Cuidado com Permitir riscos de phishing de assinatura em pop-ups de carteira
Atualmente, os ataques de phishing se tornaram o principal risco que causa mais perdas para usuários individuais do Web3. Geralmente, os invasores imitam o Twitter oficial, Telegram, e-mail, respostas do Discord ou usuários de bate-papo privado para usar airdrops de reivindicação, reembolsos e atividades de bem-estar para atrair os usuários a clicar. em links de sites de phishing e, em seguida, em suas carteiras. Os ativos autorizados do usuário são roubados por meio de assinaturas de "Permissão", etc. Este é um padrão de autorização de assinatura offline que adota EIP-2612, permitindo que os usuários aprovem sem possuir Eth para pagar taxas de gás. Ele pode simplificar o processo de aprovação do usuário e reduzir o risco de erros ou atrasos causados por processos de aprovação manuais, mas também se torna. Os métodos comuns atuais de ataques de phishing.
O que é uma assinatura de licença?
Simplificando, no passado, precisávamos do Approve antes de podermos transferir tokens para outros contratos. No entanto, se o contrato suportar o Permit, podemos assinar off-line por meio do Permit, pular o Approve e autorizar sem pagar gás Após a autorização, o terceiro. a parte será proprietária dele. Com os direitos de controle correspondentes, os ativos autorizados pelo usuário podem ser transferidos a qualquer momento.
Alice usa uma assinatura fora da cadeia para autorizar o protocolo. O protocolo chama Permit para obter a autorização na cadeia e, em seguida, chama TransferFrom para transferir os ativos correspondentes.
Anexe uma assinatura de licença à transação para interação sem pré-aprovação
Assinatura fora da cadeia, as operações na cadeia são realizadas por endereços autorizados e as transações autorizadas só podem ser visualizadas em endereços autorizados.
Os métodos relevantes devem ser incluídos no contrato de token ERC20. Os tokens lançados antes do EIP-2612 não são suportados.
Após os invasores de phishing criarem um site de phishing, eles usarão a assinatura de permissão para obter a autorização do usuário. A assinatura de permissão geralmente inclui:
Interativo: URL interativo
Proprietário: Endereço da parte autorizadora
Gastador: endereço da parte autorizada
Valor: Quantidade autorizada
Nonce: número aleatório (anti-replay)
Prazo: Tempo de expiração
Assim que o usuário assinar a assinatura da Permissão, o Spender poderá transferir os ativos de valor correspondentes dentro do prazo.
Como evitar permitir ataques de phishing de assinatura
1. Não clique em links desconhecidos ou não confiáveis e sempre confirme repetidamente as informações corretas do canal oficial.
2. Se você abrir qualquer site e abrir a janela pop-up de confirmação de assinatura da carteira, não se apresse em confirmar e leia atentamente o URL interativo e o conteúdo da assinatura que aparece acima da solicitação de assinatura. Geralmente, URLs desconhecidos e permissão. informações incluindo Gastador e Valor aparecerão. Clique diretamente em [Rejeitar] para evitar perda de ativos.
3. Somente a janela pop-up de assinatura da mensagem despertada ao fazer login e registrar-se é segura. Você pode clicar para confirmar a operação.