jakiro
著者:OneKey Chinese Source:X、@OneKeycn
自分でテストした場合、あなたはまだ考えていますか:それが開始されていない限り、「接続ログイン」Webサイトに署名し、資産を失うことはありませんか?
あなたがうなずいた場合、あなたの安全意識は21年前にとどまります。
詐欺Snifferによって発表された24年の3月の漁業報告書から判断すると、漁業資産の90%はERC-20トークンでした。釣りの主な方法は、許可 /許可2釣りの署名です。
今年3月中旬には、約200万ドルの平均資産で盗まれた4つの取引があり、そのうち3つは許可釣りによって盗まれたペンドルPTプリンシパルコインでした。
犠牲者の観点から、これはホラー映画でした。ある日、資産が譲渡され、秘密鍵によって盗まれたことがわかりました。
そして、これはすべて避けることができます。
一言で言えば、許可 /許可を理解してください
時間を節約するために、OneKeyはここでEIP-2612についてあまり多くのことを話しません。許可またはUNISWAPを導入して、「教科書の知識」を開始するためにuniswap。(たぶん、この文を見ると頭痛を始めただけです)
時代が変わったことを認識する必要があり、「太い眉と大きな目」の署名は簡単ではありません。
多くのERC-20Sトークンの承認が「仲介者」を通じて管理されることを直接理解できます。
過去には、トークンクォータは各DAPP契約を提供する権限がありました。そして、すべての許可にはガスが必要です。
現在、Permit / Permit2テクノロジー(すでにかなりの量のDAPPを使用している)を通じて、この「仲介者」を許可 /許可するためにトークンを許可するだけです。
このテクノロジーを統合するDAPPは、この承認されたクォータを要求できます – 承認するために単純に署名する必要があります(またはバッチ)。ガソリン許可を何度も使用する必要はありません。
ダブルエッジの剣
このタイプの署名アップグレードにはさまざまな利点がありますが、アプリケーション操作全体に利便性とコスト削減をもたらします。しかし、いくつかの隠された危険もあります。
危険は、強気市場の最後のラウンドで、暗号化されたユーザーが「接続のために署名するためにDAPPを記録する」という運用習慣を開発し、デフォルトの通常の署名は安全で準備ができていないことです。
誰もが知っているように、新しいバージョンの署名が区別(ブラインドサイン)に注意を払わない場合、釣りを募集します。これにより、ユーザーセキュリティの認識とウォレットなどのさまざまなインフラストラクチャに対する新しい課題が提出されます。
ハッカーにとって、それはより良い「殺す」ことです。
攻撃者は、あなたから許可された許可署名を取得するために釣り契約を展開するだけで、その後、資産を盗んだ取引を提出できます(提出する前にこの問題を忘れるのを数日待つことさえできます)。さらに、Permit2を使用すると、ハッカーはすべての承認されたトークンをバッチで取得できます。
たとえば、このケースは、最近SlowMistの創設者Yu Xian(https://x.com/evilcos/status/177138665052287307)が共有しているため、ユーザーは誓約中に関連するトークンの署名によって許可されました(検査に注意を払っていない)、彼が自分の財布にトークンを提案したとき、彼はすぐに資産を盗み、大きな損失を被りました。
カモフラージュの観点から見ると、釣りがより簡単になっているようです。「Airdrop Inspection」Webサイトを作成して、「ウォレットを接続する」ためにエアドロップを表示できるようにすることができます。または、いくつかのホットなイベント/プロジェクトであなたのニーズを満たすためにログインするためのツールWebサイトを作成します。パターンは無限です。使用中に、許可 /許可2タイプの署名を作成するように誘導される可能性があります。
Ethereum Advanceアカウントの抽象化(EIP-3074が次のペクトラハードフォークアップグレードに正式に含まれる)を楽しみにして、将来の抽象化を備えています。ユーザーのウォレットアドレス。これにより、同時に新しい釣りのリスクが導入されます。
もちろん、これは最後の言葉です。
このタイプの釣りを防ぐ方法は?後悔の薬はありますか?
許可 /許可2釣りの予防方法に関して、無数のツイートや記事がありました。ここでは、疲れを知らずに再び要約しました – それは価値があります。
1.盲目的に署名しないでください
現実の世界の法的効果と同じように、誰も自由に署名を与えることはありません。
Camouflage Fishing Webサイトは、暗号化されたセキュリティの基盤です。そして、奇妙な犬のウェブサイトの「ログインリクエスト」は注意しなければなりません、ハッカーは最善を尽くします
カモフラージュボタンの意図は、あなたに署名を誘惑します。
誰もが一般的に使用する小さなキツネは、dappがこのタイプの署名と対話する場合、関連するトークンを承認する必要があるかどうかを確認するのが最善です。それが単なる普通の署名メッセージである場合、特別なタイプの署名をポップアップすることは不可能です。
許可クラスに加えて、増加すること、マルチダップの組み合わせ操作、さらには0xの比類のない署名のさまざまな署名があり、資産のセキュリティを危険にさらす可能性があります。
要するに、署名の内容や結果がわからない場合は、特にウォレット内の資産に注意する必要があります。
2、乾燥した湿った分離
私はしばしば川のそばを歩きます、どうして濡れた靴はありませんか。
小さなウェブサイトで「リスク警告を無視する」場合は、実際に発生する必要がある場合は「リスクの高い動作」になり、資産の良い仕事をします。
相互作用によく使用される小さな財布は、大量の資産に保存されません。それほど適切でない比phorのために、あなたが自由に買い物に行くとき、あなたは間違いなくあなたの家にあなたの家を連れてくることはありません、そしてあなたはあなたの財布にいくらかの小さなお金を置くだけです。
そして、毎回、資産の整理、新しいウォレットの変更、およびリスクエクスポージャーを可能な限り減らすための承認と署名のキャンセルに変更します。
大量の資産を保存するウォレットの場合、Webサイトを自由に「接続」しないでください。または、単にハードウェアウォレットに保存し、必要に応じてインタラクションのために電源を入れてください。これは釣りを防ぐ方法でもあります。
3.承認を確認してください
それが高強度でない場合、最初の承認された許可 /許可2トークンがトークンを承認する場合、オンデマンドを承認することを選択することをお勧めします。つまり、デフォルトの最大値(無制限)額ではなく、どれだけの承認が使用されているかです。
許可 /許可を許可した人は、無制限のクォータを承認しました。また、食事を後悔しています。http://revoke.cashでトークン承認リスクエクスポージャーを確認できます。トークンが許可/許可を許可されていることを明確に確認できます。
このツールは署名のキャンセルもサポートしており、それをキャンセルするための署名を見つけることもできます(関連する署名をアクティブにする前に、資産を盗む前)。
許可タイプの署名はオフラインの署名であることに注意してください。
ツール検査の許可と署名の定期的な使用は、良い習慣です。
結論
残念ながら採用されている場合は、Slowarmistなどの専門的なセキュリティチームの助けを求め、適時に資産を移転し、損失を最小限に抑えることをお勧めします。資産を救出するためにいくつかの技術的手段を使用しても。
これらの署名釣りは専門的で工業化された傾向があり、分業が明らかであることは注目に値します。プロのドレーナーハッカーチームによって資産が譲渡され、洗濯された場合、大きな確率を取り戻すことはできません!したがって、機会を与えないようにするために、発生する前にそれを防ぐ必要があります。
