Tenga cuidado con los riesgos de phishing de firmas de permisos provenientes de ventanas emergentes de billetera

Actualmente, los ataques de phishing se han convertido en el principal riesgo que causa la mayor cantidad de pérdidas para los usuarios individuales de la Web 3. Por lo general, los atacantes imitan a los usuarios oficiales de Twitter, Telegram, correo electrónico, respuestas de Discord o chats privados para utilizar Claim airdrops, reembolsos y actividades de asistencia social para atraer a los usuarios a hacer clic. en el enlace del sitio web de phishing y luego en la billetera, los activos autorizados del usuario se roban mediante firmas de "Permiso", etc. Este es un estándar de autorización de firma fuera de línea que adopta EIP-2612, lo que permite a los usuarios aprobar sin poseer Eth para pagar tarifas de gas. Puede simplificar el proceso de aprobación del usuario y reducir el riesgo de errores o retrasos causados ​​por los procesos de aprobación manuales, pero también se convierte en Los métodos comunes actuales de ataques de phishing.

¿Qué es una firma de permiso?

En pocas palabras, en el pasado, necesitábamos Aprobar antes de poder transferir tokens a otros contratos. Sin embargo, si el contrato admite Permiso, podemos firmar sin conexión a través de Permiso, omitir Aprobar y autorizar sin pagar el gas. Después de la autorización, el tercero. será titular del mismo con los correspondientes derechos de control, los bienes autorizados por el usuario podrán ser transferidos en cualquier momento.

Alice usa una firma fuera de la cadena para autorizar el protocolo. El protocolo llama a Permit para obtener la autorización en la cadena y luego llama a TransferFrom para transferir los activos correspondientes.

Adjunte una firma de permiso a la transacción para interacción sin aprobación previa

Las firmas fuera de la cadena, las operaciones dentro de la cadena se realizan mediante direcciones autorizadas y las transacciones autorizadas solo se pueden ver en direcciones autorizadas.

Es necesario escribir los métodos relevantes en el contrato de token ERC20. Los tokens publicados antes de EIP-2612 no son compatibles.

Después de que los atacantes de phishing falsifiquen un sitio web de phishing, utilizarán la firma de permiso para obtener la autorización del usuario. La firma de permiso generalmente incluye:

Interactivo: URL interactiva

Propietario: Dirección de la parte que autoriza

Gastador: dirección de la parte autorizada

Valor: Cantidad autorizada

Nonce: número aleatorio (anti-repetición)

Plazo: Tiempo de vencimiento

Una vez que el usuario firma la firma del Permiso, Spender puede transferir los activos de Valor correspondientes dentro del plazo.

Cómo prevenir ataques de phishing de firmas de permisos

1. No haga clic en ningún enlace desconocido o que no sea confiable y siempre confirme repetidamente la información correcta del canal oficial.

2. Si abre cualquier sitio web y aparece la ventana emergente de confirmación de la firma de la billetera, no se apresure a confirmar. Tenga paciencia y lea atentamente la URL interactiva y el contenido de la firma que aparecen encima de Solicitud de firma. Generalmente, URL desconocidas y Permiso. Aparecerá información que incluye Gasto y Valor. Haga clic directamente en [Rechazar] para evitar la pérdida de activos.

3. Solo la ventana emergente de firma del mensaje que se activa al iniciar sesión y registrarse es segura. Puede hacer clic para confirmar la operación. El estilo es el siguiente.