2024年1月22日，據Beosin旗下EagleEye安全風險監控、預警與阻斷平臺監測顯示，一位加密大戶遭受到網絡釣魚攻擊，造成了420萬美元的損失，而關鍵點漏洞，是我們經常提及的Permit籤名。

在早些時間Beosin與區塊鏈安全研究員菠菜共同研究並發布了《籤名就被盜？用過Uniswap的請警惕！揭祕Permit2籤名釣魚》安全研究文章， 文中詳細描述了攻擊者如何利用permit2函數對用戶發起釣魚攻擊， 而本次事件所利用的攻擊原理與文章中描述的permit2攻擊方式基本一致，只是permit是針對於支持該函數的erc20合約，而permit2針對的可以是所有erc20合約。

本篇文章我們一起來看看攻擊者一般是利用什么來誘騙用戶對詐騙信息進行籤名的，以及一些安全防範技巧。

什么是Permit籤名釣魚？

Permit籤名是一種特定的數字籤名機制，用於在某些情況下簡化授權操作。它是基於區塊鏈技術和密碼學原理的一種安全驗證方式。

在傳統的數字籤名中，籤名者需要擁有私鑰來對特定的數據進行籤名，並將籤名後的數據與公鑰一起傳輸給驗證方。驗證方使用相應的公鑰來驗證籤名的有效性。

然而，Permit籤名採用了一種不同的方法。它允許持有者通過籤署一份特殊的授權消息，將對特定操作的訪問權限授予他人，而無需直接將私鑰傳輸給受許可方。

Permit籤名釣魚則是 利用用戶對授權操作的不加仔細驗證或理解，以獲取未經授權的權限或敏感信息。這種攻擊利用了用戶對授權流程或籤名機制的信任，通過欺騙用戶產生僞造的授權操作或籤名請求。

黑客通常採取哪些Permit籤名釣魚攻擊？

僞造授權請求：

攻擊者可能創建一個看似合法的授權請求，以騙取用戶的信任。這可能涉及僞造的應用或網站，要求用戶提供他們的授權或籤名來執行某個操作。

誤導用戶操作：

攻擊者可能通過欺騙用戶進行誤操作來實施攻擊。例如，他們可能創建一個看似無害的按鈕，但實際上觸發了未經用戶認可的授權操作。

僞造授權頁面：

攻擊者可能通過僞造與正常授權頁面相似的頁面來引誘用戶進行授權操作。這些頁面通常設計得與正常的授權頁面幾乎一模一樣，以欺騙用戶並使其相信他們正在與合法的應用或服務進行交互。

社交工程：

攻擊者可能利用社交工程技巧，通過發送釣魚郵件、短信或社交媒體消息等方式，引導用戶點擊惡意鏈接或進入僞造的授權頁面。

如何安全防範？

考慮到Permit籤名的一些釣魚攻擊，此前研究員菠菜給了我們一些有效的防範手段有：

1 理解並識別籤名內容：

Permit的籤名格式通常包含Owner、Spender、value、nonce和deadline這幾個關鍵格式，如果你想享受Permit帶來的便利和低成本的話一定要學會識別這種籤名格式。(下載安全插件是一個很好的選擇）

我們向各位讀者朋友推薦下面這款Beosin Alert反釣魚插件，可以識別Web3領域的大部分釣魚網站，守護大家的錢包和資產安全。

反釣魚插件下載：

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=en

2 放資產的錢包和交互的錢包分離使用：

如果你有大量資產的話，建議資產都放在一個冷錢包中，鏈上交互的錢包放少量資金，可以大幅減少遇到釣魚騙局時的損失。

3 識別代幣性質，是否支持permit功能：

後續可能越來越多的ERC20代幣使用該擴展協議實現permit功能，對於你來說需要關注自己所持有的代幣是否支持該功能，如果支持，那么對於該代幣的交易或操縱一定要格外小心，對於每條未知籤名也要嚴格檢查是否是對permit函數的籤名。

4 若被騙後還有代幣存在其他平臺，需制定完善的拯救計劃：

當你發現自己被詐騙，代幣被黑客轉移出去後，但自己還有代幣通過例如質押等方式存在其他平臺上，需要提取出來轉移到安全地址上，這時需要知道黑客可能時刻監控着你的地址代幣余額，因為他擁有你的籤名，只要你的被盜地址上出現了代幣，那么黑客可以直接轉移出去。這時需要制定完善的代幣拯救過程，在提取代幣和轉移代幣兩個過程需要一起執行，不能讓黑客交易插入其中， 可以使用MEV轉移，這需要一些區塊鏈知識以及代碼功底，也可以尋找專業的安全公司比如Beosin團隊利用交易搶跑腳本來實現。