Недавно появились новости о том, что из-за фишинговой атаки с использованием подписи Permit с определенного адреса было потеряно 12 083,6 spWETH на сумму около 32,33 миллиона долларов. Кошелек жертвы может быть связан с соучредителем и генеральным директором Cobo Шэнью.
Шэньюй также считается старостой в области блокчейна, и он также попал в фишинг сигнатур Permit. Вы сказали, что для практикующего блокчейна и основателя цифрового кошелька Cobo, если его кошелек украден, будет ли это позором? В древние времена, если у человека было хоть малейшее чувство стыда, ему приходилось совершать сеппуку. Ребёнок чувствует себя несчастным, но малыш ничего не говорит и просто делает вид, что ничего не произошло – это самая неловкая реакция.
【Почему тебя обманывают】
Многие люди имеют такое фиксированное мышление, думая, что, поскольку я не утвердил токен и не заплатил газ за его загрузку в цепочку, мои активы в безопасности.
Это старое мышление, справедливое только до 2023 года. Это уже не так после введения разрешения в EIP-2612. Это решение — палка о двух концах. Можно назвать его техническим апгрейдом или технической лазейкой. Эту лазейку обычно необходимо исправить с помощью программного обеспечения кошелька прикладного уровня. Прежде чем вносить исправления, пользователю необходимо внимательно следить за ситуацией.
【Как предотвратить】
Подпись разрешения, упомянутая в статье, сегодня не будет технически анализироваться. Здесь мы только расскажем, как ее предотвратить. Если парикмахеры помнят следующие методы, они смогут полностью избежать риска быть украденными.
Разрешительные подписи имеют следующий формат. Если при входе в децентрализованное приложение и проверке поведения привязки кошельков, таких как airdrop, появляется следующее всплывающее окно, это означает, что ваша учетная запись была украдена с целью фишинга. Нажмите, чтобы отклонить все:
Интерактивный: интерактивный URL-адрес.
Владелец: Адрес уполномоченной стороны
Плательщик: Адрес уполномоченной стороны.
Значение: Разрешенное количество
Nonce: случайное число
Срок: Срок годности
Обычные типы подписей не содержат этих сообщений, как показано ниже:
И еще: не паникуйте слишком сильно, если вы случайно подпишитесь. Не все активы могут быть украдены хакерами. Только токены, контракт токена которых поддерживает метод разрешения (также называемые: токены с разрешением), могут быть украдены. Что касается других активов, таких как ETH, USDT, USDC и т. д., хакеры смогут управлять ими, только если они просто будут смотреть и ждать, пока вы однажды переключитесь на [лицензионные токены]. Все, что вам нужно сделать, это немедленно перевести свои активы.
Какие токены в вашем кошельке являются «разрешенными токенами», можно запросить с помощью revoke.cash (многие повторно объявленные токены, такие как METH, PUFETH и spWETH Шэнью в статье, являются токенами с разрешением):
Напоследок хотелось бы еще раз напомнить, что разрешительная подпись, как и обычная подпись, выполняется при привязке кошелька. Никакого газа не требуется и она не загружается в цепочку. В авторизации этого не видно. Информация о подписи была сохранена на сервере хакером. Если вы случайно подпишете подпись, хакер будет терпеливо ждать, пока вы переведете деньги на свой кошелек, поэтому обязательно держите глаза открытыми, чтобы ясно видеть.
