Atenție la riscurile de phishing cu semnături permise din ferestrele pop-up din portofel
În prezent, atacurile de tip phishing au devenit principalul risc care provoacă cele mai multe pierderi pentru utilizatorii individuali Web3. De obicei, atacatorii imită răspunsurile oficiale de Twitter, Telegram, e-mail, Discord sau utilizatorii de chat privat pentru a folosi Airdropsul de revendicare, rambursările și activitățile de bunăstare pentru a atrage utilizatorii să facă clic. pe link-ul site-ului de phishing, iar apoi în portofel Bunurile autorizate ale utilizatorului sunt furate prin semnături „Permis” etc. Acesta este un standard de autorizare a semnăturii offline care adoptă EIP-2612, permițând utilizatorilor să aprobe fără a deține Eth pentru a plăti taxele de gaz. Poate simplifica procesul de aprobare al utilizatorului și poate reduce riscul de erori sau întârzieri cauzate de procesele de aprobare manuală, dar devine și. Metodele curente comune de atacuri de tip phishing.
Ce este o semnătură de permis?
Pentru a spune simplu, în trecut, aveam nevoie de Aprobare înainte de a putea transfera jetoane către alte contracte. Cu toate acestea, dacă contractul acceptă Permis, putem să omitem Aprobare și să autorizam fără a plăti gazul partea va deține cu drepturile de control corespunzătoare, activele autorizate de utilizator pot fi transferate în orice moment.
Alice folosește o semnătură în afara lanțului pentru a autoriza protocolul.
Atașați o semnătură de permis la tranzacție pentru interacțiune fără aprobare prealabilă
Semnătura în afara lanțului, operațiunile în lanț sunt efectuate de adrese autorizate, iar tranzacțiile autorizate pot fi vizualizate numai la adresele autorizate.
Metodele relevante trebuie să fie incluse în contractul de token ERC20. Tokenurile eliberate înainte de EIP-2612 nu sunt acceptate.
După ce atacatorii de tip phishing falsifică un site web de phishing, ei vor folosi semnătura de permis pentru a obține autorizarea utilizatorului.
Interactiv: URL interactiv
Proprietar: adresa părții autorizate
Cheltuitor: adresa părții autorizate
Valoare: cantitate autorizată
Nonce: număr aleatoriu (anti-reluare)
Termen limită: Timp de expirare
Odată ce utilizatorul semnează semnătura de permis, Spender poate transfera activele Valoare corespunzătoare în termenul limită.
Cum să preveniți atacurile de phishing cu semnături permise
1. Nu faceți clic pe linkuri necunoscute sau de încredere și confirmați întotdeauna informațiile oficiale corecte ale canalului în mod repetat.
2. Dacă deschideți orice site web și deschideți fereastra pop-up de confirmare a semnăturii portofel, nu vă grăbiți să confirmați și citiți cu atenție URL-ul interactiv și conținutul semnăturii care apar deasupra solicitării de semnătură, în general, URL-uri necunoscute vor apărea informații, inclusiv Cheltuitor și Valoare. Faceți clic direct pe [ Respingere] pentru a evita pierderea activelor.
3. Numai fereastra pop-up de semnătură a mesajului este trezită când vă conectați și vă înregistrați. Puteți face clic pentru a confirma operația.