查看原文
LIVEGoPlus中文社区
--
沒有授權、沒有gas費,怎麼點了一個確認錢包資產就沒了?
近日大量再質押、質押、空投用戶僅僅只是在錢包點擊了一個平平無奇的簽名確認,沒有Approve項,更沒支付gas費,錢包資產就被清空了……這便是當下臭名昭著的Permit釣魚簽名攻擊!
通常攻擊者模仿官方推特、Telegram、郵件、Discord 回覆或私聊用戶用 Claim 空投、質押、退款、福利活動引誘用戶點擊釣魚網站鏈接,然後在錢包通過“Permit”簽名等將用戶授權資產盜走,這是一種採用 EIP-2612 離線簽名授權標準,允許用戶無需擁有 Eth 來支付 Gas 費即可進行批准,能夠簡化了用戶的審批流程,降低手動審批流程導致的錯誤或延遲的風險,但也成爲了當前釣魚攻擊的常用方式。
通常攻擊者模仿官方推特、Telegram、郵件、Discord 回覆或私聊用戶用 Claim 空投、質押、退款、福利活動引誘用戶點擊釣魚網站鏈接,然後在錢包通過“Permit”簽名等將用戶授權資產盜走,這是一種採用 EIP-2612 離線簽名授權標準,允許用戶無需擁有 Eth 來支付 Gas 費即可進行批准,能夠簡化了用戶的審批流程,降低手動審批流程導致的錯誤或延遲的風險,但也成爲了當前釣魚攻擊的常用方式。
回覆 0
