Остерегайтесь рисков фишинга подписи Permit из всплывающих окон кошелька
В настоящее время фишинговые атаки стали основным риском, который причиняет наибольшие потери отдельным пользователям Web3. Обычно злоумышленники имитируют официальный Twitter, Telegram, электронную почту, ответы Discord или пользователей частного чата, чтобы использовать Claim Airdrops, возврат средств и благотворительную деятельность, чтобы побудить пользователей кликнуть по ссылке. по ссылке на фишинговый сайт, а затем в кошельке. Авторизованные активы пользователя похищаются посредством «Разрешительных» подписей и т. д. Это стандарт авторизации автономной подписи, который принимает EIP-2612, позволяя пользователям одобрять, не владея Eth, для оплаты сборов за газ.Он может упростить процесс утверждения пользователя и снизить риск ошибок или задержек, вызванных процессами утверждения вручную, но он также становится Распространенные в настоящее время методы фишинговых атак.
Что такое разрешительная подпись?
Проще говоря, раньше нам требовалось Approve, прежде чем мы могли передавать токены в другие контракты. Однако, если контракт поддерживает Permit, мы можем подписать его в автономном режиме через Permit, пропустить Approve и авторизоваться без оплаты газа. Сторона будет владеть им. При наличии соответствующих прав контроля активы, авторизованные пользователем, могут быть переданы в любое время.
Алиса использует подпись вне цепочки для авторизации протокола. Протокол вызывает Permit, чтобы получить авторизацию в цепочке, а затем вызывает TransferFrom для передачи соответствующих активов.
Прикрепите к сделке разрешительную подпись для взаимодействия без предварительного согласования
Подпись вне цепочки, операции внутри цепочки выполняются авторизованными адресами, а авторизованные транзакции можно просмотреть только по авторизованным адресам.
Соответствующие методы необходимо прописать в контракте токена ERC20. Токены, выпущенные до EIP-2612, не поддерживаются.
После того как злоумышленники подделали фишинговый веб-сайт, они будут использовать подпись разрешения для получения авторизации пользователя. Подпись разрешения обычно содержит:
Интерактивный: интерактивный URL-адрес.
Владелец: Адрес уполномоченной стороны
Плательщик: Адрес уполномоченной стороны.
Значение: Разрешенное количество
Nonce: случайное число (антиповтор).
Срок: Срок годности
Как только пользователь подпишет подпись Разрешения, Spender сможет передать соответствующие активы Value в течение установленного срока.
Как предотвратить фишинговые атаки с использованием подписи Permit
1. Не нажимайте на незнакомые или ненадежные ссылки и всегда неоднократно подтверждайте правильную официальную информацию о канале.
2. Если вы открываете какой-либо веб-сайт и видите всплывающее окно подтверждения подписи кошелька, не спешите с подтверждением и внимательно прочитайте интерактивный URL-адрес и содержимое подписи, которые появляются над запросом на подпись. Как правило, это незнакомые URL-адреса и разрешение. появится информация, включая расходы и стоимость. Нажмите непосредственно [Отклонить], чтобы избежать потери активов.
3. При входе в систему и регистрации появляется только всплывающее окно с подписью сообщения. Вы можете нажать, чтобы подтвердить операцию. Стиль следующий: