Méfiez-vous des risques de phishing de signature générés par les fenêtres contextuelles du portefeuille

Actuellement, les attaques de phishing sont devenues le principal risque qui cause le plus de pertes aux utilisateurs individuels du Web 3. Habituellement, les attaquants imitent les réponses officielles de Twitter, Telegram, les e-mails, les réponses Discord ou les utilisateurs de chat privé pour utiliser les parachutages, les remboursements et les activités sociales pour inciter les utilisateurs à cliquer. sur le lien du site de phishing, puis dans le portefeuille. Les actifs autorisés de l'utilisateur sont volés via les signatures « Permis », etc. Il s'agit d'une norme d'autorisation de signature hors ligne qui adopte EIP-2612, permettant aux utilisateurs d'approuver sans posséder Eth pour payer les frais de gaz. Cela peut simplifier le processus d'approbation de l'utilisateur et réduire le risque d'erreurs ou de retards causés par les processus d'approbation manuels, mais cela devient également Les méthodes courantes actuelles d’attaques de phishing.

Qu'est-ce qu'une signature de permis ?

Pour faire simple, dans le passé, nous devions approuver avant de pouvoir transférer des jetons vers d'autres contrats. Cependant, si le contrat prend en charge le permis, nous pouvons signer hors ligne via le permis, ignorer l'approbation et autoriser sans payer d'essence, après l'autorisation. la partie en sera propriétaire. Avec les droits de contrôle correspondants, les actifs autorisés par l'utilisateur pourront être transférés à tout moment.

Alice utilise une signature hors chaîne pour autoriser le protocole. Le protocole appelle Permit pour obtenir l'autorisation sur la chaîne, puis appelle TransferFrom pour transférer les actifs correspondants.

Joindre une signature de permis à la transaction pour une interaction sans approbation préalable

Signature hors chaîne, les opérations en chaîne sont effectuées par des adresses autorisées et les transactions autorisées ne peuvent être consultées qu'à des adresses autorisées.

Les méthodes pertinentes doivent être écrites dans le contrat de jeton ERC20. Les jetons publiés avant EIP-2612 ne sont pas pris en charge.

Une fois que les attaquants de phishing ont créé un site Web de phishing, ils utilisent la signature Permit pour obtenir l'autorisation de l'utilisateur. La signature Permit comprend généralement :

Interactif : URL interactive

Propriétaire : Adresse de la partie autorisant

Dépensier : adresse de la partie autorisée

Valeur : Quantité autorisée

Nonce : nombre aléatoire (anti-relecture)

Date limite : heure d'expiration

Une fois que l'utilisateur a signé la signature du permis, Spender peut transférer les actifs de valeur correspondants dans le délai.

Comment prévenir les attaques de phishing par signature Permit

1. Ne cliquez pas sur des liens inconnus ou peu fiables et confirmez toujours à plusieurs reprises les informations correctes de la chaîne officielle.

2. Si vous ouvrez un site Web et réveillez la fenêtre contextuelle de confirmation de signature du portefeuille, ne vous précipitez pas pour confirmer. Soyez patient et lisez attentivement l'URL interactive et le contenu de la signature qui apparaissent au-dessus de la demande de signature et du permis. des informations, notamment Dépensier et Valeur, apparaîtront. Cliquez directement sur [Rejeter] pour éviter la perte d'actifs.

3. Seule la fenêtre contextuelle de signature du message réveillée lors de la connexion et de l'inscription est sécurisée. Vous pouvez cliquer pour confirmer l'opération. Le style est le suivant :