🚨 被盗2亿人民币的 Permit 签名 是什么?

你的钱包安全吗?多重方案,教你避免资产损失!

再次强调安全无小事——

昨天发又一个超大金额钓鱼事件,涉及损失超 1.2 万枚 spWETH,3200多万美金,超过2亿多人民币;

目测是不太容易被发现的 "permit" 签名导致的;

1️⃣认识 Permit 签名 :

Permit 是一种在以太坊生态系统中使用的EIP-2612标准。这允许用户签署一个信息哈希来批准代币转账,而不直接使用他们的私钥。

在实践中,恶意攻击者可能会通过各种方式诱导用户签署一个看起来无害但实际上允许转账的签名。

对这点还不清楚的,可以认真研究下 @bocaibocai_ 写的一篇,我认识是中文区目前全网写相关最全的一篇文章:

https://x.com/bocaibocai_/status/1781969154268098701;

我这里便不做赘述;

2️⃣如何避免这类事故发生?

1)不要怕麻烦,多学习研究,先做了解;

了解你正在交互的平台。确保你知道为什么要签署这个签名,以及它允许什么操作。

永远不要在不完全理解的情况下签署任何东西。

2)养成查询习惯

在https://revoke.cash查询自己是否有permit/permit2的无限授权签名,如果不是高频使用的建议取消;

3)安装防护插件

为了你资产安全,你必须安装的Web3安全浏览器插件

@wallet_guard 有打分系统会提示各种可能存在的风险;

@realScamSniffer 主要作安全检测,相对更简洁! 一个简单的操作可能帮你在关键时候损失大量资产

Walletguard 安装:https://chromewebstore.google.com/detail/wallet-guard-protect-your/pdgbckgdncnhihllonhnjbdoighgpimk…

Scam Sniffer 安装: https://chromewebstore.google.com/detail/scam-sniffer/mnkbccinkbalkmmnmbcicdobcmgggmfc?pli=1

4)硬件钱包加强防护:

使用硬件钱包:硬件钱包提供比软件钱包更安全的私钥管理方式,即使签名被截获,私钥仍然安全。

5)大额钱包设置双重签名或多签名:

如果有可能,设置需要多个签名来进行大额交易。

6)多方面核对,验证信息:

对于突然出现的要求签署不明信息的请求保持警惕,特别是当涉及到大额交易时。

总是自己输入重要的合约地址或网址,再和官方推特进行,永远先做验证,而不是直接点击链接。

检查合约地址是否与官方公布的一致。可以使用区块浏览器来核对。

7)软件更新:

确保你使用的钱包软件是最新版本,它们通常会包含最新的安全补丁。

8)永远不在不清醒的时候慌张交互

这一点很重要,需要养成习惯,不清醒,或者喝酒太晚大脑不清晰的时候,就尽量不交互,或者多验证;

通过提高个人和社区的安全意识,以及实施技术和行为上的防护措施,大多数 "Permit" 或类似的钓鱼事件是可以避免的。关键在于警惕、教育和使用安全的工具和实践。