Cảnh giác với rủi ro lừa đảo chữ ký Permit từ cửa sổ bật lên của ví
Hiện nay, các cuộc tấn công lừa đảo đã trở thành nguy cơ chính gây thiệt hại nhiều nhất cho người dùng Web3 cá nhân. trên liên kết trang web lừa đảo, sau đó trong ví Tài sản được ủy quyền của người dùng bị đánh cắp thông qua chữ ký "Cho phép", v.v. Đây là tiêu chuẩn ủy quyền chữ ký ngoại tuyến áp dụng EIP-2612, cho phép người dùng phê duyệt mà không cần sở hữu Eth để trả phí Gas. Nó có thể đơn giản hóa quy trình phê duyệt của người dùng và giảm nguy cơ sai sót hoặc chậm trễ do quy trình phê duyệt thủ công gây ra, nhưng nó cũng trở thành Các phương thức tấn công lừa đảo phổ biến hiện nay.
Chữ ký cấp phép là gì?
Nói một cách đơn giản, trước đây, chúng tôi cần Phê duyệt trước khi có thể chuyển mã thông báo sang các hợp đồng khác. Tuy nhiên, nếu hợp đồng hỗ trợ Giấy phép, chúng tôi có thể ký ngoại tuyến thông qua Giấy phép, bỏ qua Phê duyệt và ủy quyền mà không phải trả phí gas. bên sẽ sở hữu nó với quyền kiểm soát tương ứng, tài sản được người dùng ủy quyền có thể được chuyển nhượng bất cứ lúc nào.
Alice sử dụng chữ ký ngoài chuỗi để ủy quyền cho giao thức. Giao thức gọi Permit để nhận ủy quyền trên chuỗi và sau đó gọi TransferFrom để chuyển tài sản tương ứng.
Đính kèm chữ ký cho phép vào giao dịch để tương tác mà không cần phê duyệt trước
Chữ ký ngoài chuỗi, hoạt động trên chuỗi được thực hiện bởi các địa chỉ được ủy quyền và các giao dịch được ủy quyền chỉ có thể được xem tại các địa chỉ được ủy quyền.
Các phương pháp liên quan bắt buộc phải được ghi vào hợp đồng mã thông báo ERC20. Các mã thông báo được phát hành trước EIP-2612 không được hỗ trợ.
Sau khi những kẻ tấn công lừa đảo giả mạo một trang web lừa đảo, chúng sẽ sử dụng chữ ký Giấy phép để lấy ủy quyền của người dùng. Chữ ký Giấy phép thường bao gồm:
Tương tác: URL tương tác
Chủ sở hữu: Địa chỉ bên ủy quyền
Người chi tiêu: Địa chỉ của bên được ủy quyền
Giá trị: Số lượng được ủy quyền
Nonce: số ngẫu nhiên (chống lặp lại)
Hạn chót: Thời gian hết hạn
Sau khi người dùng ký vào chữ ký Giấy phép, Người chi tiêu có thể chuyển tài sản Giá trị tương ứng trong thời hạn.
Cách ngăn chặn các cuộc tấn công lừa đảo chữ ký Permit
1. Không nhấp vào bất kỳ liên kết lạ hoặc không đáng tin cậy nào và luôn xác nhận nhiều lần thông tin kênh chính thức chính xác.
2. Nếu bạn mở bất kỳ trang web nào và đánh thức cửa sổ bật lên xác nhận chữ ký ví, đừng vội xác nhận và đọc kỹ URL tương tác và nội dung chữ ký xuất hiện phía trên yêu cầu Chữ ký. Nói chung là các URL và Giấy phép lạ. thông tin bao gồm Người chi tiêu và Giá trị sẽ xuất hiện. Nhấp trực tiếp vào [Từ chối] để tránh mất mát tài sản.
3. Chỉ có cửa sổ bật lên chữ ký tin nhắn được đánh thức khi đăng nhập và đăng ký là an toàn. Bạn có thể nhấp vào để xác nhận thao tác như sau:
