Uważaj na ryzyko phishingu związanego z podpisem Permit ze strony wyskakujących okienek portfela

Obecnie ataki phishingowe stały się głównym ryzykiem powodującym największe straty dla indywidualnych użytkowników Web3. Zwykle napastnicy imitują oficjalne odpowiedzi na Twitterze, Telegramie, e-mailach, odpowiedziach na Discordzie lub prywatnych czatach, aby wykorzystać zrzuty reklamowe, zwroty pieniędzy i działania związane z opieką społeczną, aby zwabić użytkowników do kliknięcia. na łączu do witryny phishingowej, a następnie w portfelu Autoryzowane zasoby użytkownika są kradzione poprzez podpisy „Pozwól” itp. Jest to standard autoryzacji podpisu w trybie offline, który wykorzystuje EIP-2612, umożliwiając użytkownikom zatwierdzanie bez konieczności posiadania Eth w celu uiszczenia opłat za gaz. Może uprościć proces zatwierdzania użytkownika i zmniejszyć ryzyko błędów lub opóźnień spowodowanych ręcznymi procesami zatwierdzania, ale również się zdarza Obecnie powszechne metody ataków phishingowych.

Co to jest podpis pozwolenia?

Mówiąc najprościej, w przeszłości potrzebowaliśmy funkcji Approve, zanim mogliśmy przenieść tokeny do innych umów. Jeśli jednak umowa obsługuje opcję Permit, możemy podpisać się w trybie offline poprzez opcję Permit, pominąć opcję Approve i autoryzować bez płacenia za gaz Strona będzie jego właścicielem Dzięki odpowiednim uprawnieniom kontrolnym aktywa autoryzowane przez użytkownika będą mogły zostać w każdej chwili przeniesione.

Alice używa podpisu poza łańcuchem do autoryzacji protokołu. Protokół wywołuje Permit, aby uzyskać autoryzację w łańcuchu, a następnie wywołuje TransferFrom, aby przesłać odpowiednie zasoby.

Dołącz podpis zezwolenia do transakcji w celu interakcji bez wstępnej zgody

Podpis poza łańcuchem, operacje w łańcuchu są wykonywane przez autoryzowane adresy, a autoryzowane transakcje można przeglądać tylko pod autoryzowanymi adresami.

Wymagane jest wpisanie odpowiednich metod do umowy na token ERC20. Tokeny wydane przed EIP-2612 nie są obsługiwane.

Gdy osoby atakujące metodą phishingu sfałszują witrynę phishingową, użyją podpisu zezwolenia w celu uzyskania autoryzacji użytkownika. Podpis zezwolenia zawiera zwykle:

Interaktywny: interaktywny adres URL

Właściciel: Adres strony upoważniającej

Nadawca: Adres strony upoważnionej

Wartość: Dozwolona ilość

Nonce: liczba losowa (zabezpieczenie przed powtórką)

Termin: Termin ważności

Po podpisaniu przez użytkownika podpisu Zezwolenia Spender może przenieść odpowiednie aktywa wartościowe w określonym terminie.

Jak zapobiegać atakom typu phishing na podstawie podpisu zezwolenia

1. Nie klikaj żadnych nieznanych lub niewiarygodnych linków i zawsze wielokrotnie potwierdzaj prawidłowe oficjalne informacje o kanale.

2. Jeśli otworzysz jakąkolwiek stronę internetową i wyświetli się wyskakujące okienko z potwierdzeniem podpisu portfela, nie spiesz się z potwierdzeniem i uważnie przeczytaj interaktywny adres URL i treść podpisu, które pojawiają się nad prośbą o podpis. Ogólnie rzecz biorąc, nieznane adresy URL i zezwolenie pojawią się informacje, w tym wydatek i wartość. Kliknij bezpośrednio [ Odrzuć], aby uniknąć utraty aktywów.

3. Jedynie wyskakujące okienko z podpisem wiadomości otwierane podczas logowania i rejestracji jest bezpieczne. Możesz kliknąć, aby potwierdzić operację. Styl jest następujący.