真官網也可能彈出惡意授權:300萬美元事件讓我重新理解GRVT SecureKey
6月25日,Polymarket官方確認,一家第三方前端供應商遭到入侵,惡意腳本因此被注入部分用戶訪問的真實前端。PeckShield引用鏈上調查稱,約300萬美元PUSD被轉走,隨後從Polygon跨鏈至Ethereum,並換成約1,893枚ETH。Polymarket表示已經移除受影響依賴、聯繫相關用戶並進行全額補償。
它最反常識的地方在於:域名正確、HTTPS正常、賬戶也能登錄,都不能單獨證明接下來要籤的內容符合你的真實意圖。
這正是我重新審視
@grvt_io SecureKey設計的原因。根據GRVT幫助中心,賬戶權限被拆成兩層:郵箱、密碼或Google/Microsoft OAuth屬於Web2憑證,用於查看資產、持倉以及參與非交易功能;凡是可能改變資產歸屬的操作,則需要Web3 SecureKey簽名。
SecureKey本質上是Ethereum公私鑰對,用戶可以選擇外部錢包,也可以使用Privy支持的郵箱OTP方案。
這種分層的意義,是即使Web2登錄憑證泄露,攻擊者也不能只憑登錄狀態完成需要SecureKey授權的資產變更。
若設備被木馬控制、外部錢包擴展被替換,或者用戶在真實網站上批准了被篡改的內容,一枚密碼學上有效的簽名仍可能表達錯誤的意圖。自託管減少的是平臺單方面移動資產的託管風險,並不會自動消除釣魚、依賴組件、智能合約與個人操作風險。
經歷這次事件後,我給自己的每次簽名增加了五項覈驗:
1. 從書籤或官方入口進入,不依賴搜索廣告和私信鏈接;
2. 判斷請求到底是登錄證明、下單、代幣授權、轉賬還是提現;
3. 覈對資產、數量、目標地址、合約和授權範圍;
4. 頁面與錢包顯示不一致,或突然要求無限授權時立即取消;
5. 大額賬戶儘量使用獨立簽名設備,不把日常下載環境和高價值密鑰放在一起。
#grvt #SelfCustody #WalletSecurity #Web3Security