Giấy phép: Làm thế nào một chữ ký tầm thường có thể lừa gạt tài sản của bạn?

Tác giả: OneKey Nguồn tiếng Trung: X, @OneKeyCN

Tự kiểm tra, bạn có còn nghĩ: Chỉ cần tôi không thực hiện giao dịch và ký “kết nối và đăng nhập” vào website, tôi sẽ không bị mất tài sản của mình?

Nếu bạn gật đầu, có thể nhận thức về bảo mật của bạn đã bị mắc kẹt từ 21 năm trước.

Đánh giá từ báo cáo lừa đảo ngày 24 tháng 3* do Scam Sniffer công bố, 90% tài sản lừa đảo là mã thông báo ERC-20. Phương thức lừa đảo chính là chữ ký lừa đảo Permit/Permit2.

Chỉ riêng giữa tháng 3 năm nay, đã có 4 giao dịch bị đánh cắp với giá trị tài sản trung bình khoảng 2 triệu USD, 3 trong số đó bị đánh cắp bởi chữ ký lừa đảo Permit Pendle Mã thông báo chính PT.

Từ góc nhìn của nạn nhân, đây chỉ đơn giản là một bộ phim kinh dị - một ngày nọ, tôi chợt phát hiện ra rằng tài sản đã bị chuyển đi, và sau khi kiểm tra xung quanh, tôi nghĩ rằng khóa riêng đã bị đánh cắp. Nó đã bị đánh cắp và cuối cùng người ta phát hiện ra rằng đó là một chữ ký ngoại tuyến vô tình. Tôi không thể làm gì được.

Và tất cả những điều này lẽ ra có thể tránh được.

Giải thích Permit / Permit2 trong một câu

Để tiết kiệm thời gian, OneKey sẽ không giải thích ở đây có quá nhiều “kiến thức sách giáo khoa” mã hóa của EIP-2612 giới thiệu Permit hay Uniswap khởi chạy Permit2. (Có thể bạn sẽ bắt đầu đau đầu khi đọc câu này)

Bạn chỉ cần nhận ra: Thời thế đã thay đổi, và dấu ấn của "lông mày rậm và to". mắt” cũng không hề đơn giản.

Bạn có thể hiểu đại khái là - nhiều ủy quyền token ERC-20 giờ đây sẽ được quản lý thông qua một "trung gian".

Trước đây, hạn ngạch mã thông báo của bạn được ủy quyền (Phê duyệt) cho từng hợp đồng dApp từng cái một. Mỗi lần ủy quyền đều tốn Gas.

Giờ đây, thông qua công nghệ Permit / Permit2 (đã được một số lượng đáng kể các dApp áp dụng), bạn chỉ cần ủy quyền mã thông báo cho Permit / Permit2 "trung gian" .

DApp tích hợp công nghệ này có thể yêu cầu sử dụng hạn mức ủy quyền này - bạn chỉ cần ký tên của mình để ủy quyền cho họ (kể cả theo đợt), Không cần chi tiêu ủy quyền gas nhiều lần.

Con dao hai lưỡi

Loại nâng cấp chữ ký này, mặc dù dành cho ứng dụng chéo Hoạt động Nó mang lại sự thuận tiện và tiết kiệm chi phí, đồng thời có nhiều lợi ích khác nhau. Nhưng nó cũng để lại một số mối nguy hiểm tiềm ẩn.

Điều nguy hiểm là trong thị trường tăng giá vừa qua, người dùng tiền điện tử đã hình thành thói quen hoạt động là "đăng nhập vào Dapp cần có chữ ký để kết nối" và theo mặc định Chữ ký bình thường là an toàn và không có khả năng tự vệ.

Như mọi người đều biết, nếu không chú ý phân biệt chữ ký của phiên bản mới (chữ ký mù) sẽ rơi vào tình trạng lừa đảo. Điều này đặt ra những thách thức mới đối với nhận thức về bảo mật của người dùng và các cơ sở hạ tầng khác nhau như ví.

Đối với hacker, cách tốt hơn là "giết người bằng dao mượn".

Kẻ tấn công chỉ cần triển khai hợp đồng lừa đảo, lấy chữ ký cấp phép từ bạn và sau đó gửi giao dịch để đánh cắp tài sản của bạn (thậm chí bạn có thể đợi Gửi nó sau khi bạn quên nó trong vài ngày). Hơn nữa, Permit2 cũng cho phép tin tặc lấy được tất cả các token được ủy quyền của bạn theo đợt.

Ví dụ: trong trường hợp này được chia sẻ gần đây bởi người sáng lập SlowMist Yu Xian (https://x.com/evilcos/status/1771338665052287307), một người dùng đã được đăng nhập trong thời gian cầm cố Hacker đã lừa đảo ủy quyền các token có liên quan mà không biết gì về nó (và không chú ý kiểm tra). Khi hacker đưa token vào ví của mình, anh ta ngay lập tức lấy trộm tài sản và bị lỗ nặng.

Đánh giá từ việc ngụy trang, việc câu cá dường như đã trở nên đơn giản hơn. Họ có thể tạo một trang web "kiểm tra airdrop" cho phép bạn "kết nối ví của mình" để kiểm tra airdrop. Hoặc tạo một website công cụ để bạn đăng nhập đáp ứng nhu cầu trong các sự kiện/dự án hot nào đó. Các thủ thuật là vô tận. Trong quá trình sử dụng, bạn có thể bị buộc phải tạo chữ ký loại Permit/Permit2.

Mong đợi tương lai, khi Ethereum nâng cao khả năng trừu tượng hóa tài khoản (EIP-3074 chính thức được đưa vào bản nâng cấp hard fork tiếp theo của Pectra), bạn thậm chí có thể ủy quyền trực tiếp cho toàn bộ địa chỉ Trao quyền kiểm soát cho hợp đồng, cho phép địa chỉ hợp đồng vận hành trực tiếp địa chỉ ví của người dùng. Điều này cũng sẽ gây ra những rủi ro lừa đảo mới nhưng vẫn thuận tiện.

Tất nhiên, đây là câu chuyện của một ngày khác.

Làm cách nào để ngăn chặn kiểu lừa đảo này? Có thuốc hối hận không?

Đã có vô số tweet và bài viết viết về các phương pháp ngăn chặn lừa đảo Permit/Permit2. Ở đây chúng tôi cũng chịu khó tóm tắt lại - nó đáng giá.

1. Đừng ký một cách mù quáng

Chỉ cần ký một hợp đồng ràng buộc về mặt pháp lý trong thực tế world Tương tự như vậy, không ai đưa ra chữ ký của mình một cách ngẫu nhiên.

Xác định các trang web lừa đảo trá hình là bài tập cơ bản về bảo mật mã hóa. Bạn cũng nên cẩn thận với những "yêu cầu đăng nhập" từ các trang web không quen thuộc. Tin tặc sẽ cố gắng hết sức

để ngụy trang mục đích của nút và lừa bạn ký.

Con cáo nhỏ thường được sử dụng có thể nhận ra chữ ký Permit/Permit2 Nếu dAPP mà bạn tương tác bật lên loại chữ ký này, tốt nhất bạn nên xác nhận lại. . Có cấp phép cho các mã thông báo liên quan hay không. Nếu chỉ là tin nhắn chữ ký thông thường thì không thể bật lên được một loại chữ ký đặc biệt.

Ngoài lớp Permit, còn có các hoạt động kết hợp boostAllowance, nhiều dApp và thậm chí cả các chữ ký hoàn toàn không thể đọc được bắt đầu bằng 0x, điều này có thể gây hại cho. giữ tài sản của bạn an toàn.

Tóm lại, nếu chưa rõ nội dung và hậu quả của chữ ký pop-up thì bạn phải thận trọng, nhất là khi có nhiều tài sản trong ví.

2. Tách biệt điều kiện khô và ướt

Nếu bạn thường xuyên đi bộ bên bờ sông, làm thế nào bạn có thể có đôi giày không bị ướt?

Nếu bạn thích "bỏ qua các cảnh báo rủi ro" và giở trò đồi bại trên các trang web nhỏ, nếu bạn thực sự phải thường xuyên tham gia vào "các hành vi rủi ro cao" thì hãy tách biệt tài sản của bạn.

Một chiếc ví nhỏ thường được sử dụng để tương tác và không lưu trữ một lượng lớn tài sản. Đưa ra một ẩn dụ không phù hợp, khi bạn đi mua sắm một cách tùy tiện, bạn chắc chắn sẽ không mang theo đồ đạc bên mình mà chỉ có một số tiền nhỏ trong ví.

Và thỉnh thoảng, hãy sắp xếp lại tài sản, thay đổi ví cũng như hủy ủy quyền và chữ ký để giảm mức độ rủi ro của bạn nhiều nhất có thể.

Đối với những ví lưu trữ lượng tài sản lớn, không được tùy ý "kết nối" với các trang web. Hoặc đơn giản là đặt nó vào ví phần cứng để lưu trữ lạnh và chuyển ra ngoài để tương tác khi cần. Đây cũng là một cách phổ biến để ngăn chặn việc đánh bắt cá.

3. Kiểm tra ủy quyền

Nếu không sử dụng nhiều, hãy ủy quyền Permit cho lần đầu tiên thời gian / Khi hạn ngạch mã thông báo Permit2, bạn nên chọn ủy quyền theo yêu cầu. Nghĩa là, bạn được ủy quyền theo mức sử dụng, thay vì số tiền tối đa (không giới hạn) mặc định.

Nếu bạn đã ủy quyền Permit / Permit2 với hạn ngạch không giới hạn, bạn cũng có thể dùng thuốc hối hận. Bạn có thể kiểm tra mức độ cấp phép mã thông báo của mình tại http://Revoke.Cash - bạn sẽ thấy rõ Permit / Permit2 được cấp phép bao nhiêu cho một mã thông báo nhất định.

Công cụ này cũng hỗ trợ hủy chữ ký, tại đây bạn cũng có thể tìm thấy chữ ký để hủy (trước khi hacker kích hoạt chữ ký liên quan để đánh cắp tài sản của bạn).

Cần lưu ý rằng chữ ký loại Permit là chữ ký ngoại tuyến. Trước khi được sử dụng, không có dấu vết nào trên chuỗi (tin tặc thường lưu trữ những chữ ký bị đánh cắp này. ).

Nên thường xuyên sử dụng các công cụ để kiểm tra ủy quyền và chữ ký.

Kết luận

Nếu không may bị bắt thì tốt nhất bạn nên tìm đến đội ngũ bảo vệ chuyên nghiệp ở thời gian, chẳng hạn như Với sự trợ giúp của SlowMist, bạn có thể chuyển tài sản kịp thời và sửa đổi để giảm thiểu tổn thất. Thậm chí sử dụng một số phương tiện kỹ thuật để giải cứu tài sản.

Điều đáng chú ý là nghề đánh cá đặc trưng này có xu hướng chuyên nghiệp và công nghiệp hóa, với sự phân công lao động và chiến lợi phẩm rõ ràng. Nếu tài sản đã được chuyển nhượng và rửa bởi nhóm hack Drainer chuyên nghiệp thì khả năng cao là chúng sẽ không thể lấy lại được! Vì vậy chúng ta phải ngăn chặn nó từ trong trứng nước và không để chúng lợi dụng.