风险提示:央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》, 请读者提高风险意识。

Permit:一个平平无奇的签名,如何骗走你的资产?

近期发生多起签名被盗导致资产损失的事件,主要是因为黑客利用Permit/Permit2技术伪装网站或工具盗取资产。为防止钓鱼行为,用户需识别伪装网站和按钮,避免盲目签名。Permit/Permit2签名可直接授权合约操作用户钱包,但也带来新的钓鱼风险。预防方法包括不盲签、干湿分离、检查授权,如中招可寻求专业安全团队帮助。OneKey始终将用户资产安全置于首位,推荐阅读Beosin的文章。

OneKey 中文
OneKey 中文
热度 ...

原文作者:OneKey 中文

原文来源:twitter

注:本文来自@OneKeyCN 推特,火星财经整理如下:

自测一下,你是不是还认为:只要不是发起交易,我签个名「连接登陆」网站,就不会丢失资产?

如果你点头了,那可能你的安全意识停留在了 21 年前。


从 Scam Sniffer 公布的 24 年 3 月钓鱼报告*来看,90% 的被钓鱼资产为 ERC-20 代币。而这其中主要的钓鱼方式就是 Permit / Permit2 钓鱼签名。


仅仅是今年 3 月中旬,就有 4 笔价值平均资产约 $2M 的被盗交易,其中 3 笔都是被 Permit 钓鱼签名盗走的 Pendle PT 本金代币。


从受害者的角度,这简直就是一部恐怖片——某天突然发现资产被转走,检查了一圈以为是私钥被盗了,最后才发现是曾经一个不经意的离线签名,无可奈何。


而这一切,本可以被避免。


一句话说明白 Permit / Permit2


为了节约时间,OneKey 在这里不会讲太多 EIP-2612 引入 Permit 或者 Uniswap 推出 Permit2 的加密「课本知识」。(可能你光看这句话就开始头疼了)


你只需要意识到:时代变了,「浓眉大眼」的签名也不简单。


你可以直接粗暴理解为 —— 现在不少的 ERC-20 代币授权将通过一个「中介」来管理。


在以前,你的代币额度,是一个个授权(Approve)给每个 dApp 合约的。而每一次授权,都需要花费 Gas。


而现在,通过 Permit / Permit2 技术(已经有相当数量的 dApp 采用),你只需要把代币授权给 Permit / Permit2 这个「中介」。


集成了这个技术的 dApp 都可以请求用这个授权额度——只需要简单签个名就能授权给它们(甚至是批量的),不需要一次又一次花费 Gas 授权。


一把双刃剑


这个类型的签名升级,虽然对于跨应用操作带来了便利并节约成本,有各式各样的好处。但是也留下了一些隐患。


其危险之处就在于,上一轮牛市,加密用户们已经养成了「登入 Dapp 需要签名进行连接」的操作习惯,并且默认普通签名就是安全的、毫无防备之心。


殊不知,新版本的签名如果不注意区分(盲签),就会中招钓鱼。这对于用户安全意识和各种基础设施如钱包,提出了新的挑战。


对于黑客来说,那就是可以更好地「借刀杀人」了。


攻击者只需要部署一个钓鱼合约,向你获取一个 Permit 授权签名,即可随后提交一个盗走你资产的交易(甚至可以等过几天你忘记了这件事再提交)。并且, Permit2 还可以让黑客批量获取你的全部已授权代币的权限。


例如最近 SlowMist 创始人余弦分享的这个案例(https://x.com/evilcos/status/1771338665052287307),某用户在质押期间被签名钓鱼了相关代币的授权,而自己一无所知(也没有注意检查),黑客在其提出代币到自己钱包的时候,立刻盗走了资产,损失惨重。


从伪装手段上看,似乎钓鱼也变得更简单了一些。他们完全可以做一个「空投检查」网站,让你「连接钱包」查看空投。或者是,做一个工具网站让你登陆,以满足你在某些热点事件/项目中的需求。花样无穷无尽。而使用过程中,你很可能就被诱导做了 Permit / Permit2 类型的签名。


展望未来,随着以太坊推进账户抽象(EIP-3074 正式纳入下次 Pectra 硬分叉升级),你甚至还可以直接授权整个地址控制权限给一个合约,让合约地址直接操作用户的钱包地址。这也一样会在便利的同时引入新的钓鱼风险。


当然,这是后话了。


如何这种类型的钓鱼预防?有后悔药吗?


关于 Permit / Permit2 钓鱼的预防方法,已经有无数的推文、文章写过。在这里我们也是不厌其烦地再次总结——这很值得。


1、不要盲签


关于【Permit:一个平平无奇的签名,如何骗走你的资产?】的延伸阅读

  • 比特币生态的 Pendle?一文读懂 Master Protocol

    Master Protocol是比特币生态中的新兴利率互换市场和积分Farm加速器,旨在解决比特币可编程性的挑战。它的价值在于为比特币生态的Wrap生息资产定价,目前处于测试网阶段,支持Botanix的mpBTC和Bouncebit的stBBTC。Master Protocol团队正在与Babylon和Bouncebit谈判合作,并计划在6月上线主网版本。它也是比特币生态的LST和Restaking协议的重要组成部分。

  • 探索自治世界:数字物理法则和自然可组合性

    本文总结了笔者在AW/FOCG领域实践的经验和思考,包括自治世界的起源、定义和现状,自治世界与全链游戏的关系,以及最具原语性的自治世界PixeLAW及其Solidity实现。还分享了智能合约的可组合性和互操作性。详细内容可在链接中查看。

就和现实世界里的有法律效力的合同一样,没有人会随意给出自己的签名。


识别伪装的钓鱼网站属于是加密安全的基操了。而陌生土狗网站的「登陆请求」也一样要小心,黑客会想尽办法伪装按钮的意图,诱骗你签名。


大家常用的小狐狸是可以识别出 Permit/ Permit2 签名的,如果你交互的 dAPP 弹出了这个类型的签名,那最好再三确认你是否要授权相关的代币。如果只是普通的签署消息,是不可能弹出特别类型的签名的。


除了 Permit 类之外,还有 increaseAllowance、多 dApp 组合操作甚至是 0x 开头的完全无可读性的各种签名,都有可能危害到你的资产安全。


总之,如果不清楚弹出来的签名的内容和后果,一定要慎之又慎,尤其是钱包内的资产比较多的情况。


2、干湿分离


常在河边走,哪有不湿鞋。


喜欢在小网站「无视风险警告」打土狗的你,如果实在要经常发生「高危行为」,那就做好资产的隔离。


经常用于交互的小钱包,不存放大量资产。举个不太恰当的比喻,你外出随意逛街的时候,肯定不会把家当带在身上,钱包里只会放一些小钱。


并且每隔一段时间,就换整理资产、换新钱包,以及取消授权和签名,尽可能地降低自己的风险敞口。


对于存放大量资产的钱包,就不要随意「连接」网站。或者就干脆放在硬件钱包中冷保存,需要地时候专门转出进行交互。这也是老生常谈的预防钓鱼的方式了。


3、检查授权


如果不是高强度使用,在第一次授权 Permit / Permit2 代币额度的时候,建议选择按需授权。也就是使用多少授权多少,而不是默认的最大(无限)额度。


已经授权了 Permit / Permit2 无限额度的,也是有后悔药可以吃。你可以在 http://Revoke.Cash 中检查自己的代币授权风险敞口——你会明确地看到某个代币授权给 Permit / Permit2 多少额度。


该工具也支持取消签名,你也可以在其中找到签名来取消(在黑客激活相关签名偷走你的资产之前)。


要注意的是,Permit 类型的签名是一种离线签名,在被使用之前,链上是没有痕迹的(黑客通常会在服务器上储存这些偷来的签名)。


定期使用工具检查授权与签名是个好习惯。


结语


如果你不幸中招了,最好及时寻求专业安全团队如 SlowMist @SlowMist_Team 的帮助,及时转移资产和亡羊补牢,把损失最小化。甚至是使用一些技术手段抢救资产。


值得注意的是,这些签名钓鱼已经趋向于专业化、产业化,分工分赃明确。如果资产已经被专业的 Drainer 黑客团队转移并洗钱,很大的概率是拿不回来的!所以还得是防患于未然,不让他们有任何可趁之机。


最后,OneKey 始终将用户资产安全置于首位,关注加密安全动态并分享输出。欢迎了解我们的硬件、软件钱包产品,并关注我们的推特。

别忘了点赞收藏,分享给那位喜欢「无视风险继续访问」的朋友


——

附:

Scam Sniffer @realScamSniffer 的 24 年 3 月钓鱼报告(https://x.com/realScamSniffer/status/1774963876968436156

如果你确实想了解 Permit 相关的「课本知识」,推荐扩展阅读这篇来自 Beosin 的文章(https://web3caff.com/zh/archives/63069)。

免责声明:本文仅代表作者个人观点,不代表链观CHAINLOOK立场,不承担法律责任。文章及观点也不构成投资意见。请用户理性看待市场风险,以及遵守所在国家和地区的相关法律法规。
图文来源:OneKey 中文,如有侵权请联系删除。转载或引用请注明文章出处!

标签:

分享至
https://www.chainlook.cn/toutiao/1713840613.html

下一篇:

IMF突发:比特币已是必要的金融工具

IMF报告显示,严格监管的国家居民转向比特币,以便跨境转移资本。比特币已成为保存财富和进入全球市场的必要工具。IMF转变立场,认识到比特币可绕过传统银行系统,建议建立监管框架降低风险。比特币价格与全球不确定性和加密货币情绪相关,但与传统金融资产关系较弱。比特币跨境流动受风险规避和美元走强影响,但与传统资本流动不同,对VIX变化做出积极反应。政策制定者应确保资本流动管理法规涵盖加密资产,并改进数据集以更好地了解比特币跨境动态。

免责声明:
链观CHAINLOOK作为区块链技术应用与Web3行业研究的智库媒体,旨在为中国区块链专家、学者们提供最新的行业资讯信息与数据样本,用于区块链技术研究与创新。本站所发布的文章仅代表作者的个人观点,不代表链观CHAINLOOK官方立场,本站所发布的区块链行业研究报告与数据分析成果是通过人工智能算法对数据内容进行分析与归纳生成,不代表任何投资暗示与建议,链观CHAINLOOK不承担法律责任。

风险提示:
虚拟货币不具有法定货币等同的法律地位,参与虚拟货币投资交易存在法律风险,链观CHAINLOOK坚决反对各类代币炒作,请读者提高风险意识,理性看待区块链技术应用及市场风险。

© 链观CHAINLOOK All Rights Reserved. 京ICP备18054193号-5