币圈大佬接连中招、损失超4.7亿人民币,Permit签名钓鱼为何如此厉害?
作者:Biteye,来源:作者推特@BiteyeCN
9月28日,一地址由于网络钓鱼攻击损失约 3233 万美元,该地址据传可能与币圈大佬神鱼相关。无独有偶,10月11日,一笔价值 3500 万美元的 fwDETH 资产再次被钓鱼团伙窃取。短短半月内,已有总价值超过 4.7 亿人民币的虚拟资产因 Permit 签名钓鱼攻击而难以追回。
Permit 签名钓鱼为何如此厉害?就连币圈大佬也接连中招?
什么是 Permit 签名?
为了理解 Permit 签名的引入,首先需要掌握 ERC20 币种的交易规则:账户A可以调用 approve 函数授权账户 B 操作指定的代币,且只有代币的拥有者才能调用此函数。
Permit 是一种利用离线签名来实现授权的机制,它允许跳过 approve 步骤且不需支付 gas 费。在此过程中,A 提前在链下对 B 进行签名,并将这个签名提供给 B;B 随后可使用此签名通过调用 permit 函数来执行 A 的授权操作,这允许 B 使用 transferFrom 进行代币转账。
通过 Permit,A 能在不进行任何链上交易的情况下实施代币转移,且执行 permit 的操作不限于账户的拥有者。Permit 在 ERC20 协议的 EIP-2612 提案中被正式引入,为用户提供了一种既便捷又节省成本的交互方式。
Permit 签名是怎么被用来实施钓鱼攻击的?
根据上述的介绍,当用户误入钓鱼网站,点击链接被黑客获取了签名,随后黑客用签名信息上链提交 permit ,实现对用户资产的控制并进行转移。
攻击步骤:进入钓鱼网站-在钓鱼网站上链接钱包进行了签名-黑客获取签名通过 permit 窃取资产
例如,下面是一个钓鱼网站的恶意签名:图片最上方显示这是一个 zksync 的钓鱼网站,下方的 permit 签名显示该钱包(owner)正在授权给一个地址(spender),往下的 value 是授权的代币数量,deadline 是时间戳,在给定时间前均有效。
如何避免 Permit 签名钓鱼攻击
Permit 签名钓鱼攻击并非完全不可预防,大多数用户遭受损失都曾接连犯下多个安全错误。
首先,用户应将囤币的钱包和 DeFi 交互的钱包区分开,在链接钱包、签名或授权前认真检查网址,确保自己进入了正确的网站;
一些网站也会出现合约被黑客恶意替换的情况,我们在点击签名或授权前,应该认真阅读钱包跳出的 Singnature request 信息,确保授权目前地址正确,且资产和金额在可控范围内;
最后,我们可以通过安全插件如 @wallet_guard @realScamSniffer 来帮助识别异常风险,不定期使用授权工具如 RevokeCash(https://revoke.cash)查看是否有异常授权。同时,选择使用如 @Rabby_io 等插件钱包,也可以获得更具可读性的签名信息。