許可証：平凡な署名があなたから資産を詐取する方法

著者：OneKey 中国語ソース：X, @OneKeyCN

テストをしてみて、あなたがまだ次のような状態かどうか自分で確かめてみてください。考える：取引を開始しない限り、サインアップしてサイトに「接続・ログイン」しても資産を失うことはないのでは？

首をかしげている人は、おそらく21歳でしょう。

スキャム・スニッファーが発表した24年3月のフィッシング・レポート*によると、フィッシングされた資産の90%はERC-20トークンでした。主なフィッシング手法はPermit / Permit2フィッシングシグネチャーです。

今年の3月中旬だけでも、平均資産額～200万ドルの盗難取引が4件あり、そのうち3件はPermitフィッシング署名によって盗まれたPendle PTのプリンシパルトークンでした。

被害者の立場からすると、これはホラー映画のようなものです。ある日突然、自分の資産が送金されていることに気づき、あちこち調べた結果、秘密鍵が盗まれたと思っても、それが不注意によるオフライン署名だったことがわかり、どうすることもできません。

そしてこのすべては避けられたかもしれません。

Permit/Permit2の概要

時間の都合上、OneKeyはEIP-2612のPermitやUniswapの導入についてここでは多くを語りません。Permit2の導入に関する暗号の「教科書的知識」である。（

時代が変わり、"大きな目 "の署名は簡単ではないことに気づく必要があります。

これを大雑把に解釈すると、かなりの数のERC-20トークンライセンスが「仲介者」を通して管理されることになります。

その昔、あなたのトークンクレジットは各dAppコントラクトに1つずつ割り当てられていました。

現在では、Permit / Permit2テクノロジー（すでにかなりの数のdAppsで使用されている）を使えば、「仲介者」であるPermit / Permit2にあなたのトークンを承認するだけでよい。

この技術を統合するすべてのdAppは、この量の認可を要求することができます - 何度も何度も認可するためにガスを費やすのではなく、サインアップして（一括でも）認可するだけの簡単な問題です。

諸刃の剣

このような署名のアップグレードは、クロスアプリケーション運用の利便性とコスト削減という点でさまざまな利点があります。しかし、いくつかの落とし穴も残します。

危険なのは、最後の強気相場で、暗号ユーザーが「Dappにログインし、接続するために署名を要求する」習慣を身につけ、安全で無防備であるためにプレーンな古い署名をデフォルトにしてしまったことです。

彼らの知らないところで、新しいバージョンの署名は、（盲目的に）見分けなければフィッシングされる可能性があります。これは、ユーザーのセキュリティ意識とウォレットなどの様々なインフラに新たな課題をもたらします。

ハッカーにとっては、「ナイフで殺す」方が良い方法です。

攻撃者は単にフィッシング契約を展開し、あなたからPermit認可署名を得て、あなたの資産を盗むトランザクションを送信することができます（あるいは、あなたがそれを忘れるまで数日待つこともできます）。Permit2はまた、ハッカーがあなたの認証済みトークンすべてに一括アクセスすることを可能にします。

例えば、SlowMistの創設者であるYu Yin氏（https://x.com/evilcos/status/1771338665052287307）が共有した最近のケースでは、あるユーザーが誓約中に、それを知らずに（そしてわざわざ確認することなく）、関連するトークンへの認証のために署名フィッシングを行っていました。自分では何も知らずに（確認することに注意を払わず）、ハッカーはトークンをウォレットに提示するとすぐに資産を盗み、大金を失った。

偽装の手段からすると、フィッシングも少しは簡単になったようだ。エアドロップを見るために「ウォレットを接続」できる「エアドロップ・チェック」サイトを作ることもできたはずだ。あるいは、特定のホットなイベント／プロジェクトにログインするためのツールサイトを作るとか。仕掛けは無限にある。そして、それを使う過程で、あなたはおそらくPermit/Permit2タイプの署名をするように誘導されたことだろう。

イーサがアカウントの抽象化を進めるにつれて（EIP-3074は次のペクトラハードフォークアップグレードに正式に含まれます）、アドレスコントロール全体をコントラクトに直接オーソライズすることもできるようになり、コントラクトアドレスがユーザーのウォレットアドレスを直接操作できるようになります。これは便利であるのと同時に、新たなフィッシングリスクをもたらします。

もちろん、これは後付けです。

このようなフィッシング対策はいかがでしょうか？後悔先に立たず？

Permit/Permit2のフィッシング対策方法については、数え切れないほどのツイートや記事が書かれています。私たちもまた、わざわざここにまとめてみました。

1.やみくもに署名しない

現実世界での法的拘束力のある契約と同じように、誰も自分の署名を自由に渡そうとはしません。

偽装したフィッシングサイトを見分けることは、暗号セキュリティの基本操作に該当します。また、ハッカーが

ボタンの意図を偽装し、署名をだまし取ろうとするような、見知らぬドングルサイトからの「ログイン要求」にも同様に注意が必要です。

私たちみんなが使っている小さなキツネは、Permit/ Permit2署名を認識することができるので、もしあなたがやりとりしているdAPPがこのタイプの署名をポップアップ表示するのであれば、関連するトークンを認可するつもりがないことを再確認するのがよいでしょう。通常の署名メッセージであれば、特別なタイプの署名がポップアップする可能性は低いでしょう。

Permitクラス以外にも、increaseAllowance、multi-Appコンボ操作、さらには0xで始まるまったく読めない署名など、さまざまな署名があり、これらはすべて資産のセキュリティを危険にさらす可能性があります。

要するに、ポップアップするシグネチャの内容と結果について確信が持てない場合は、特にウォレットに多くの資産を持っている場合は注意が必要です。

2.ウェットとドライを使い分ける

いつも川のそばを歩いていると、濡れた靴など存在しない。

小さな現場で「危険警告を無視」し、土の犬を倒すのが好きなあなた、本当に「危険度の高い行動」に定期的に従事しなければならないのであれば、資産の棲み分けをしっかり行いましょう。

交流に使われることが多く、多額の資産を保有しない小さな財布。例えるなら、気軽に買い物に出かけるときに家財道具を持ち歩くことはないでしょうし、財布の中には少額のお金しか入っていないでしょう。

そして、たまには資産を変え、新しい財布を手に入れ、認証や署名をキャンセルして、可能な限り露出を減らすのです。

多くの資産を保有するウォレットの場合、ウェブサイトに「接続」するだけではいけません。あるいは、単にハードウェアウォレットにコールドで保管し、必要なときに特別に転送してやりとりする。昔からあるフィッシングの防止方法だ。

3.認可を確認する

集中的に使用しないのであれば、最初にPermit / Permit2のトークン量を認可するときにオンデマンド認可を選択することをお勧めします。つまり、デフォルトの最大(無制限)量ではなく、使用する分だけ認可します。

すでに無制限のPermit / Permit2クレジットをオーソライズしてしまった場合の救済策もあります。http://Revoke.Cash、トークンのオーソライズエクスポージャーを確認することができます。Permit / Permit2にオーソライズされたトークンの量が明確にわかります。

このツールはシグネチャのキャンセルもサポートしており、（ハッカーがあなたの資産を盗むために関連するシグネチャをアクティブにする前に）キャンセルするシグネチャを見つけることもできます。

Permitタイプの署名はオフライン署名であり、使用されるまでチェーン上にその痕跡が残らないことに注意することが重要です（ハッカーはこのような盗んだ署名をサーバーに保存することがよくあります）。

定期的に認証と署名をツールでチェックするのは良い習慣です。

結論

運悪くこの罠に引っかかってしまった場合は、SlowMistのようなプロのセキュリティチームの助けを借りて、資産を移管し、タイムリーに状況を修復することで、被害を最小限に抑えることをお勧めします。あるいは、何らかの技術的手段を使って資産を救い出すこともできます。

このような特徴的なフィッシュは、明確な役割分担と戦利品を伴う、プロフェッショナルで工業化された傾向があることは注目に値します。もし資産がプロのドレイナー・ハッキング・チームによって譲渡され、ロンダリングされたのであれば、取り返しがつかない可能性が高い！だから、彼らに付け入る隙を与えないようにすることも、予防の問題なのだ。