作者:Biteye,来源:作者推特@BiteyeCN
9月28日,一地址由于网络钓鱼攻击损失约3233万美元,该地址据传可能与币圈大佬神鱼相关。无独有偶,10月11日,一笔价值3500万美元的fwDETH资产再次被钓鱼团伙窃取。短短半月内,已有总价值超过4.7亿人民币的虚拟资产因Permit签名钓鱼攻击而难以追回。
Permit签名钓鱼为何如此厉害?就连币圈大佬也接连中招?
根据上述的介绍,当用户误入钓鱼网站,点击链接被黑客获取了签名,随后黑客用签名信息上链提交permit,实现对用户资产的控制并进行转移。
攻击步骤:进入钓鱼网站-在钓鱼网站上链接钱包进行了签名-黑客获取签名通过permit窃取资产
例如,下面是一个钓鱼网站的恶意签名:图片最上方显示这是一个zksync的钓鱼网站,下方的permit签名显示该钱包(owner)正在授权给一个地址(spender),往下的value是授权的Tokens数量,deadline是时间戳,在给定时间前均有效。
如何避免Permit签名钓鱼攻击
Permit签名钓鱼攻击并非完全不可预防,大多数用户遭受损失都曾接连犯下多个安全错误。
首先,用户应将囤币的钱包和DeFi交互的钱包区分开,在链接钱包、签名或授权前认真检查网址,确保自己进入了正确的网站;
一些网站也会出现合约被黑客恶意替换的情况,我们在点击签名或授权前,应该认真阅读钱包跳出的Singnaturerequest信息,确保授权目前地址正确,且资产和金额在可控范围内;
最后,我们可以通过安全插件如@wallet_guard@realScamSniffer来帮助识别异常风险,不定期使用授权工具如RevokeCash(https://revoke.cash)查看是否有异常授权。同时,选择使用如@Rabby_io等插件钱包,也可以获得更具可读性的签名信息。
免责声明:Permit签名钓鱼为何如此厉害?就连币圈大佬也接连中招文章转发自互联网,版权归其所有。
文章内容不代表本站立场和任何投资暗示。加密货币市场极其波动,风险很高,可能不适合所有投资者。在投资加密货币之前,请确保自己充分了解市场和投资的风险,并考虑自己的财务状况和风险承受能力。此外,请遵循您所在国家的法律法规,以及遵守交易所和钱包提供商的规定。对于任何因使用加密货币所造成的投资损失或其他损失,本站不承担任何责任。
Copyright © 2021.Company 元宇宙YITB.COM All rights reserved.元宇宙YITB.COM