作者:Biteye,来源:作者推特@BiteyeCN
9月28日,一地址由于网络钓鱼攻击损失约 3233 万美元,该地址据传可能与币圈大佬神鱼相关。无独有偶,10月11日,一笔价值 3500 万美元的 fwDETH 资产再次被钓鱼团伙窃取。短短半月内,已有总价值超过 4.7 亿***的虚拟资产因 Permit 签名钓鱼攻击而难以追回。
(WEEX交易所官网:www.weex.com)Permit 签名钓鱼为何如此厉害?就连币圈大佬也接连中招?
什么是 Permit 签名?
为了理解 Permit 签名的引入,首先需要掌握 ERC20 币种的交易规则:账户A可以调用 approve 函数授权账户 B 操作指定的代币,且只有代币的拥有者才能调用此函数。
Permit 是一种利用离线签名来实现授权的机制,它允许跳过 approve 步骤且不需支付 gas 费。在此过程中,A 提前在链下对 B 进行签名,并将这个签名提供给 B;B 随后可使用此签名通过调用 permit 函数来执行 A 的授权操作,这允许 B 使用 transferFrom 进行代币转账。
通过 Permit,A 能在不进行任何链上交易的情况下实施代币转移,且执行 permit 的操作不限于账户的拥有者。Permit 在 ERC20 协议的 EIP-2612 提案中被正式引入,为用户提供了一种既便捷又节省成本的交互方式。
Permit 签名是怎么被用来实施钓鱼攻击的?
根据上述的介绍,当用户误入钓鱼网站,点击链接被黑客获取了签名,随后黑客用签名信息上链提交 permit ,实现对用户资产的控制并进行转移。
攻击步骤:进入钓鱼网站-在钓鱼网站上链接钱包进行了签名-黑客获取签名通过 permit 窃取资产
例如,下面是一个钓鱼网站的恶意签名:图片***上方显示这是一个 zksync 的钓鱼网站,下方的 permit 签名显示该钱包(owner)正在授权给一个地址(spender),往下的 value 是授权的代币数量,deadline 是时间戳,在给定时间前均有效。
如何避免 Permit 签名钓鱼攻击
Permit 签名钓鱼攻击并非完全不可预防,大多数用户遭受损失都曾接连犯下多个安全错误。
首先,用户应将囤币的钱包和 DeFi 交互的钱包区分开,在链接钱包、签名或授权前认真检查网址,确保自己进入了正确的网站;
一些网站也会出现合约被黑客恶意替换的情况,我们在点击签名或授权前,应该认真阅读钱包跳出的 Singnature request 信息,确保授权目前地址正确,且资产和金额在可控范围内;
***后,我们可以通过安全插件如 @wallet_guard @realScamSniffer 来帮助识别异常风险,不定期使用授权工具如 RevokeCash(https://revoke.cash)查看是否有异常授权。同时,选择使用如 @Rabby_io 等插件钱包,也可以获得更具可读性的签名信息。
WEEX唯客交易所是全球交易深度***好的合约交易所之一,位居CMC交易所流动性排名前五,订单厚度、价差领先同行,微秒级撮合,零滑点、零插针,***大程度降低交易成本及流动性风险,让用户面对极端行情也能丝滑成交。
WEEX交易所宣布将于今夏上线其全球生态激励通证WEEX Token(WXT)。WXT被设计为WEEX交易所生态系统的基石,作为动态激励机制,主要用于激励WEEX交易平台社区的合作伙伴、贡献者、先驱和活跃成员。
WXT总供应量100亿枚,初始流通量39亿枚,WEEX交易平台投资者保护基金、WXT生态基金各持有15%,15%用于持币激励,5%面向代理、渠道等合作伙伴私募,其余50%将全部用于WEEX交易所生态激励,包括:团队激励(20%)、活动拉新(15%)、品牌建设/KOL合作(15%)。WEEX Token是一种实用型代币,规划了丰富的使用场景和赋能机制,包括:Launchpad、近10项持有者专属权益,以及回购销毁通缩机制等。
据悉,WXT仅开放代理、渠道等合作伙伴折扣认购,未来零售投资者可通过新用户注册、交易挖矿、参与平台活动等方式获得WXT奖励。
点此注册 WEEX 账户,领取 1050 USDT 新用户奖励
WEEX官网:weex.com
WXT专区:weex.com/wxt
你也可以在 CMC|Coingecko|非小号|X (Twitter)|中文 X (Twitter)|Youtube|Facebook|Linkedin|微博 上关注我们,***时间获取更多投资资讯和空投福利。
在线咨询:
WEEX华语社群:https://t.me/weex_group
WEEX英文社群:https://t.me/Weex_Global
还没有评论,来说两句吧...