen konnten. Wenn der Vertrag jedoch Genehmigungen unterstützt, können wir Genehmigungen überspringen und nach der Genehmigung den dritten Schritt autorisieren Mit den entsprechenden Kontrollrechten können die vom Nutzer autorisierten Vermögenswerte jederzeit übertragen werden.
Alice verwendet eine Off-Chain-Signatur, um das Protokoll zu autorisieren. Das Protokoll ruft Permit auf, um die Autorisierung in der Kette zu erhalten, und ruft dann TransferFrom auf, um die entsprechenden Assets zu übertragen.
Fügen Sie der Transaktion eine Genehmigungsunterschrift für eine Interaktion ohne Vorabgenehmigung bei
Off-Chain-Signaturen, On-Chain-Vorgänge werden von autorisierten Adressen ausgeführt und autorisierte Transaktionen können nur an autorisierten Adressen eingesehen werden.
Relevante Methoden müssen in den ERC20-Token-Vertrag geschrieben werden. Token, die vor EIP-2612 veröffentlicht wurden, werden nicht unterstützt.
Nachdem Phishing-Angreifer eine Phishing-Website gefälscht haben, verwenden sie die Permit-Signatur, um eine Benutzerautorisierung zu erhalten. Die Permit-Signatur umfasst normalerweise Folgendes:
Interaktiv: interaktive URL
Eigentümer: Adresse der autorisierten Partei
Spender: Adresse der autorisierten Partei
Wert: Autorisierte Menge
Nonce: Zufallszahl (Anti-Replay)
Frist: Ablaufzeit
Sobald der Benutzer die Genehmigungsunterschrift unterzeichnet hat, kann Spender die entsprechenden Wertanlagen innerhalb der Frist übertragen.
So verhindern Sie Permit-Signatur-Phishing-Angriffe
1. Klicken Sie nicht auf unbekannte oder nicht vertrauenswürdige Links und bestätigen Sie immer wiederholt die korrekten offiziellen Kanalinformationen.
2. Wenn Sie eine Website öffnen und das Popup-Fenster zur Bestätigung der Wallet-Signatur aufruft, beeilen Sie sich nicht mit der Bestätigung und lesen Sie die interaktive URL und den Signaturinhalt, die im Allgemeinen über der Signaturanforderung angezeigt werden, sorgfältig durch Es werden Informationen wie Spender und Wert angezeigt. Klicken Sie direkt auf [Ablehnen], um den Verlust von Vermögenswerten zu vermeiden.
3. Nur das beim Anmelden und Registrieren aktivierte Popup-Fenster für die Nachrichtensignatur ist sicher. Sie können auf klicken, um den Vorgang zu bestätigen. Der Stil ist wie folgt: