小蝶量化:Permit签名钓鱼为何如此厉害?

12-19 06:17 上一篇 | 下一篇

9月28日,一地址由于网络钓鱼攻击损失约 3233 万美元,该地址据传可能与币圈大佬神鱼相关。无独有偶,10月11日,一笔价值 3500 万美元的 fwDETH 资产再次被钓鱼团伙窃取。短短半月内,已有总价值超过 4.7 亿人民币的虚拟资产因 Permit 签名钓鱼攻击而难以追回。

Permit 签名钓鱼为何如此厉害?就连币圈大佬也接连中招?

什么是 Permit 签名?公众号关注:博森科技小蝶。

为了理解 Permit 签名的引入,首先需要掌握 ERC20 币种的交易规则:账户A可以调用 approve 函数授权账户 B 操作指定的代币,且只有代币的拥有者才能调用此函数。

Permit 是一种利用离线签名来实现授权的机制,它允许跳过 approve 步骤且不需支付 gas 费。在此过程中,A 提前在链下对 B 进行签名,并将这个签名提供给 B;B 随后可使用此签名通过调用 permit 函数来执行 A 的授权操作,这允许 B 使用 transferFrom 进行代币转账。

通过 Permit,A 能在不进行任何链上交易的情况下实施代币转移,且执行 permit 的操作不限于账户的拥有者。Permit 在 ERC20 协议的 EIP-2612 提案中被正式引入,为用户提供了一种既便捷又节省成本的交互方式。

Permit 签名是怎么被用来实施钓鱼攻击的?

根据上述的介绍,当用户误入钓鱼网站,点击链接被黑客获取了签名,随后黑客用签名信息上链提交 permit ,实现对用户资产的控制并进行转移。

攻击步骤:进入钓鱼网站-在钓鱼网站上链接钱包进行了签名-黑客获取签名通过 permit 窃取资产

例如,下面是一个钓鱼网站的恶意签名:图片最上方显示这是一个 zksync 的钓鱼网站,下方的 permit 签名显示该钱包(owner)正在授权给一个地址(spender),往下的 value 是授权的代币数量,deadline 是时间戳,在给定时间前均有效。

如何避免 Permit 签名钓鱼攻击

Permit 签名钓鱼攻击并非完全不可预防,大多数用户遭受损失都曾接连犯下多个安全错误。

首先,用户应将囤币的钱包和 DeFi 交互的钱包区分开,在链接钱包、签名或授权前认真检查网址,确保自己进入了正确的网站;

一些网站也会出现合约被黑客恶意替换的情况,我们在点击签名或授权前,应该认真阅读钱包跳出的 Singnature request 信息,确保授权目前地址正确,且资产和金额在可控范围内。公众号关注:博森科技小蝶。

上一篇:币圈小蝶:DeFi 发展受限,下一阶段该如何破局? 下一篇:FxPro浦汇:2024年12月19日欧洲开市前,每日技术分析
本网站仅为讨论交流平台,网站上的文章、图片等均为用户自行上传及发布,发布者应对其发布的文章及其内容、图片等负责,不得侵权。如发现侵权的,请及时与本网站联系,本网站将在查实后尽快删除相关侵权内容。本网站上的文章及言论仅代表发布者个人的观点,与本网站立场无关
阅读(2286) 评论(0)
发布评论
评论...
表情表情 后可进行评论
全部评论 (0)
Ta的其他文章 查看更多
小蝶量化:RWA中散户的机会(一)
小蝶量化:RWA中散户的机会(一)

当我说散户在RWA生态中有没有机会的时候,主要指的是:- RWA中可能出现的资产类别对我们散户而言,相比现在纯链上产生的资产在收益率上有没有吸引力。- RWA中...

小蝶论币 小蝶论币 2025-04-29 03:47 51阅 0评
小蝶量化:关于RWA的新思考
小蝶量化:关于RWA的新思考

因为AI代理的兴起可能完全改变很多应用和场景的运行逻辑和运行方式。在网上看到一则讲解AI的视频,却让我对RWA有了新的思考。这是1月22日,彭博社采访两位企业家...

小蝶论币 小蝶论币 2025-04-28 06:39 183阅 0评
小蝶量化:川普加密政策展望,对加密生态的潜在影响
小蝶量化:川普加密政策展望,对加密生态的潜在影响

川普上台以后,他在加密资产方面可能出台的政策一直是整个加密生态关注的焦点。他任命的加密沙皇也正式发表了一系列言论。从这些言论看,他选前承诺的不少加密政策很可能会...

小蝶论币 小蝶论币 2025-04-27 04:03 211阅 0评
  •  2 倍参赛
  • qrCode
    关注公众号

    韬客说汇

    公众号

    关注韬客公众号

    更多有料干货分享

  • 返回顶部