在9月28日,一地址因釣魚攻擊損失約3,233萬美元,涉及幣圈大佬。到10月11日,已有3,500萬美元的fwDETH資產被盜,累計損失超4.7億元。允許簽名是一種利用離線簽名授權他人操作代幣的機制,易於被駭客利用。使用者需小心釣魚網站,確保簽名有效性,以避免財產損失。建議將交易與儲存資產的錢包分開,檢查網站真實性,並利用安全插件和授權工具進行監控。
作者:Biteye,來源:作者推特@BiteyeCN
9月28日,一個地址因網路釣魚攻擊損失約3,233萬美元,據傳可能再次與幣圈大佬神魚相關。無加權偶,10月11日,一筆價值3500萬美元的fwDETH資產被釣魚短短半個月內,迄今累計超過4.7億元人民幣的虛擬資產因允許簽名釣魚攻擊而難以追回。
允許簽名釣魚為何這麼厲害?就連幣圈大佬也接連中招?
什麼是許可證簽名?
為了瞭解允許簽章的匯入,首先需要掌握ERC20幣種的交易規則:帳戶A可以呼叫核准函數授權帳戶B操作指定的代幣,只有代幣的擁有者才能呼叫此函數。
Permit是一種利用離線簽名來實現授權的機制,它允許跳過批准步驟且不需要支付gas費。在此過程中,A提前在鏈下對B進行簽名,將此簽名提供給B;B大多數可使用此簽名透過呼叫permit函數來執行A的授權操作,這允許B使用transferFrom進行代幣轉帳。
透過Permit,A 能在不進行任何鏈上交易的情況下實施代幣轉移,且執行許可的操作不限於帳戶的擁有者。 Permit 在ERC20 協議的EIP-2612 提案中被正式引入,為用戶提供了一種既方便又節省成本的交往方式。
允許簽名是怎麼被用來實施釣魚攻擊的?
根據上述介紹,當使用者誤入釣魚網站,點擊連結被駭客取得了簽名,駭客又用簽名資訊上鍊提交許可,實現對使用者資產的控制並進行轉移。
步驟攻擊:進入釣魚網站-在釣魚網站上鏈接錢包進行了簽名-黑客通過許可獲取簽名竊取資產
例如,以下是一個釣魚網站的惡意簽名:圖片最上方顯示是一個zksync 的釣魚網站,下方的許可簽名顯示該錢包(所有者)正在授權給一個地址(消費者),往下的值是授權的代幣種數量,截止時間是計時器,在給定時間前均有效。
如何避免允許簽名釣魚攻擊
允許簽名釣魚攻擊並非不可預防,大多數用戶遭受的損失完全都曾接連犯下多個安全錯誤。
首先,用戶應將正確囤幣的錢包和DeFi 交易的錢包區分開,在連結錢包、簽名或授權前認真檢查網址,確保自己進入了的網站;
有些網站同時出現被駭客惡意替換的情況,我們在點擊簽名或授權前,應認真閱讀錢包跳出的簽名請求信息,確保授權目前地址正確,且資產和金額在可控範圍內;
最後,我們可以透過安全插件如@wallet_guard @realScamSniffer 來協助識別異常風險,不定期使用授權工具如RevokeCash(https://revoke.cash)查看是否有異常授權。同時,選擇使用如@Rabby_io 等插件錢包,也可以獲得引人注目的簽名資訊。
資訊來源:0x資訊編譯自網際網路。版權歸作者Biteye所有,未經許可,不得轉載