最近有個新聞,由於Permit簽名網絡釣魚攻擊,某地址損失了 12,083.6 枚spWETH,價值約 3233 萬美元,該受害錢包可能與Cobo聯合創始人兼 CEO 神魚有關。
神魚也算是區塊鏈領域的老人了,也中招Permit簽名釣魚。你說一個區塊鏈從業人員,一個數字錢包cobo創始人錢包被盜,丟不丟人?這要是放在古代稍微有點羞恥心都是要切腹謝罪的那種。寶寶心裏苦,但是寶寶不說,當作無事發生也算是最尷尬的迴應了。
【爲什麼會中招】
很多人都有這個固化思維,認爲我沒做代幣的approve授權,沒有支付gas上鍊,我的資產就是安全的。
這個是舊思維只在2023年前有效。EIP-2612引入Permit後就不成立了。這個方案是把雙刃劍,你可以說是技術升級,也可以說技術漏洞。這個漏洞一般需要應用層錢包軟件來補,沒補之前需要用戶自己睜大眼睛。
【如何防範】
文中提到的Permit簽名今天這裏不做技術分析,這裏只介紹怎麼防範。擼毛人只要記住下面方法,就可以徹底遠離被盜風險。
Permit簽名都是以下格式,如果你在登錄dapp,檢查空投等鏈接錢包的行爲時,出現下面彈窗,就是要被盜號釣魚了,全部點擊拒絕:
Interactive:交互網址
Owner:授權方地址
Spender:被授權方地址
Value:授權數量
Nonce:隨機數
Deadline:過期時間
正常簽名種是沒有這些消息的,如下圖:
再補充一點,如果不小心簽了也不用過於驚慌失措,不是所有資產黑客都能盜走。只有代幣合約支持permit方法的代幣(也叫:具備許可代幣)才能被盜走。其他資產例如ETH和USDT,USDC等,黑客只有乾瞪眼,釣着魚等着你哪天轉爲【具備許可代幣】他才能操作。你需要做就是即時轉走你的資產即可。
你的錢包裏哪些是代幣是【具備許可代幣】可以用revoke.cash查詢(很多再質押的代幣例如METH,PUFETH,還有文中神魚的spWETH就是具備permit的代幣):
最後再次提醒,permit簽名和正常簽名一樣是在鏈接錢包時進行,不要gas,沒有上鍊的。授權裏是看不到的,簽名信息被黑客存儲服務器了。你不小心簽了,黑客就會耐心等着你錢包有錢後轉走,一定要睜大眼睛看清楚。
