Penulis: Biteye, Sumber: Penulis Twitter @BiteyeCN
Pada tanggal 28 September, sebuah alamat kehilangan sekitar US$32,33 juta karena serangan phishing. Alamat tersebut dikabarkan terkait dengan taipan cryptocurrency Shenyu. Secara kebetulan, pada 11 Oktober, aset fwDETH senilai US$35 juta kembali dicuri oleh geng phishing. Hanya dalam waktu setengah bulan, aset virtual dengan nilai total lebih dari 470 juta yuan sulit dipulihkan karena izin serangan phishing yang khas.
Mengapa Izin memancing dengan tanda tangan begitu kuat? Bahkan orang-orang besar di lingkaran mata uang pun ditipu satu demi satu?
Apa itu tanda tangan Izin?
Untuk memahami pengenalan tanda tangan Izin, pertama-tama Anda harus menguasai aturan transaksi mata uang ERC20: Akun A dapat memanggil fungsi persetujuan untuk mengotorisasi Akun B untuk mengoperasikan token yang ditentukan, dan hanya pemilik token yang dapat memanggil fungsi ini .
Izin adalah mekanisme yang menggunakan tanda tangan offline untuk melaksanakan otorisasi, memungkinkan Anda melewati langkah persetujuan tanpa membayar biaya bahan bakar. Selama proses ini, A menandatangani off-chain B terlebih dahulu dan memberikan tanda tangan ini ke B kemudian dapat menggunakan tanda tangan ini untuk melakukan operasi otorisasi A dengan memanggil fungsi izin, yang memungkinkan B menggunakan transferFrom untuk mentransfer token.
Melalui Izin, A dapat mentransfer token tanpa melakukan transaksi on-chain apa pun, dan pengoperasian izin tidak terbatas pada pemilik akun. Izin secara resmi diperkenalkan dalam proposal EIP-2612 dari protokol ERC20, memberikan pengguna cara interaksi yang nyaman dan hemat biaya.
Bagaimana tanda tangan Izin digunakan untuk melakukan serangan phishing?
Berdasarkan pendahuluan di atas, ketika pengguna secara tidak sengaja memasuki situs web phishing dan mengeklik tautannya, peretas mendapatkan tanda tangannya. Peretas kemudian menggunakan informasi tanda tangan tersebut untuk mengunggah izin ke rantai untuk mengontrol dan mentransfer aset pengguna.
Langkah-langkah serangan: Masuk ke situs web phishing - Tautkan dompet di situs web phishing untuk menandatangani - Peretas mendapatkan tanda tangan dan mencuri aset melalui izin
Misalnya, berikut ini adalah tanda tangan berbahaya dari situs web phishing: bagian atas gambar menunjukkan bahwa ini adalah situs web phishing zksync, tanda tangan izin di bawah ini menunjukkan bahwa dompet (pemilik) mengotorisasi suatu alamat (pembelanja), dan nilainya di bawah ini adalah kode otorisasi. Jumlah koin, batas waktu adalah stempel waktu, yang berlaku hingga waktu yang ditentukan.
Bagaimana menghindari serangan phishing Izinkan tanda tangan
Serangan phishing yang mengizinkan tanda tangan tidak sepenuhnya tidak dapat dicegah, dan sebagian besar pengguna yang mengalami kerugian telah melakukan beberapa kesalahan keamanan secara berurutan.
Pertama-tama, pengguna harus membedakan dompet yang menyimpan koin dari dompet yang berinteraksi dengan DeFi, dan memeriksa URL dengan cermat sebelum menautkan dompet, menandatangani atau memberi otorisasi untuk memastikan bahwa mereka telah memasuki situs web yang benar;
Beberapa situs web mungkin juga memiliki kontrak yang diganti secara jahat oleh peretas sebelum mengklik untuk menandatangani atau memberi otorisasi, kita harus membaca dengan cermat informasi permintaan Tanda Tangan yang muncul dari dompet untuk memastikan bahwa alamat resmi saat ini sudah benar dan bahwa aset serta jumlahnya berada dalam kendali. ;
Terakhir, kita dapat menggunakan plug-in keamanan seperti @wallet_guard @realScamSniffer untuk membantu mengidentifikasi risiko yang tidak normal, dan terkadang menggunakan alat otorisasi seperti RevokeCash (https://revoke.cash) untuk memeriksa apakah ada otorisasi yang tidak normal. Pada saat yang sama, Anda juga bisa mendapatkan informasi tanda tangan yang lebih mudah dibaca dengan memilih menggunakan dompet plug-in seperti @Rabby_io.
