作者：Biteye，來源：作者推特@BiteyeCN

9月28日，一地址由于網(wǎng)絡(luò)釣魚攻擊損失約3233萬美元，該地址據(jù)傳可能與幣圈大佬神魚相關(guān)。無獨(dú)有偶，10月11日，一筆價(jià)值3500萬美元的fwDETH資產(chǎn)再次被釣魚團(tuán)伙竊取。短短半月內(nèi)，已有總價(jià)值超過4.7億人民幣的虛擬資產(chǎn)因Permit簽名釣魚攻擊而難以追回。

Permit簽名釣魚為何如此厲害？就連幣圈大佬也接連中招？

Permit簽名是怎么被用來實(shí)施釣魚攻擊的？

根據(jù)上述的介紹，當(dāng)用戶誤入釣魚網(wǎng)站，點(diǎn)擊鏈接被黑客獲取了簽名，隨后黑客用簽名信息上鏈提交permit，實(shí)現(xiàn)對(duì)用戶資產(chǎn)的控制并進(jìn)行轉(zhuǎn)移。

攻擊步驟：進(jìn)入釣魚網(wǎng)站-在釣魚網(wǎng)站上鏈接錢包進(jìn)行了簽名-黑客獲取簽名通過permit竊取資產(chǎn)

例如，下面是一個(gè)釣魚網(wǎng)站的惡意簽名：圖片最上方顯示這是一個(gè)zksync的釣魚網(wǎng)站，下方的permit簽名顯示該錢包（owner）正在授權(quán)給一個(gè)地址（spender），往下的value是授權(quán)的Tokens數(shù)量，deadline是時(shí)間戳，在給定時(shí)間前均有效。

如何避免Permit簽名釣魚攻擊

Permit簽名釣魚攻擊并非完全不可預(yù)防，大多數(shù)用戶遭受損失都曾接連犯下多個(gè)安全錯(cuò)誤。

首先，用戶應(yīng)將囤幣的錢包和DeFi交互的錢包區(qū)分開，在鏈接錢包、簽名或授權(quán)前認(rèn)真檢查網(wǎng)址，確保自己進(jìn)入了正確的網(wǎng)站；

一些網(wǎng)站也會(huì)出現(xiàn)合約被黑客惡意替換的情況，我們?cè)邳c(diǎn)擊簽名或授權(quán)前，應(yīng)該認(rèn)真閱讀錢包跳出的Singnaturerequest信息，確保授權(quán)目前地址正確，且資產(chǎn)和金額在可控范圍內(nèi)；

最后，我們可以通過安全插件如@wallet_guard@realScamSniffer來幫助識(shí)別異常風(fēng)險(xiǎn)，不定期使用授權(quán)工具如RevokeCash（https://revoke.cash）查看是否有異常授權(quán)。同時(shí)，選擇使用如@Rabby_io等插件錢包，也可以獲得更具可讀性的簽名信息。