Є нещодавні новини про те, що через фішинг-атаку Permit певна адреса втратила 12 083,6 spWETH на суму приблизно 32,33 мільйона доларів, яка може бути пов’язана із співзасновником і генеральним директором Cobo Shenyu.

Шенью також вважають старим у сфері блокчейну, і він також потрапив у фішинг підпису Permit. Ви сказали, що для практикуючого блокчейн і засновника цифрового гаманця cobo, якщо його гаманець вкрали, це сором? У давні часи, якби у вас було хоч найменше почуття сорому, ви повинні були вчинити сеппуку. Дитина відчуває гіркоту, але дитина нічого не говорить і просто вдає, що нічого не сталося, це найбільш збентежена відповідь.

【Чому вас обманюють】

Багато людей мають це усталене мислення, думаючи, що оскільки я не схвалив токен або не заплатив газ для його завантаження в мережу, мої активи в безпеці.

Це стара думка, яка діє лише до 2023 року. Це більше не відповідає дійсності після введення дозволу в EIP-2612. Це рішення — палка з двома кінцями. Можна назвати його технічним оновленням або технічною лазівкою. Цю лазівку, як правило, потрібно виправити програмним забезпеченням гаманця прикладного рівня. Перш ніж її виправити, користувач повинен тримати очі відкритими.

Оголошення Ok Wallet позавчора чітко спонукало до дозволу.

【Як запобігти】

Підпис дозволу, згаданий у статті, сьогодні не буде аналізуватися технічно. Тут ми лише познайомимося з тим, як цьому запобігти. Поки перукарі пам’ятають наступні методи, вони можуть повністю уникнути ризику бути вкраденими.

Підписи дозволів мають такий формат. Якщо ви входите в програму та перевіряєте поведінку пов’язаних гаманців, наприклад, airdrops, це означає, що ваш обліковий запис було вкрадено для фішингу.

  • Interactive: інтерактивна URL-адреса

  • Власник: адреса уповноваженої сторони

  • Розпорядник: адреса уповноваженої сторони

  • Значення: Дозволена кількість

  • Nonce: випадкове число

  • Дедлайн: термін дії

Два типи підписів дозволу, натисніть відхилити для обох

Звичайні типи підписів не мають цих повідомлень, як показано нижче:

Звичайний підпис гаманця за посиланням

Ще одне: не панікуйте, якщо ви випадково підпишете. Не всі активи можуть бути вкрадені хакерами. Лише токени, чий контракт на токени підтримує метод дозволу (також звані: токени з дозволом), можуть бути викрадені. Для інших активів, таких як ETH, USDT, USDC тощо, хакери можуть керувати ними, лише якщо вони просто дивляться та чекають, поки ви одного дня перейдете на [ліцензовані токени]. Все, що вам потрібно зробити, це негайно передати свої активи.

Які токени у вашому гаманці є «дозволеними токенами», можна запитати за допомогою revoke.cash (багато повторно заставлених токенів, таких як METH, PUFETH і spWETH Shenyu у статті, є токенами з дозволом):

Переглядайте методи маркерів із дозволом

Наостанок ще раз нагадаю, що підпис дозволу, як і звичайний підпис, виконується під час прив’язки гаманця. Газ не потрібен і він не завантажується в ланцюг. Ви не можете побачити інформацію про підпис, збережену на сервері хакером. Якщо ви випадково підпишете, хакер терпляче чекатиме, поки ви переведете гроші на свій гаманець, тому не забудьте відкрити очі, щоб чітко бачити.