Há notícias recentes de que, devido a um ataque de phishing de assinatura Permit, um determinado endereço perdeu 12.083,6 spWETH, no valor de aproximadamente US$ 32,33 milhões. A carteira da vítima pode estar relacionada ao cofundador e CEO da Cobo, Shenyu.
Shenyu também é considerado um homem velho no campo de blockchain e também caiu no phishing de assinatura Permit. Você disse que para um praticante de blockchain e fundador de uma carteira digital, cobo, sua carteira foi roubada, é uma pena? Nos tempos antigos, se você tivesse o menor sentimento de vergonha, teria que cometer seppuku. O bebê está se sentindo péssimo, mas não diz nada e apenas finge que nada aconteceu é a resposta mais embaraçosa.
【Por que você está sendo enganado】
Muitas pessoas têm essa mentalidade fixa, pensando que, como não aprovei o token ou paguei gás para carregá-lo na rede, meus ativos estão seguros.
Este é um pensamento antigo que só é válido até 2023. Isso não é mais verdade após a introdução da Licença no EIP-2612. Esta solução é uma faca de dois gumes. Você pode chamá-la de atualização técnica ou de lacuna técnica. Essa lacuna geralmente precisa ser corrigida pelo software de carteira da camada de aplicativo. Antes de corrigir, o usuário precisa manter os olhos abertos.
【Como prevenir】
A assinatura da Licença mencionada no artigo não será analisada tecnicamente aqui hoje. Aqui apenas apresentaremos como evitá-la. Desde que os cabeleireiros se lembrem dos métodos a seguir, eles podem evitar completamente o risco de serem roubados.
As assinaturas de permissão estão no seguinte formato Se você estiver fazendo login no dapp e verificando o comportamento de vincular carteiras como airdrops, e a seguinte janela pop-up aparecer, significa que sua conta foi roubada por phishing. tudo:
Interativo: URL interativo
Proprietário: Endereço da parte autorizadora
Gastador: endereço da parte autorizada
Valor: Quantidade autorizada
Nonce: número aleatório
Prazo: Tempo de expiração
Os tipos normais de assinatura não possuem essas mensagens, conforme mostrado abaixo:
Mais uma coisa, não entre em pânico se assinar acidentalmente. Nem todos os ativos podem ser roubados por hackers. Somente tokens cujos contratos de token suportam o método de permissão (também chamados de tokens com permissão) podem ser roubados. Para outros ativos, como ETH, USDT, USDC, etc., os hackers só poderão operá-los se apenas olharem e esperarem que você mude para [tokens licenciados] um dia. Tudo que você precisa fazer é transferir seus ativos imediatamente.
Quais tokens em sua carteira são "tokens permitidos" podem ser consultados usando revoke.cash (muitos tokens re-prometidos, como METH, PUFETH e spWETH de Shenyu no artigo são tokens com permissão):
Por fim, gostaria de lembrar novamente que a assinatura da licença, assim como a assinatura normal, é realizada no momento da vinculação da carteira. Não é necessário gás e não é carregado na rede. Você não pode ver isso na autorização. As informações da assinatura foram armazenadas no servidor por um hacker. Se você assinar acidentalmente, o hacker esperará pacientemente que você transfira o dinheiro para sua carteira, portanto, mantenha os olhos abertos para ver com clareza.
