出典:リズム
転載:コアラ、マース・ファイナンス
9月28日、Lookonchainは、特定のアドレスがフィッシング攻撃により12,083.6 spWETH(約3,233万ドル)を失ったことを明らかにする文書を公開した。アーカム氏は、このウォレットはCoboの共同創設者兼CEOのShenyu( @bitfish1 )に関連している可能性があると述べた。現時点ではシェンユーはこれに応じていない。本日、Lookonchain は、6 時間前に「Permit」フィッシング署名に署名したことにより、アドレス (おそらく @ContinueFund に関連) が 15,079 fwDETH (3,600 万ドル相当) を失ったと報告しました。なぜ許可署名釣りは、業界の有名人さえも次々と巻き込まれるほど強力なのでしょうか?この記事では、これに関する科学の普及について詳しく説明します。 BlockBeats は、不明なリンクをクリックしたり、不明な署名に署名したりしないよう、ユーザーに再度注意を促します。
GoPlus セキュリティ チームの監視によると、フィッシング攻撃は個々の Web3 ユーザーに最大の損失をもたらす主なリスクとなっており、通常、攻撃者は公式 Twitter、Telegram、電子メール、Discord の返信、またはプライベート チャット ユーザーを真似て、エアドロップ、返金、福利厚生を利用します。ユーザーをフィッシング Web サイトのリンクをクリックさせ、ウォレット内の「許可」署名を使用してユーザーの許可された資産を盗むアクティビティ。これは EIP-2612 を採用したオフライン署名承認標準であり、ユーザーは Eth を所有せずに承認してガス料金を支払うことができます。これにより、ユーザーの承認プロセスが簡素化され、手動の承認プロセスによって引き起こされるエラーや遅延のリスクが軽減されます。現在一般的なフィッシング攻撃の手法。
許可署名とは何ですか?
簡単に言うと、以前はトークンを他のコントラクトに転送する前に承認が必要でしたが、コントラクトが Permit をサポートしている場合は、Permit を介してオフラインで署名し、承認後はガスを支払うことなく承認できます。当事者がそれを所有することになり、対応する管理権があれば、ユーザーが許可した資産はいつでも譲渡できます。
アリスは、オフチェーン署名を使用してプロトコルを承認し、Permit を呼び出してチェーン上の承認を取得し、次に TransferFrom を呼び出して対応するアセットを転送します。
1. 事前承認なしで対話できるように、トランザクションに許可署名を添付します。
2. オフチェーン署名、オンチェーン操作は承認されたアドレスによって実行され、承認されたトランザクションは承認されたアドレスでのみ表示されます。
3. 関連するメソッドを ERC20 トークン コントラクトに書き込む必要があります。EIP-2612 より前にリリースされたトークンはサポートされていません。
フィッシング攻撃者は、フィッシング Web サイトを偽造した後、Permit 署名を使用してユーザーの承認を取得します。Permit 署名には通常、次の内容が含まれます。
インタラクティブ: インタラクティブな URL
所有者: 承認者のアドレス
支出者: 承認された当事者のアドレス
値: 承認された数量
Nonce: 乱数 (アンチリプレイ)
期限: 有効期限
ユーザーが許可署名に署名すると、Spender は期限内に対応するバリュー資産を譲渡できます。
Permit シグネチャ フィッシング攻撃から保護する方法
1. 見覚えのないリンクや信頼できないリンクをクリックせず、常に正しい公式チャネル情報を繰り返し確認してください。
2. Web サイトを開いてウォレットの署名確認ポップアップ ウィンドウを起動した場合は、急いで確認せず、署名リクエストの上に表示されるインタラクティブな URL と署名の内容を注意深く読んでください。支出者と金額を含む情報が表示されます。資産の損失を避けるために、[拒否] を直接クリックしてください。
3. ログインおよび登録時に起動する[メッセージ署名]ポップアップウィンドウは、クリック可能な安全な確認操作です。参考形式は次のとおりです。
