Autor: OneKey

Otestujte se, stále si myslíte: Dokud nezahájím transakci a nepřihlásím se k „připojení a přihlášení“ na web, nepřijdu o svá aktiva?

 

Pokud přikyvujete, možná se vaše povědomí o bezpečnosti zaseklo před 21 lety.

 

Soudě podle zprávy o phishingu* z března 2024 vydané společností Scam Sniffer, 90 % phishingových aktiv byly tokeny ERC-20. Hlavní metodou phishingu je phishingový podpis Permit/Permit2.

 

Jen v polovině letošního března došlo ke 4 odcizeným transakcím s průměrnou hodnotou aktiv přibližně 2 miliony USD, z nichž 3 byly hlavní tokeny Pendle PT odcizené podpisy typu Permit phishing.

 

Z pohledu oběti je to prostě horor - jednoho dne náhle zjistil, že majetek byl převeden pryč. Po prohlídce si myslel, že soukromý klíč byl ukraden, a nakonec zjistil, že šlo o neúmyslný offline podpis. Nemohl nic dělat.

 

A tomu všemu se dalo předejít.

 

Vysvětlete jednou větou Povolení / Povolení2

 

Aby OneKey ušetřil čas, nebude příliš mluvit o šifrovacích „učebnicových znalostech“ EIP-2612 zavádějících Permit nebo Uniswap spouštějící Permit2. (Možná vás bolí hlava jen při čtení této věty)

 

Jen je potřeba si uvědomit: doba se změnila a podpis „hustého obočí a velkých očí“ také není jednoduchý.

 

Můžete to zhruba chápat jako – mnoho autorizací tokenů ERC-20 bude nyní spravováno přes „prostředníka“.

 

V minulosti byla vaše kvóta tokenů autorizována (schválit) pro každou smlouvu dApp jednu po druhé. Každé povolení stojí plyn.

 

Nyní, prostřednictvím technologie Permit/Permit2 (kterou si osvojilo značné množství dApps), stačí autorizovat tokeny „prostředníkovi“ Permit/Permit2.

 

Všechny dApps, které integrují tuto technologii, mohou požádat o použití této autorizační kvóty – stačí je jednoduše podepsat, abyste je autorizovali (i v dávkách), aniž byste museli znovu a znovu utrácet autorizaci.

 

dvousečný meč

 

Ačkoli tento typ upgradu signatur přináší pohodlí a úsporu nákladů pro operace napříč aplikacemi, má různé výhody. Ale také zanechává některá skrytá nebezpečí.

 

Nebezpečí spočívá v tom, že během posledního býčího trhu si uživatelé šifrování vytvořili provozní zvyk „přihlášení do Dapp vyžaduje podpis, aby se připojili“, a nastavili běžné podpisy jako bezpečné a nepřipravené.

 

Jak každý ví, pokud nebudete věnovat pozornost rozlišování podpisů nové verze (slepý podpis), dostanete se do pasti phishingu. To představuje nové výzvy pro povědomí o bezpečnosti uživatelů a různé infrastruktury, jako jsou peněženky.

 

Pro hackery je to lepší způsob, jak „zabíjet lidi vypůjčeným nožem“.

 

Útočníkovi stačí nasadit phishingovou smlouvu, získat od vás autorizační podpis Permit a poté odeslat transakci, která vám ukradne vaše aktiva (můžete dokonce počkat, až na ni několik dní zapomenete, než ji odešlete). Navíc Permit2 také umožňuje hackerům získat všechny vaše autorizované tokeny v dávkách.

 

Například v nedávném případu, který sdílel zakladatel SlowMist Yu Xian (https://x.com/evilcos/status/1771338665052287307), byl uživatel podepsán, aby během období příslibu získal autorizaci příslušných tokenů, ale věděl nic o tom (a neměl žádné Pozor na kontrolu Když si hacker stáhne tokeny do peněženky, okamžitě ukradne aktiva a utrpí velké ztráty).

 

Soudě podle maskovacích metod se zdá, že se rybolov zjednodušil. Mohou vytvořit webovou stránku „kontrola výsadku“ a umožnit vám „připojit se k vaší peněžence“ a zkontrolovat výsadek. Nebo si vytvořte webovou stránku s nástrojem, abyste se mohli přihlásit, aby vyhovoval vašim potřebám v určitých horkých akcích/projektech. Triky jsou nekonečné. Během používání můžete být vyzváni k vytvoření podpisu typu Permit/Permit2.

 

Když se podíváte do budoucnosti, protože Ethereum posouvá abstrakci účtu (EIP-3074 je oficiálně zahrnuto v příštím upgradu hard forku Pectra), můžete dokonce přímo autorizovat celou autoritu pro správu adres ke smlouvě, což umožní adrese smlouvy přímo ovládat peněženku uživatele. adresa. To také přinese nová rizika phishingu a zároveň to bude pohodlné.

 

To je samozřejmě příběh na jiný den.

 

Jak se tomuto druhu rybolovu předchází? Existuje nějaký lék na lítost?

 

O metodách prevence phishingu Permit/Permit2 bylo napsáno nespočet tweetů a článků. Zde si také dáváme tu práci to znovu shrnout – stojí to za to.

 

1. Nepodepisujte naslepo

 

Stejně jako u právně závazné smlouvy v reálném světě nikdo svůj podpis libovolně nerozdává.

 

Identifikace skrytých phishingových webů je základem šifrování a zabezpečení. Opatrní byste měli být také s „žádostmi o přihlášení“ z neznámých webů. Hackeři se budou ze všech sil snažit zamaskovat záměr tlačítka a přimět vás k podpisu.

 

Běžně používaná malá liška dokáže rozpoznat podpisy Permit/Permit2 Pokud dAPP, se kterým komunikujete, objeví tento typ podpisu, je nejlepší zkontrolovat, zda chcete příslušné tokeny autorizovat. Pokud se jedná pouze o obyčejnou podpisovou zprávu, není možné vyskakovat speciální typ podpisu.

 

Kromě třídy Permit existují také operace zvýšeníPovolení, operace s kombinací více dApp a dokonce zcela nečitelné podpisy začínající 0x, které mohou ohrozit bezpečnost vašich aktiv.

 

Stručně řečeno, pokud neznáte obsah a důsledky vyskakovacího podpisu, musíte být opatrní, zvláště pokud je v peněžence mnoho aktiv.

 

2. Suchá a mokrá separace

 

Často chodím u řeky, aniž bych si promočil boty.

 

Pokud rádi „ignorujete varování před riziky“ a hrajete triky na malých webech, pokud se opravdu musíte často zapojovat do „vysoce rizikového chování“, pak svá aktiva oddělte.

 

Malá peněženka, která se často používá pro interakce a neukládá velké množství aktiv. Abych uvedl nevhodnou metaforu, když jdete nenuceně nakupovat, rozhodně si s sebou nevezmete věci, ale jen nějaké drobné v peněžence.

 

A jednou za čas změňte aktiva, vyměňte peněženky a zrušte autorizaci a podpisy, abyste co nejvíce snížili vystavení riziku.

 

U peněženek, které uchovávají velké množství aktiv, se „nepřipojujte“ k webovým stránkám libovolně. Nebo jej jednoduše vložte do hardwarové peněženky pro chladné úložiště a v případě potřeby jej přeneste k interakci. To je také klišoidní způsob, jak zabránit rybolovu.

 

3. Zkontrolujte oprávnění

 

Pokud není intenzivně využíván, je doporučeno při první autorizaci kvóty tokenů Permit/Permit2 zvolit autorizaci na vyžádání. To znamená, že máte oprávnění tolik, kolik používáte, spíše než výchozí maximální (neomezenou) částku.

 

Pokud jste autorizovali Permit/Permit2 s neomezenou kvótou, můžete také užívat lék lítosti. Můžete zkontrolovat vystavení autorizace tokenu na http://Revoke.Cash - jasně uvidíte, jak moc je povoleno povolení / povolení2 pro určitý token.

 

Nástroj také podporuje rušení podpisů, kde můžete také najít podpisy ke zrušení (než hacker aktivuje příslušný podpis, aby odcizil váš majetek).

 

Je třeba poznamenat, že podpis typu povolení je offline podpis a v řetězci před použitím není žádná stopa (hackeři obvykle ukládají tyto ukradené podpisy na serveru).

 

Je dobrým zvykem pravidelně používat nástroje pro kontrolu oprávnění a podpisů.

 

Závěr

 

Pokud vás bohužel přistihnou, je nejlepší včas vyhledat pomoc profesionálních bezpečnostních týmů, jako je SlowMist @SlowMist_Team, abyste převedli majetek a včas provedli nápravu, abyste minimalizovali ztráty. Dokonce použít některé technické prostředky k záchraně majetku.

 

Stojí za zmínku, že tyto typické rybolovné činnosti se staly profesionálnějšími a industrializovanými, s jasnou dělbou práce a kořisti. Pokud byla aktiva převedena a vyprána profesionálním hackerským týmem Drainer, je vysoká pravděpodobnost, že nebudou získána zpět! Musíme to tedy potlačit v zárodku a zabránit jim, aby toho využili.