jakiro
Autor: OneKey China Fuente: X,@OneKeycn
Si lo prueba usted mismo, ¿todavía piensa: siempre que no se inicie, firmo un sitio web de «inicio de sesión de conexión» y no perderé activos?
Si asiente, entonces su conciencia de seguridad permanece hace 21 años.
A juzgar por el informe de pesca de marzo de 24 años anunciado por Scam Sniffer, el 90% de los activos de pesca fueron tokens ERC-20.La forma principal de pescar es la firma de pesca de permiso / permiso2.
Justo a mediados de marzo de este año, hubo cuatro transacciones robadas con un activo promedio de aproximadamente $ 2 millones de valor, de las cuales 3 eran todas monedas de Pendle Pt robadas por la pesca de permiso.
Desde la perspectiva de la víctima, esta fue una película de terror, descubrió que los activos se transfirieron algún día, y la inspección fue robada por la clave privada.
Y todo esto se puede evitar.
En una palabra, comprenda el permiso / permiso2
Para ahorrar tiempo, OneKey no hablará de demasiado EIP-2612 aquí para introducir permiso o UNISWAP para lanzar el cifrado de Permit2 «Conocimiento de libros de texto».(Tal vez comiences un dolor de cabeza cuando miras esta oración)
Solo necesita darse cuenta de que los tiempos han cambiado, y la firma de «cejas gruesas y ojos grandes» no es fácil.
Puede comprender directamente que muchas autorización de tokens ERC-20S se administrarán a través de un «intermediario».
En el pasado, su cuota de token estaba autorizada para dar cada contrato DAPP.Y cada autorización requiere gas.
Ahora, a través de la tecnología Permiso / Permit2 (ya utilizó una cantidad considerable de DAPP), solo necesita autorizar el token para permitir / permitir 2 este «intermediario».
El DAPP que integra esta tecnología puede solicitar esta cuota autorizada: solo debe firmarse simplemente para autorizarlos (o incluso lotes), y no hay necesidad de gastar la autorización de gas una y otra vez.
Una espada de doble filo
La actualización de la firma de este tipo tiene varios beneficios, aunque trae conveniencia y ahorro de costos en las operaciones de aplicación.Pero también hay algunos peligros ocultos.
El peligro es que en la última ronda del mercado alcista, los usuarios cifrados han desarrollado el hábito operativo de «registrarse en DAPP para firmar para la conexión», y la firma normal predeterminada es segura y no está preparada.
Como todos saben, si la firma de la nueva versión no presta atención a la distinción (signo ciega), reclutará la pesca.Esto presenta nuevos desafíos para la conciencia de seguridad de los usuarios y varias infraestructuras, como las billeteras.
Para los piratas informáticos, es un mejor «asesinato».
El atacante solo necesita implementar un contrato de pesca para obtener una firma autorizada de permiso de usted, y luego puede enviar una transacción que robe sus activos (incluso puede esperar unos días para olvidar este asunto antes de enviarlo).Además, Permit2 también permite a los piratas informáticos obtener todos sus tokens autorizados en lotes.
Por ejemplo, este caso compartido por el fundador de SlowMist Yu Xian recientemente (https://x.com/evilcos/status/177713386665052287307), un usuario fue autorizado por la firma de tokens relacionados durante la compra (ninguno presta atención a la inspección),,,, Cuando propuso fichas a su propia billetera, inmediatamente robó los activos y sufrió fuertes pérdidas.
Desde la perspectiva del camuflaje, parece que la pesca se ha vuelto más simple.Pueden hacer un sitio web de «Inspección de Airdrop» para permitirle «conectar su billetera» para ver el airdrop.O bien, haga un sitio web de herramientas para que pueda iniciar sesión para satisfacer sus necesidades en algunos eventos/proyectos calientes.El patrón es interminable.Durante el uso, es probable que sea inducido a hacer una firma de tipo permiso / permiso2.
Esperando el futuro, con la abstracción de la cuenta de Ethereum Advance (EIP-3074 se incluye oficialmente en la próxima actualización de la bifurcación dura de Pectra), incluso puede autorizar directamente toda la autoridad de control de direcciones para dar un contrato para permitir que la dirección del contrato opere directamente el dirección de billetera del usuario.Esto también introducirá nuevos riesgos de pesca al mismo tiempo.
Por supuesto, esta es la última palabra.
¿Cómo prevenir este tipo de pesca?¿Hay alguna medicina de arrepentimiento?
Con respecto al método de prevención de la pesca de permiso / permiso2, ha habido innumerables tweets y artículos.Aquí también resumimos incansablemente nuevamente, vale la pena.
1. No firmes a ciegas
Al igual que el efecto legal en el mundo real, nadie dará sus firmas a voluntad.
El sitio web de pesca de camuflaje es una base para la seguridad cifrada.Y la «solicitud de inicio de sesión» de un sitio web de perro extraño debe tener cuidado, los hackers harán lo mejor que pueden
La intención del botón de camuflaje te seduce a firmar.
Los pequeños zorros comúnmente utilizados por todos pueden identificar la firma de permiso/ permiso2.Si es solo un mensaje de firma ordinario, es imposible aparecer un tipo especial de firma.
Además de la clase de permisos, existen varias firmas incomvisibles de aumento de la luz, operaciones de combinación de múltiples dapas e incluso las firmas incomparables de 0x, que pueden poner en peligro la seguridad de su activo.
En resumen, si no conoce el contenido y las consecuencias de la firma, debe tener cuidado, especialmente los activos de la billetera.
2, separación seca y húmeda
A menudo camino por el río, ¿cómo no puede haber zapatos mojados?
Si le gusta «ignorar la advertencia de riesgo» en un pequeño sitio web, será un «comportamiento de alto riesgo» si realmente necesita ocurrir, entonces haga un buen trabajo de activo.
Las billeteras pequeñas que a menudo se usan para la interacción no se almacenan en grandes cantidades de activos.Para una metáfora menos apropiada, cuando vaya de compras a voluntad, definitivamente no traerá su hogar en su cuerpo, y solo pondrá un poco de dinero en su billetera.
Y cada vez, los cambios en la clasificación de los activos, el cambio de billeteras nuevas y la cancelación de la autorización y las firmas para reducir su exposición al riesgo tanto como sea posible.
Para las billeteras que almacenan una gran cantidad de activos, no «conecte» el sitio web a voluntad.O simplemente guárdelo en una billetera de hardware y córtelo para interacción cuando sea necesario.Esta también es una forma de prevenir la pesca.
3. Verifique la autorización
Si no es de alta intensidad, cuando los primeros tokens de permiso / permiso autor2 autorizados, se recomienda elegir autorizar a pedido.Es decir, cuánta autorización se usa, no la cantidad máxima predeterminada (ilimitada).
Aquellos que han autorizado la cuota ilimitada de permiso / permiso2, también hay medicamentos para arrepentirse de comer.Puede consultar la exposición al riesgo de autorización de su token en http://revoke.cash: verá claramente cuánto se autoriza un token a Permit/Permit2.
La herramienta también admite la cancelación de la firma, y también puede encontrar la firma para cancelarla (antes de que los piratas informáticos que activan las firmas relevantes robaron sus activos).
Cabe señalar que la firma del tipo de permiso es una firma fuera de línea.
El uso regular de la autorización y firma de inspección de herramientas es un buen hábito.
Conclusión
Si desafortunadamente es reclutado, es mejor buscar la ayuda de equipos de seguridad profesionales como SlowMist a tiempo, transferir los activos de manera oportuna y minimizar la pérdida.Incluso usando algunos medios técnicos para rescatar activos.
Vale la pena señalar que esta pesca exclusiva ha tendido a ser profesional e industrializada, y la división del trabajo es clara.Si los activos han sido transferidos y lavados por el equipo profesional de piratas informáticos Drainer, ¡no se puede recuperar una gran probabilidad!Por lo tanto, es necesario prevenirlo antes de que ocurran, para no dejar que tengan ninguna oportunidad.
