• 元宇宙:本站分享元宇宙相关资讯,资讯仅代表作者观点与平台立场无关,仅供参考.

Permit签名钓鱼为何如此厉害?就连币圈大佬也接连中招

  • 2024年10月14日 15:49

作者:Biteye,来源:作者推特@BiteyeCN

9月28日,一地址由于网络钓鱼攻击损失约3233万美元,该地址据传可能与币圈大佬神鱼相关。无独有偶,10月11日,一笔价值3500万美元的fwDETH资产再次被钓鱼团伙窃取。短短半月内,已有总价值超过4.7亿人民币的虚拟资产因Permit签名钓鱼攻击而难以追回。

Permit签名钓鱼为何如此厉害?就连币圈大佬也接连中招?

aQNDvRnC1OcN6PtSMdIcd0JoLAjZtcPz1BKYH57Y.jpegPermit签名是怎么被用来实施钓鱼攻击的?

根据上述的介绍,当用户误入钓鱼网站,点击链接被黑客获取了签名,随后黑客用签名信息上链提交permit,实现对用户资产的控制并进行转移。

攻击步骤:进入钓鱼网站-在钓鱼网站上链接钱包进行了签名-黑客获取签名通过permit窃取资产

例如,下面是一个钓鱼网站的恶意签名:图片最上方显示这是一个zksync的钓鱼网站,下方的permit签名显示该钱包(owner)正在授权给一个地址(spender),往下的value是授权的Tokens数量,deadline是时间戳,在给定时间前均有效。

如何避免Permit签名钓鱼攻击

Permit签名钓鱼攻击并非完全不可预防,大多数用户遭受损失都曾接连犯下多个安全错误。

首先,用户应将囤币的钱包和DeFi交互的钱包区分开,在链接钱包、签名或授权前认真检查网址,确保自己进入了正确的网站;

一些网站也会出现合约被黑客恶意替换的情况,我们在点击签名或授权前,应该认真阅读钱包跳出的Singnaturerequest信息,确保授权目前地址正确,且资产和金额在可控范围内;

最后,我们可以通过安全插件如@wallet_guard@realScamSniffer来帮助识别异常风险,不定期使用授权工具如RevokeCash(https://revoke.cash)查看是否有异常授权。同时,选择使用如@Rabby_io等插件钱包,也可以获得更具可读性的签名信息。

Copyright © 2021.Company 元宇宙YITB.COM All rights reserved.元宇宙YITB.COM