Uważaj na ryzyko phishingu związanego z podpisem Permit ze strony wyskakujących okienek portfela
Obecnie ataki phishingowe stały się głównym ryzykiem powodującym największe straty dla indywidualnych użytkowników Web3. Zwykle napastnicy imitują oficjalne odpowiedzi na Twitterze, Telegramie, e-mailach, odpowiedziach na Discordzie lub prywatnych czatach, aby wykorzystać zrzuty reklamowe, zwroty pieniędzy i działania związane z opieką społeczną, aby zwabić użytkowników do kliknięcia. na łączu do witryny phishingowej, a następnie w portfelu Autoryzowane zasoby użytkownika są kradzione poprzez podpisy „Pozwól” itp. Jest to standard autoryzacji podpisu w trybie offline, który wykorzystuje EIP-2612, umożliwiając użytkownikom zatwierdzanie bez konieczności posiadania Eth w celu uiszczenia opłat za gaz. Może uprościć proces zatwierdzania użytkownika i zmniejszyć ryzyko błędów lub opóźnień spowodowanych ręcznymi procesami zatwierdzania, ale również się zdarza Obecnie powszechne metody ataków phishingowych.
Co to jest podpis pozwolenia?
Mówiąc najprościej, w przeszłości potrzebowaliśmy funkcji Approve, zanim mogliśmy przenieść tokeny do innych umów. Jeśli jednak umowa obsługuje opcję Permit, możemy podpisać się w trybie offline poprzez opcję Permit, pominąć opcję Approve i autoryzować bez płacenia za gaz Strona będzie jego właścicielem Dzięki odpowiednim uprawnieniom kontrolnym aktywa autoryzowane przez użytkownika będą mogły zostać w każdej chwili przeniesione.
Alice używa podpisu poza łańcuchem do autoryzacji protokołu. Protokół wywołuje Permit, aby uzyskać autoryzację w łańcuchu, a następnie wywołuje TransferFrom, aby przesłać odpowiednie zasoby.
Dołącz podpis zezwolenia do transakcji w celu interakcji bez wstępnej zgody
Podpis poza łańcuchem, operacje w łańcuchu są wykonywane przez autoryzowane adresy, a autoryzowane transakcje można przeglądać tylko pod autoryzowanymi adresami.
Wymagane jest wpisanie odpowiednich metod do umowy na token ERC20. Tokeny wydane przed EIP-2612 nie są obsługiwane.
Gdy osoby atakujące metodą phishingu sfałszują witrynę phishingową, użyją podpisu zezwolenia w celu uzyskania autoryzacji użytkownika. Podpis zezwolenia zawiera zwykle:
Interaktywny: interaktywny adres URL
Właściciel: Adres strony upoważniającej
Nadawca: Adres strony upoważnionej
Wartość: Dozwolona ilość
Nonce: liczba losowa (zabezpieczenie przed powtórką)
Termin: Termin ważności
Po podpisaniu przez użytkownika podpisu Zezwolenia Spender może przenieść odpowiednie aktywa wartościowe w określonym terminie.
Jak zapobiegać atakom typu phishing na podstawie podpisu zezwolenia
1. Nie klikaj żadnych nieznanych lub niewiarygodnych linków i zawsze wielokrotnie potwierdzaj prawidłowe oficjalne informacje o kanale.
2. Jeśli otworzysz jakąkolwiek stronę internetową i wyświetli się wyskakujące okienko z potwierdzeniem podpisu portfela, nie spiesz się z potwierdzeniem i uważnie przeczytaj interaktywny adres URL i treść podpisu, które pojawiają się nad prośbą o podpis. Ogólnie rzecz biorąc, nieznane adresy URL i zezwolenie pojawią się informacje, w tym wydatek i wartość. Kliknij bezpośrednio [ Odrzuć], aby uniknąć utraty aktywów.
3. Jedynie wyskakujące okienko z podpisem wiadomości otwierane podczas logowania i rejestracji jest bezpieczne. Możesz kliknąć, aby potwierdzić operację. Styl jest następujący.