Waspadai risiko phishing tanda tangan Izinkan dari pop-up dompet

Saat ini, serangan phishing telah menjadi risiko utama yang menyebabkan kerugian terbesar bagi pengguna Web3 individu. Biasanya penyerang meniru Twitter resmi, Telegram, email, balasan Discord, atau pengguna obrolan pribadi untuk menggunakan airdrop Klaim, pengembalian uang, dan aktivitas kesejahteraan untuk memikat pengguna agar mengklik di tautan situs web phishing, lalu di dompet Aset resmi pengguna dicuri melalui tanda tangan "Izin", dll. Ini adalah standar otorisasi tanda tangan offline yang mengadopsi EIP-2612, memungkinkan pengguna untuk menyetujui tanpa memiliki Eth untuk membayar biaya Gas. Hal ini dapat menyederhanakan proses persetujuan pengguna dan mengurangi risiko kesalahan atau penundaan yang disebabkan oleh proses persetujuan manual, tetapi juga menjadi Metode serangan phishing yang umum saat ini.

Apa itu tanda tangan Izin?

Sederhananya, di masa lalu, kami memerlukan Persetujuan sebelum kami dapat mentransfer token ke kontrak lain. Namun, jika kontrak tersebut mendukung Izin, kami dapat menandatangani secara offline melalui Izin, melewati Persetujuan, dan melakukan otorisasi tanpa membayar bahan bakar, yang ketiga pihak akan memilikinya. Dengan hak kontrol yang sesuai, aset yang diotorisasi oleh pengguna dapat ditransfer kapan saja.

Alice menggunakan tanda tangan off-chain untuk mengotorisasi protokol. Protokol memanggil Izin untuk mendapatkan otorisasi pada rantai, dan kemudian memanggil TransferFrom untuk mentransfer aset terkait.

Lampirkan tanda tangan izin pada transaksi untuk interaksi tanpa persetujuan terlebih dahulu

Tanda tangan off-chain, operasi on-chain dilakukan oleh alamat resmi, dan transaksi resmi hanya dapat dilihat di alamat resmi.

Metode yang relevan harus ditulis ke dalam kontrak token ERC20. Token yang dirilis sebelum EIP-2612 tidak didukung.

Setelah penyerang phishing memalsukan situs web phishing, mereka akan menggunakan tanda tangan Izin untuk mendapatkan otorisasi pengguna. Tanda tangan Izin biasanya mencakup:

Interaktif: URL interaktif

Pemilik: Alamat pihak yang memberi otorisasi

Pembelanja: Alamat pihak yang berwenang

Nilai: Kuantitas resmi

Nonce: nomor acak (anti-putar ulang)

Batas waktu: Waktu kedaluwarsa

Setelah pengguna menandatangani tanda tangan Izin, Pembelanja dapat mentransfer aset Nilai yang sesuai dalam tenggat waktu.

Bagaimana mencegah serangan phishing Izinkan tanda tangan

1. Jangan mengklik tautan apa pun yang asing atau tidak dapat dipercaya, dan selalu konfirmasikan informasi saluran resmi yang benar berulang kali.

2. Jika Anda membuka situs web apa pun dan membuka jendela pop-up konfirmasi tanda tangan dompet, jangan terburu-buru mengonfirmasi. Bersabarlah dan baca dengan cermat URL interaktif dan konten tanda tangan yang muncul di atas permintaan Tanda Tangan akan muncul informasi termasuk Pembelanja dan Nilai. Klik langsung [ Tolak] untuk menghindari hilangnya aset.

3. Hanya jendela pop-up tanda tangan pesan yang muncul saat masuk dan mendaftar yang aman. Anda dapat mengklik untuk mengonfirmasi pengoperasian.