È notizia recente che a causa di un attacco di phishing con firma Permit, un determinato indirizzo ha perso 12.083,6 spWETH, per un valore di circa 32,33 milioni di dollari. Il portafoglio della vittima potrebbe essere correlato al co-fondatore e CEO di Cobo, Shenyu.
Shenyu è anche considerato un vecchio nel campo della blockchain, ed è anche lui caduto nel phishing della firma di permesso. Hai detto che per un professionista della blockchain e fondatore del portafoglio digitale Cobo, se il suo portafoglio fosse stato rubato, sarebbe un peccato? Nei tempi antichi, se si avesse anche il minimo senso di vergogna, si dovrebbe commettere seppuku. Il bambino si sente infelice, ma non dice nulla e finge semplicemente che non sia successo nulla è la risposta più imbarazzante.
【Perché vieni ingannato】
Molte persone hanno questa mentalità fissa, pensando che poiché non ho approvato il token o pagato il gas per caricarlo nella catena, i miei beni sono al sicuro.
Questa è una vecchia mentalità valida solo fino al 2023. Ciò non è più vero dopo l'introduzione di Permit in EIP-2612. Questa soluzione è un’arma a doppio taglio. Potete chiamarla aggiornamento tecnico o scappatoia tecnica. Questa lacuna generalmente deve essere corretta dal software del portafoglio a livello di applicazione. Prima di applicare la patch, l'utente deve tenere gli occhi aperti.
【Come prevenire】
La firma del permesso menzionata nell'articolo non verrà analizzata tecnicamente qui oggi. Qui presenteremo solo come prevenirla. Se i parrucchieri ricordano i seguenti metodi, possono evitare completamente il rischio di essere rubati.
Le firme di autorizzazione sono nel seguente formato Se viene visualizzata la seguente finestra pop-up quando accedi alla dapp e controlli il comportamento del collegamento di portafogli come gli airdrop, significa che il tuo account è stato rubato per phishing.
Interattivo: URL interattivo
Proprietario: indirizzo del soggetto autorizzante
Spender: indirizzo del soggetto autorizzato
Valore: quantità autorizzata
Nonce: numero casuale
Scadenza: tempo di scadenza
I tipi di firma normali non presentano questi messaggi, come mostrato di seguito:
Un'altra cosa: non farti prendere dal panico se firmi accidentalmente. Non tutte le risorse possono essere rubate dagli hacker. Possono essere rubati solo i token i cui contratti supportano il metodo di autorizzazione (chiamato anche token con autorizzazione). Per altri asset come ETH, USDT, USDC, ecc., gli hacker possono gestirli solo se si limitano a fissare e aspettare che un giorno tu passi ai [token con licenza]. Tutto quello che devi fare è trasferire immediatamente i tuoi beni.
Quali token nel tuo portafoglio sono "token consentiti" possono essere interrogati utilizzando revoke.cash (molti token ricostituiti come METH, PUFETH e spWETH di Shenyu nell'articolo sono token con permesso):
Infine, vorrei ricordarvi ancora che la firma del permesso, come la firma normale, viene eseguita al momento del collegamento del portafoglio. Non è richiesto gas e non viene caricato sulla catena. Non puoi vederlo nell'autorizzazione. Le informazioni sulla firma sono state archiviate sul server da un hacker. Se firmi accidentalmente, l'hacker aspetterà pazientemente che tu trasferisca i soldi sul tuo portafoglio, quindi assicurati di tenere gli occhi aperti per vedere chiaramente.
