De grands noms du secteur des cryptomonnaies ont été victimes d'arnaques les unes après les autres, entraînant des pertes dépassant 470 millions de yuans. Pourquoi le phishing par signature Permit est-il si puissant ?

Auteur : Biteye, Source : Auteur Twitter @BiteyeCN

Le 28 septembre, une adresse a perdu environ 32,33 millions de dollars en raison d'une attaque de phishing. La rumeur disait que l'adresse était liée au magnat de la crypto-monnaie Shenyu. Par coïncidence, le 11 octobre, un actif fwDETH d'une valeur de 35 millions de dollars a de nouveau été volé par un gang de phishing. En seulement un demi-mois, des actifs virtuels d'une valeur totale de plus de 470 millions de yuans ont été difficiles à récupérer en raison des attaques de phishing autorisées.

Pourquoi le permis de pêche signé est-il si puissant ? Même les grands du cercle monétaire sont trompés les uns après les autres ?

Qu'est-ce qu'une signature de permis ?

Afin de comprendre l'introduction de la signature Permit, vous devez d'abord maîtriser les règles de transaction des devises ERC20 : le compte A peut appeler la fonction d'approbation pour autoriser le compte B à exploiter le token spécifié, et seul le propriétaire du token peut appeler cette fonction. .

Le permis est un mécanisme qui utilise des signatures hors ligne pour mettre en œuvre l'autorisation, ce qui vous permet d'ignorer l'étape d'approbation sans payer de frais d'essence. Au cours de ce processus, A signe B hors chaîne à l'avance et fournit cette signature à B ; il peut ensuite utiliser cette signature pour effectuer l'opération d'autorisation de A en appelant la fonction permit, qui permet à B d'utiliser transferFrom pour transférer des jetons.

Grâce au permis, A peut transférer des jetons sans effectuer de transactions en chaîne, et l'exploitation du permis n'est pas limitée au propriétaire du compte. Le permis a été officiellement introduit dans la proposition EIP-2612 du protocole ERC20, offrant aux utilisateurs un moyen d'interaction pratique et économique.

Comment les signatures Permit sont-elles utilisées pour mener des attaques de phishing ?

Selon l'introduction ci-dessus, lorsqu'un utilisateur accède par erreur à un site Web de phishing et clique sur le lien, le pirate informatique obtient la signature. Il utilise ensuite les informations de signature pour télécharger le permis dans la chaîne afin de contrôler et de transférer les actifs de l'utilisateur.

Étapes de l'attaque : Accédez au site Web de phishing - Associez le portefeuille au site Web de phishing pour le signer - Le pirate informatique obtient la signature et vole les actifs via le permis

Par exemple, ce qui suit est une signature malveillante d'un site Web de phishing : le haut de l'image montre qu'il s'agit d'un site Web de phishing zksync, la signature d'autorisation ci-dessous montre que le portefeuille (propriétaire) autorise une adresse (dépensier) et la valeur ci-dessous se trouve le code d'autorisation. Le nombre de pièces, la date limite est l'horodatage, qui est valable jusqu'à l'heure indiquée.

Comment éviter les attaques de phishing par signature Permit

Les attaques de phishing par signature autorisée ne sont pas totalement inévitables, et la plupart des utilisateurs qui subissent des pertes ont commis plusieurs erreurs de sécurité en succession rapide.

Tout d'abord, les utilisateurs doivent distinguer les portefeuilles qui stockent les pièces des portefeuilles qui interagissent avec DeFi, et vérifier soigneusement l'URL avant de lier les portefeuilles, de signer ou d'autoriser pour s'assurer qu'ils ont accédé au bon site Web ;

Certains sites Web peuvent également avoir des contrats remplacés de manière malveillante par des pirates informatiques. Avant de cliquer pour signer ou autoriser, nous devons lire attentivement les informations de demande de signature qui apparaissent sur le portefeuille pour nous assurer que l'adresse autorisée actuelle est correcte et que les actifs et le montant sont sous contrôle. ;

Enfin, nous pouvons utiliser des plug-ins de sécurité tels que @wallet_guard @realScamSniffer pour aider à identifier les risques anormaux, et utiliser occasionnellement des outils d'autorisation tels que RevokeCash (https://revoke.cash) pour vérifier s'il existe des autorisations anormales. Dans le même temps, vous pouvez également obtenir des informations de signature plus lisibles en choisissant d'utiliser des portefeuilles de plug-ins tels que @Rabby_io.