Permit籤名釣魚有多危險?這次失手的加密大戶竟然被盜420萬美元

2024-01-23 00:01:12

2024年1月22日,據Beosin旗下EagleEye安全風險監控、預警與阻斷平臺監測顯示,一位加密大戶遭受到網絡釣魚攻擊,造成了420萬美元的損失,而關鍵點漏洞,是我們經常提及的Permit籤名。

在早些時間Beosin與區塊鏈安全研究員菠菜共同研究並發布了《籤名就被盜?用過Uniswap的請警惕!揭祕Permit2籤名釣魚》安全研究文章, 文中詳細描述了攻擊者如何利用permit2函數對用戶發起釣魚攻擊, 而本次事件所利用的攻擊原理與文章中描述的permit2攻擊方式基本一致,只是permit是針對於支持該函數的erc20合約,而permit2針對的可以是所有erc20合約。

本篇文章我們一起來看看攻擊者一般是利用什么來誘騙用戶對詐騙信息進行籤名的,以及一些安全防範技巧。

什么是Permit籤名釣魚?

Permit籤名是一種特定的數字籤名機制,用於在某些情況下簡化授權操作。它是基於區塊鏈技術和密碼學原理的一種安全驗證方式。

在傳統的數字籤名中,籤名者需要擁有私鑰來對特定的數據進行籤名,並將籤名後的數據與公鑰一起傳輸給驗證方。驗證方使用相應的公鑰來驗證籤名的有效性。

然而,Permit籤名採用了一種不同的方法。它允許持有者通過籤署一份特殊的授權消息,將對特定操作的訪問權限授予他人,而無需直接將私鑰傳輸給受許可方。

Permit籤名釣魚則是 利用用戶對授權操作的不加仔細驗證或理解,以獲取未經授權的權限或敏感信息。這種攻擊利用了用戶對授權流程或籤名機制的信任,通過欺騙用戶產生僞造的授權操作或籤名請求。

黑客通常採取哪些Permit籤名釣魚攻擊?

僞造授權請求:

攻擊者可能創建一個看似合法的授權請求,以騙取用戶的信任。這可能涉及僞造的應用或網站,要求用戶提供他們的授權或籤名來執行某個操作。

誤導用戶操作:

攻擊者可能通過欺騙用戶進行誤操作來實施攻擊。例如,他們可能創建一個看似無害的按鈕,但實際上觸發了未經用戶認可的授權操作。

僞造授權頁面:

攻擊者可能通過僞造與正常授權頁面相似的頁面來引誘用戶進行授權操作。這些頁面通常設計得與正常的授權頁面幾乎一模一樣,以欺騙用戶並使其相信他們正在與合法的應用或服務進行交互。

社交工程:

攻擊者可能利用社交工程技巧,通過發送釣魚郵件、短信或社交媒體消息等方式,引導用戶點擊惡意鏈接或進入僞造的授權頁面。

如何安全防範?

考慮到Permit籤名的一些釣魚攻擊,此前研究員菠菜給了我們一些有效的防範手段有:

1 理解並識別籤名內容:

Permit的籤名格式通常包含Owner、Spender、value、nonce和deadline這幾個關鍵格式,如果你想享受Permit帶來的便利和低成本的話一定要學會識別這種籤名格式。(下載安全插件是一個很好的選擇)

我們向各位讀者朋友推薦下面這款Beosin Alert反釣魚插件,可以識別Web3領域的大部分釣魚網站,守護大家的錢包和資產安全。

反釣魚插件下載:

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=en

2 放資產的錢包和交互的錢包分離使用:

如果你有大量資產的話,建議資產都放在一個冷錢包中,鏈上交互的錢包放少量資金,可以大幅減少遇到釣魚騙局時的損失。

3 識別代幣性質,是否支持permit功能:

後續可能越來越多的ERC20代幣使用該擴展協議實現permit功能,對於你來說需要關注自己所持有的代幣是否支持該功能,如果支持,那么對於該代幣的交易或操縱一定要格外小心,對於每條未知籤名也要嚴格檢查是否是對permit函數的籤名。

4 若被騙後還有代幣存在其他平臺,需制定完善的拯救計劃:

當你發現自己被詐騙,代幣被黑客轉移出去後,但自己還有代幣通過例如質押等方式存在其他平臺上,需要提取出來轉移到安全地址上,這時需要知道黑客可能時刻監控着你的地址代幣余額,因為他擁有你的籤名,只要你的被盜地址上出現了代幣,那么黑客可以直接轉移出去。這時需要制定完善的代幣拯救過程,在提取代幣和轉移代幣兩個過程需要一起執行,不能讓黑客交易插入其中, 可以使用MEV轉移,這需要一些區塊鏈知識以及代碼功底,也可以尋找專業的安全公司比如Beosin團隊利用交易搶跑腳本來實現。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

歐盟打響穩定幣战爭:21家發行商爭奪,Circle搶先登陸,Tether扶持“代理人”

作者:Weilin,PANews 歐盟《加密資產市場監管法案》(MiCA)對穩定幣發行方的監管規則...

PANews
6 7小時前

Gecky x WEEX聯名車隊馳騁歐洲頂級方程式賽道

當地時間 9 月 29 日,在巴塞羅那舉行的 Euroformula Open 第三場比賽中,Vl...

星球日報
7 7小時前

Fractal Bitcoin分形比特幣深度研究報告:原生擴展的比特幣高速公路,重新定義比特幣的可能性

比特幣網絡擴展問題一直是區塊鏈領域的核心話題。從最初的隔離見證(SegWit)到閃電網絡(Ligh...

星球日報
6 7小時前

薩爾瓦多的比特幣之城,建的怎么樣了?

在全球,薩爾瓦多或許只是一個名不見經傳的邊陲小國,給人留有的模糊印象是熱辣的火山地貌與多樣的生態系...

陀螺財經
6 7小時前

大餅新高、山寨暴跌,誰賺走了你的錢?

「如果不看大餅,只看山寨,我還以為 312 了。」這是一位社區成員發出的無奈感嘆。 這一感嘆並非空...

星球日報
6 7小時前

Stacks完成Nakamoto升級,BTC DeFi會是下一個關注點嗎?

當比特幣突破 9 萬美金,加密市場各個生態都开始了自己的狂歡。 AI 敘事持續火熱,Meme 持續...

星球日報
6 7小時前