ウォレットのポップアップによる許可署名フィッシングのリスクに注意してください
現在、フィッシング攻撃は、個々の Web3 ユーザーに最大の損失をもたらす主なリスクとなっています。通常、攻撃者は、公式 Twitter、Telegram、電子メール、Discord への返信、またはプライベート チャット ユーザーを模倣して、エアドロップ、返金、福利厚生活動を利用して、ユーザーのクリックを誘います。フィッシング Web サイトのリンク、そしてウォレット内で「許可」署名などを介してユーザーの許可された資産が盗まれます。これは EIP-2612 を採用したオフライン署名承認標準であり、ユーザーは Eth を所有せずに承認してガス料金を支払うことができます。これにより、ユーザーの承認プロセスが簡素化され、手動の承認プロセスによって引き起こされるエラーや遅延のリスクが軽減されます。現在一般的なフィッシング攻撃の手法。
許可署名とは何ですか?
簡単に言うと、以前はトークンを他のコントラクトに転送する前に承認が必要でしたが、コントラクトが Permit をサポートしている場合は、Permit を介してオフラインで署名し、承認後はガスを支払うことなく承認できます。当事者がそれを所有することになり、対応する管理権があれば、ユーザーが許可した資産はいつでも譲渡できます。
アリスは、オフチェーン署名を使用してプロトコルを承認し、Permit を呼び出してチェーン上の承認を取得し、次に TransferFrom を呼び出して対応するアセットを転送します。
事前承認なしで対話できるようにトランザクションに許可署名を添付します。
オフチェーン署名、オンチェーン操作は承認されたアドレスによって実行され、承認されたトランザクションは承認されたアドレスでのみ表示されます。
関連するメソッドを ERC20 トークン コントラクトに書き込む必要があります。EIP-2612 より前にリリースされたトークンはサポートされていません。
フィッシング攻撃者は、フィッシング Web サイトを偽造した後、Permit 署名を使用してユーザーの承認を取得します。通常、Permit 署名には次のものが含まれます。
インタラクティブ: インタラクティブな URL
所有者: 承認者のアドレス
支出者: 承認された当事者のアドレス
値: 承認された数量
Nonce: 乱数 (アンチリプレイ)
期限: 有効期限
ユーザーが許可署名に署名すると、Spender は期限内に対応するバリュー資産を譲渡できます。
Permit シグネチャ フィッシング攻撃を防ぐ方法
1. 見覚えのないリンクや信頼できないリンクをクリックせず、常に正しい公式チャネル情報を繰り返し確認してください。
2. Web サイトを開いてウォレットの署名確認ポップアップ ウィンドウを起動した場合は、急いで確認せず、署名リクエストの上に表示されるインタラクティブな URL と署名の内容を注意深く読んでください。支出者と金額を含む情報が表示されます。資産の損失を避けるために、[拒否] を直接クリックしてください。
3. ログインおよび登録時に起動されるメッセージ署名ポップアップ ウィンドウのみが安全です。 クリックして操作を確認できます。 スタイルは次のとおりです。