jakiro
المؤلف: OneKey صيني المصدر: X ،@OneKeycn
إذا قمت باختباره بنفسك ، هل ما زلت تفكر: طالما لم يتم البدء ، فأنا أوقع موقع “تسجيل الدخول إلى” ، ولن يفقد الأصول؟
إذا كنت إيماءة ، فإن وعي السلامة الخاص بك يبقى منذ 21 عامًا.
انطلاقًا من تقرير صيد مارس الذي يرجع إلى 24 عامًا أعلنه Scam Sniffer ، فإن 90 ٪ من أصول الصيد كانت ERC-20 Token.الطريقة الرئيسية لصيد الأسماك هي توقيع الصيد / تصريح 2.
فقط في منتصف مارس من هذا العام ، كانت هناك أربع معاملات مسروقة بمتوسط أصول تبلغ قيمتها حوالي 2 مليون دولار ، منها 3 كانت جميع العملات المعدنية الرئيسية التي سرقتها صيد التصاريح.
من وجهة نظر الضحية ، كان هذا فيلمًا رعبًا -وجد أن الأصول قد تم نقلها في يوم من الأيام ، وقد سُرقت المفتاح في النهاية.
وكل هذا يمكن تجنبه.
في كلمة واحدة ، فهم تصريح / تصريح 2
لتوفير الوقت ، لن يتحدث Onekey عن الكثير من EIP-2612 هنا لتقديم تصريح أو UNISWAP لإطلاق تشفير تصريح 2 “معرفة الكتاب المدرسي”.(ربما تبدأ صداعًا عندما تنظر إلى هذه الجملة)
تحتاج فقط إلى إدراك أن الأوقات قد تغيرت ، وأن توقيع “الحواجب السميكة والعينين الكبيرة” ليس بالأمر السهل.
يمكنك أن تفهم بشكل مباشر أنه سيتم إدارة العديد من ترخيص الرموز الرموز ERC-20S من خلال “وسيط”.
في الماضي ، تم تصريح حصتك الرمزية بإعطاء كل عقد DAPP.وكل إذن يتطلب الغاز.
الآن ، من خلال تقنية التصريح / التصريح (تستخدم بالفعل كمية كبيرة من DAPP) ، تحتاج فقط إلى تفويض الرمز المميز للسماح 2 “الوسيط”.
يمكن لـ DAPP التي تدمج هذه التكنولوجيا أن تطلب هذه الحصة المصرح بها -يجب أن يتم التوقيع عليها ببساطة لتفويضها (أو حتى الدفعة) ، وليس هناك حاجة لإنفاق ترخيص الغاز مرارًا وتكرارًا.
سيف مزدوج الحواف
تتمتع ترقية التوقيع من هذا النوع بمزايا مختلفة ، على الرغم من أنها تجلب الراحة والتوفير في التكاليف عبر عمليات التطبيق.ولكن هناك أيضا بعض الأخطار الخفية.
الخطر هو أنه في الجولة الأخيرة من السوق الصاعدة ، قام المستخدمون المشفرون بتطوير عادة تشغيل “تسجيل الدخول في DAPP ليتم توقيعه للاتصال” ، والتوقيع العادي الافتراضي آمن وغير مستعد.
كما يعلم الجميع ، إذا كان توقيع الإصدار الجديد لا ينتبه إلى التمييز (علامة أعمى) ، فسيقوم بتجنيد الصيد.هذا يضع تحديات جديدة للتوعية بأمان المستخدم والبنية التحتية المختلفة مثل المحافظ.
بالنسبة للمتسللين ، إنه أفضل “قتل”.
يحتاج المهاجم فقط إلى نشر عقد لصيد الأسماك للحصول على توقيع تصريح منك ، وبعد ذلك يمكنك تقديم معاملة سرقت أصولك (يمكنك حتى الانتظار لبضعة أيام لتنسى هذه المسألة قبل تقديمها).بالإضافة إلى ذلك ، يسمح Common2 أيضًا للمتسللين بالحصول على جميع الرموز المصرح بها على دفعات.
على سبيل المثال ، هذه الحالة التي شاركها مؤسس Slowmist Yu Xian مؤخرًا (https://x.com/evilcos/status/1771338665052287307) ، تم تخويل مستخدم من خلال توقيع الرموز ذات الصلة أثناء التعهد (لا أحد يهتم بالتفتيش) ، ، ، ، عندما اقترح الرموز على محفظته ، سرق الأصول على الفور وعانى من خسائر فادحة.
من منظور التمويه ، يبدو أن الصيد أصبح أكثر بساطة.يمكنهم القيام بموقع “فحص Airdrop” للسماح لك “بتوصيل محفظتك” لعرض Airdrop.أو ، قم بعمل موقع ويب للأداة لتسجيل الدخول لتلبية احتياجاتك في بعض الأحداث/المشاريع الساخنة.النمط لا نهاية له.أثناء الاستخدام ، من المحتمل أن يتم حثك على تقديم توقيع تصريح / تصريح 2.
نتطلع إلى المستقبل ، مع تجريد حساب Ethereum Advance (يتم تضمين EIP-3074 رسميًا في ترقية Pectra Hard Fork التالية) ، يمكنك حتى التصريح مباشرة بسلطة مراقبة العناوين بالكامل لإعطاء عقد للسماح لعنوان العقد بتشغيل مباشرة عنوان محفظة المستخدم.سيؤدي ذلك أيضًا إلى إدخال مخاطر جديدة لصيد الأسماك في نفس الوقت.
بالطبع ، هذه هي الكلمة الأخيرة.
كيف تمنع هذا النوع من الصيد؟هل هناك أي طب ندم؟
فيما يتعلق بالطريقة الوقاية من تصريح الصيد / تصريح 2 ، كان هناك عدد لا يحصى من التغريدات والمقالات.نحن هنا أيضا ملخص بلا كلل مرة أخرى -إنه يستحق ذلك.
1. لا توقيع عمياء
تمامًا مثل التأثير القانوني في العالم الحقيقي ، لن يعطي أحد توقيعاتهم حسب الرغبة.
موقع الصيد المموه هو أساس للأمن المشفر.ويجب أن يكون “طلب تسجيل الدخول” لموقع الكلب الغريب حذرًا ، وسوف يبذل المتسللين قصارى جهدهم
نية زر التمويه يغويك على التوقيع.
يمكن للثعالب الصغيرة التي يستخدمها الجميع تحديد توقيع التصريح/ التصريح 2.إذا كانت مجرد رسالة توقيع عادية ، فمن المستحيل ظهور نوع خاص من التوقيع.
بالإضافة إلى فئة التصاريح ، هناك العديد من التوقيعات غير المرئية لعمليات GlureasealLowance ، وعمليات مزيج Multi -DAPP ، وحتى التوقيعات التي لا مثيل لها من 0x ، والتي قد تعرض أمان الأصول للخطر.
باختصار ، إذا لم تكن تعرف محتوى وعواقب التوقيع ، فيجب أن تكون حذراً ، وخاصة الأصول الموجودة في المحفظة.
2 ، الفصل الجاف والرطب
غالبًا ما أمشي بجوار النهر ، كيف لا يمكن أن يكون هناك حذاء مبلل.
إذا كنت ترغب في “تجاهل التحذير من المخاطر” على موقع ويب صغير ، فستكون “سلوكًا مرتفعًا” إذا كنت بحاجة حقًا إلى الحدوث ، ثم تقوم بعمل جيد في الأصول.
لا يتم تخزين المحافظ الصغيرة التي تستخدم غالبًا للتفاعل بكميات كبيرة من الأصول.للحصول على استعارة أقل ملاءمة ، عندما تذهب للتسوق حسب الرغبة ، لن تحضر منزلك على جسمك ، وسوف تضع فقط بعض الأموال الصغيرة في محفظتك.
وفي كل مرة ، يتغير تغيير الأصول ، وتغيير محافظ جديدة ، وإلغاء التفويض والتوقيعات لتقليل تعرض المخاطر الخاص بك قدر الإمكان.
بالنسبة للمحافظ التي تخزن كمية كبيرة من الأصول ، لا “توصيل” موقع الويب حسب الرغبة.أو ببساطة تخزينها في محفظة الأجهزة ، وقم بإخراجها للتفاعل عند الحاجة.هذه أيضًا وسيلة لمنع الصيد.
3. تحقق من التفويض
إذا لم تكن عالية الكثافة ، عندما يكون أول رموز تصريح / تصريح 2 ، يوصى باختيار التصريح للطلب.وهذا هو ، مقدار ما يتم ترخيصه ، وليس كمية الحد الأقصى (غير المحدود) الافتراضي.
أولئك الذين أذنوا بتصريح / تصريح 2 حصة غير محدودة ، هناك أيضًا أدوية ندم لتناولها.يمكنك التحقق من التعرض لمخاطر ترخيص الرمز المميز في http://revoke.cash – سترى بوضوح مقدار الرمز المسموح به للسماح/التصريح 2.
تدعم الأداة أيضًا إلغاء التوقيع ، ويمكنك أيضًا العثور على التوقيع لإلغاءه (قبل أن يقوم المتسللون بتفعيل التوقيعات ذات الصلة إلى سرق أصولك).
تجدر الإشارة إلى أن توقيع نوع التصريح هو توقيع غير متصل.
الاستخدام المنتظم لترخيص تفتيش الأدوات والتوقيع هو عادة جيدة.
خاتمة
إذا تم تجنيدك للأسف ، فمن الأفضل أن تسعى للحصول على مساعدة من فرق الأمن المهنية مثل Slowmist في الوقت المناسب ، ونقل الأصول في الوقت المناسب ، وتقليل الخسارة.حتى باستخدام بعض الوسائل التقنية لإنقاذ الأصول.
تجدر الإشارة إلى أن صيد الأسماك المميز هذا يميل إلى أن يكون مهنيًا وصناعيًا ، وأن تقسيم العمل واضح.إذا تم نقل الأصول وغسلها من قبل فريق المتسلل المهني ، فلا يمكن استعادة احتمال كبير!لذلك ، من الضروري منعها قبل حدوثها ، حتى لا تدعهم تتاح لهم أي فرصة.
