2024年1月22日����,據(jù)Beosin旗下EagleEye安全風(fēng)險(xiǎn)監(jiān)控��、預(yù)警與阻斷平臺(tái)監(jiān)測(cè)顯示�,一位加密大戶遭受到網(wǎng)絡(luò)釣魚(yú)攻擊,造成了420萬(wàn)美元的損失,而關(guān)鍵點(diǎn)漏洞�,是我們經(jīng)常提及的Permit簽名。
在早些時(shí)間Beosin與區(qū)塊鏈安全研究員菠菜共同研究并發(fā)布了《簽名就被盜��?用過(guò)Uniswap的請(qǐng)警惕�����!揭秘Permit2簽名釣魚(yú)》安全研究文章�����,文中詳細(xì)描述了攻擊者如何利用permit2函數(shù)對(duì)用戶發(fā)起釣魚(yú)攻擊��,而本次事件所利用的攻擊原理與文章中描述的permit2攻擊方式基本一致����,只是permit是針對(duì)于支持該函數(shù)的erc20合約�,而permit2針對(duì)的可以是所有erc20合約。
本篇文章我們一起來(lái)看看攻擊者一般是利用什么來(lái)誘騙用戶對(duì)詐騙信息進(jìn)行簽名的���,以及一些安全防范技巧�。
什么是Permit簽名釣魚(yú)�?
Permit簽名是一種特定的數(shù)字簽名機(jī)制,用于在某些情況下簡(jiǎn)化授權(quán)操作�。它是基于區(qū)塊鏈技術(shù)和密碼學(xué)原理的一種安全驗(yàn)證方式���。
在傳統(tǒng)的數(shù)字簽名中,簽名者需要擁有私鑰來(lái)對(duì)特定的數(shù)據(jù)進(jìn)行簽名����,并將簽名后的數(shù)據(jù)與公鑰一起傳輸給驗(yàn)證方。驗(yàn)證方使用相應(yīng)的公鑰來(lái)驗(yàn)證簽名的有效性�����。
然而��,Permit簽名采用了一種不同的方法�����。它允許持有者通過(guò)簽署一份特殊的授權(quán)消息����,將對(duì)特定操作的訪問(wèn)權(quán)限授予他人,而無(wú)需直接將私鑰傳輸給受許可方����。
Permit簽名釣魚(yú)則是利用用戶對(duì)授權(quán)操作的不加仔細(xì)驗(yàn)證或理解,以獲取未經(jīng)授權(quán)的權(quán)限或敏感信息。這種攻擊利用了用戶對(duì)授權(quán)流程或簽名機(jī)制的信任�,通過(guò)欺騙用戶產(chǎn)生偽造的授權(quán)操作或簽名請(qǐng)求。
黑客通常采取哪些Permit簽名釣魚(yú)攻擊�����?
偽造授權(quán)請(qǐng)求:
攻擊者可能創(chuàng)建一個(gè)看似合法的授權(quán)請(qǐng)求��,以騙取用戶的信任����。這可能涉及偽造的應(yīng)用或網(wǎng)站,要求用戶提供他們的授權(quán)或簽名來(lái)執(zhí)行某個(gè)操作�����。
誤導(dǎo)用戶操作:
攻擊者可能通過(guò)欺騙用戶進(jìn)行誤操作來(lái)實(shí)施攻擊�����。例如���,他們可能創(chuàng)建一個(gè)看似無(wú)害的按鈕,但實(shí)際上觸發(fā)了未經(jīng)用戶認(rèn)可的授權(quán)操作�。
偽造授權(quán)頁(yè)面:
攻擊者可能通過(guò)偽造與正常授權(quán)頁(yè)面相似的頁(yè)面來(lái)引誘用戶進(jìn)行授權(quán)操作。這些頁(yè)面通常設(shè)計(jì)得與正常的授權(quán)頁(yè)面幾乎一模一樣,以欺騙用戶并使其相信他們正在與合法的應(yīng)用或服務(wù)進(jìn)行交互�。
社交工程:
攻擊者可能利用社交工程技巧,通過(guò)發(fā)送釣魚(yú)郵件�、短信或社交媒體消息等方式,引導(dǎo)用戶點(diǎn)擊惡意鏈接或進(jìn)入偽造的授權(quán)頁(yè)面�����。
如何安全防范��?
考慮到Permit簽名的一些釣魚(yú)攻擊��,此前研究員菠菜給了我們一些有效的防范手段有:
1 理解并識(shí)別簽名內(nèi)容:
Permit的簽名格式通常包含Owner���、Spender��、value�����、nonce和deadline這幾個(gè)關(guān)鍵格式����,如果你想享受Permit帶來(lái)的便利和低成本的話一定要學(xué)會(huì)識(shí)別這種簽名格式�。(下載安全插件是一個(gè)很好的選擇)
我們向各位讀者朋友推薦下面這款Beosin Alert反釣魚(yú)插件�,可以識(shí)別Web3領(lǐng)域的大部分釣魚(yú)網(wǎng)站�����,守護(hù)大家的錢(qián)包和資產(chǎn)安全�。
反釣魚(yú)插件下載:
https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=en
2 放資產(chǎn)的錢(qián)包和交互的錢(qián)包分離使用:
如果你有大量資產(chǎn)的話,建議資產(chǎn)都放在一個(gè)冷錢(qián)包中�,鏈上交互的錢(qián)包放少量資金,可以大幅減少遇到釣魚(yú)騙局時(shí)的損失����。
3 識(shí)別代幣性質(zhì),是否支持permit功能:
后續(xù)可能越來(lái)越多的ERC20代幣使用該擴(kuò)展協(xié)議實(shí)現(xiàn)permit功能�,對(duì)于你來(lái)說(shuō)需要關(guān)注自己所持有的代幣是否支持該功能,如果支持����,那么對(duì)于該代幣的交易或操縱一定要格外小心,對(duì)于每條未知簽名也要嚴(yán)格檢查是否是對(duì)permit函數(shù)的簽名����。
4 若被騙后還有代幣存在其他平臺(tái)��,需制定完善的拯救計(jì)劃:
當(dāng)你發(fā)現(xiàn)自己被詐騙���,代幣被黑客轉(zhuǎn)移出去后�����,但自己還有代幣通過(guò)例如質(zhì)押等方式存在其他平臺(tái)上��,需要提取出來(lái)轉(zhuǎn)移到安全地址上�,這時(shí)需要知道黑客可能時(shí)刻監(jiān)控著你的地址代幣余額,因?yàn)樗麚碛心愕暮灻?,只要你的被盜地址上出現(xiàn)了代幣,那么黑客可以直接轉(zhuǎn)移出去�。這時(shí)需要制定完善的代幣拯救過(guò)程,在提取代幣和轉(zhuǎn)移代幣兩個(gè)過(guò)程需要一起執(zhí)行����,不能讓黑客交易插入其中,可以使用MEV轉(zhuǎn)移�,這需要一些區(qū)塊鏈知識(shí)以及代碼功底,也可以尋找專業(yè)的安全公司比如Beosin團(tuán)隊(duì)利用交易搶跑腳本來(lái)實(shí)現(xiàn)���。
