تصريح: كيف يمكن لتوقيع متواضع أن يخدعك بأصولك؟

المؤلف: مصدر OneKey الصيني: X, @OneKeyCN

اختبر نفسك، هل ما زلت تعتقد: طالما أنني لم أبدأ معاملة وقمت بالتوقيع على "الاتصال وتسجيل الدخول" إلى موقع الويب، فلن أفقد أصولي؟

إذا أومأت برأسك، فربما كان وعيك الأمني ​​عالقًا منذ 21 عامًا.

استنادًا إلى تقرير التصيد الاحتيالي بتاريخ 24 مارس* الذي نشرته Scam Sniffer، فإن 90% من الأصول المخادعة كانت عبارة عن رموز ERC-20 المميزة. طريقة التصيد الرئيسية هي توقيع التصيد Permit/Permit2.

في منتصف شهر مارس من هذا العام وحده، كانت هناك 4 معاملات مسروقة بمتوسط ​​قيمة أصول تبلغ حوالي 2 مليون دولار، 3 منها تمت سرقتها بواسطة توقيعات التصيد الاحتيالي. رمز Pendle PT الرئيسي.

من وجهة نظر الضحية، هذا مجرد فيلم رعب - في أحد الأيام اكتشفت فجأة أن الأصول قد تم نقلها، وبعد التحقق من الأمر، اعتقدت أنه كان كذلك المفتاح الخاص الذي تمت سرقته، واكتشف أخيرًا أنه كان توقيعًا غير مقصود دون اتصال بالإنترنت، ولم يكن بإمكاني فعل أي شيء حيال ذلك.

وكان من الممكن تجنب كل هذا.

اشرح التصريح / Permit2 في جملة واحدة

لتوفير الوقت، لن يشرحه OneKey يوجد هنا عدد كبير جدًا من "معرفة الكتب المدرسية" الخاصة بالتشفير الخاصة بـ EIP-2612 التي تقدم التصريح أو إطلاق Uniswap Permit2. (ربما ستبدأ بالصداع بمجرد قراءة هذه الجملة)

عليك فقط أن تدرك: لقد تغير الزمن، وتوقيع "الحواجب الكثيفة والكبيرة" العيون" ليست بسيطة أيضًا. .

يمكنك فهم الأمر تقريبًا كما يلي - ستتم الآن إدارة العديد من تراخيص الرموز المميزة لـ ERC-20 من خلال "وسيط".

في الماضي، تمت الموافقة على حصة الرموز المميزة الخاصة بك (الموافقة) على كل عقد dApp واحدًا تلو الآخر. كل ترخيص يكلف الغاز.

الآن، من خلال تقنية Permit / Permit2 (التي تم اعتمادها بالفعل من قبل عدد كبير من التطبيقات اللامركزية)، تحتاج فقط إلى تفويض الرموز المميزة للتصريح / Permit2 "الوسيط" .

يمكن للتطبيقات اللامركزية التي تدمج هذه التقنية أن تطلب استخدام حصة التفويض هذه - ما عليك سوى التوقيع على اسمك لتخويلها (حتى على دفعات)، لا داعي لذلك صرف إذن الغاز مرارا وتكرارا.

سيف ذو حدين

هذا النوع من ترقية التوقيع، على الرغم من أنه مخصص للتطبيقات المشتركة العمليات فهو يوفر الراحة والتكلفة، وله فوائد مختلفة. لكنه يترك أيضًا بعض المخاطر الخفية.

يكمن الخطر في أنه خلال السوق الصاعدة الأخيرة، طور مستخدمو العملات المشفرة عادة التشغيل المتمثلة في "يتطلب تسجيل الدخول إلى Dapp توقيعًا للاتصال"، وبشكل افتراضي التوقيع العادي آمن ولا يمكن الدفاع عنه.

كما يعلم الجميع، إذا لم تهتم بتمييز التوقيعات الخاصة بالإصدار الجديد (التوقيع الأعمى)، فسوف تقع في التصيد الاحتيالي. وهذا يشكل تحديات جديدة للوعي الأمني ​​للمستخدم والبنية التحتية المختلفة مثل المحافظ.

بالنسبة للمتسللين، فهي طريقة أفضل "لقتل الأشخاص بسكين مستعارة".

يحتاج المهاجم فقط إلى نشر عقد تصيد احتيالي، والحصول على توقيع تصريح تصريح منك، ثم إرسال معاملة لسرقة أصولك (يمكنك حتى الانتظار إرسال بعد أن تنساه لبضعة أيام). علاوة على ذلك، يسمح Permit2 أيضًا للمتسللين بالحصول على جميع الرموز المميزة المصرح بها على دفعات.

على سبيل المثال، في هذه الحالة التي تمت مشاركتها مؤخرًا بواسطة مؤسس SlowMist Yu Xian (https://x.com/evilcos/status/1771338665052287307)، تم تسجيل دخول المستخدم خلال فترة التعهد، قام المتسلل بالتصيد الاحتيالي للرموز المميزة ذات الصلة دون معرفة أي شيء عنها (ولم ينتبه للتحقق). وعندما اقترح المتسلل الرموز المميزة على محفظته، سرق الأصول على الفور وتكبد خسائر فادحة.

انطلاقًا من التنكر، يبدو أن الصيد أصبح أسهل. يمكنهم إنشاء موقع ويب "لفحص الإسقاط الجوي" الذي يسمح لك "بربط محفظتك" للتحقق من الإسقاط الجوي. أو أنشئ موقعًا إلكترونيًا للأدوات يمكنك من خلاله تسجيل الدخول لتلبية احتياجاتك في بعض الأحداث/المشاريع الساخنة. الحيل لا حصر لها. أثناء الاستخدام، قد يتم حثك على إنشاء توقيع من النوع Permit/Permit2.

بالتطلع إلى المستقبل، حيث تعمل Ethereum على تطوير تجريد الحساب (تم تضمين EIP-3074 رسميًا في ترقية Pectra للهارد فورك التالية)، يمكنك حتى تفويض العنوان بالكامل يمنح سلطة التحكم للعقد، مما يسمح لعنوان العقد بتشغيل عنوان محفظة المستخدم مباشرة. سيؤدي هذا أيضًا إلى ظهور مخاطر تصيد احتيالي جديدة مع كونه ملائمًا.

بالطبع هذه قصة ليوم آخر.

كيف يمكن منع هذا النوع من التصيد؟ هل هناك دواء للندم؟

كان هناك عدد لا يحصى من التغريدات والمقالات المكتوبة حول طرق الوقاية من التصيد الاحتيالي Permit / Permit2. نحن هنا أيضًا نتحمل عناء التلخيص مرة أخرى - فالأمر يستحق ذلك.

1. لا توقع بشكل أعمى

فقط قم بالتوقيع على عقد ملزم قانونًا في الواقع العالم وبالمثل، لا أحد يعطي توقيعه بشكل عشوائي.

يعد تحديد مواقع التصيد الاحتيالي المقنعة تمرينًا أساسيًا في أمان التشفير. يجب عليك أيضًا توخي الحذر بشأن "طلبات تسجيل الدخول" الواردة من مواقع الويب غير المألوفة. وسيبذل المتسللون قصارى جهدهم

لإخفاء غرض الزر وخداعك للتوقيع.

يمكن للثعلب الصغير الشائع الاستخدام التعرف على توقيع Permit/Permit2 إذا ظهر هذا النوع من التوقيع في dAPP الذي تتفاعل معه، فمن الأفضل تأكيده مرة أخرى ما إذا كان سيتم تفويض الرموز ذات الصلة. إذا كانت مجرد رسالة توقيع عادية، فمن المستحيل ظهور نوع خاص من التوقيع.

بالإضافة إلى فئة التصريح، هناك أيضًا زيادة في السماح، وعمليات تجميع التطبيقات اللامركزية المتعددة، وحتى التوقيعات غير القابلة للقراءة تمامًا والتي تبدأ بـ 0x، والتي قد تكون ضارة حافظ على أصولك آمنة.

باختصار، إذا لم تكن واضحًا بشأن محتوى التوقيع المنبثق وعواقبه، فيجب عليك توخي الحذر، خاصة إذا كان هناك الكثير من الأصول في المحفظة.

2. الفصل بين الظروف الجافة والرطبة

إذا كنت تمشي بجوار النهر كثيرًا، كيف يكون لديك حذاء لا يبتل؟

إذا كنت ترغب في "تجاهل تحذيرات المخاطر" ولعب الحيل على مواقع الويب الصغيرة، وإذا كان عليك حقًا الانخراط بشكل متكرر في "سلوكيات عالية الخطورة"، فقم بالفصل الأصول الخاصة بك.

محفظة صغيرة تستخدم غالبًا للتفاعل ولا تخزن كمية كبيرة من الأصول. لإعطاء استعارة غير مناسبة، عندما تخرج للتسوق بشكل عرضي، فإنك بالتأكيد لن تأخذ متعلقاتك معك، بل ستضع فقط بعض المال الصغير في محفظتك.

ومن حين لآخر، قم بإعادة تنظيم الأصول وتغيير المحافظ وإلغاء التفويض والتوقيعات لتقليل تعرضك للمخاطر قدر الإمكان.

بالنسبة للمحافظ التي تخزن كمية كبيرة من الأصول، لا "تتصل" بمواقع الويب حسب الرغبة. أو ببساطة ضعه في محفظة الأجهزة للتخزين البارد، ثم قم بنقله للخارج للتفاعل عند الحاجة. وهذه أيضًا طريقة مبتذلة لمنع الصيد.

3. تحقق من التفويض

إذا لم يتم استخدامه بشكل مكثف، قم بتفويض التصريح لأول مرة حصة الوقت / Permit2 المميزة، يوصى باختيار التفويض عند الطلب. أي أنك مخول بالقدر الذي تستخدمه، وليس الحد الأقصى الافتراضي (غير المحدود) للمبلغ.

إذا كنت قد سمحت بالتصريح / التصريح 2 بحصة غير محدودة، فيمكنك أيضًا تناول دواء الندم. يمكنك التحقق من تعرض ترخيص الرمز المميز الخاص بك على http://Revoc.Cash - سترى بوضوح مقدار التصريح / Permit2 المصرح به لرمز مميز معين.

تدعم الأداة أيضًا إلغاء التوقيعات، حيث يمكنك أيضًا العثور على توقيعات لإلغائها (قبل أن يقوم المتسلل بتنشيط التوقيع ذي الصلة لسرقة الأصول الخاصة بك).

تجدر الإشارة إلى أن توقيع نوع التصريح هو توقيع غير متصل بالإنترنت قبل استخدامه، لا يوجد أي أثر على السلسلة (عادةً ما يقوم المتسللون بتخزين هذه التوقيعات المسروقة ).

إنها عادة جيدة لاستخدام الأدوات بانتظام للتحقق من التفويض والتوقيعات.

الاستنتاج

إذا تم القبض عليك لسوء الحظ، فمن الأفضل البحث عن فريق أمني محترف في الوقت، مثل بمساعدة SlowMist، يمكنك نقل الأصول في الوقت المناسب وإجراء التعديلات لتقليل الخسائر. حتى استخدام بعض الوسائل التقنية لإنقاذ الأصول.

من الجدير بالذكر أن عمليات الصيد المميزة هذه كانت تميل إلى أن تكون احترافية وصناعية، مع تقسيم واضح للعمل والغنائم. إذا تم نقل الأصول وغسلها بواسطة فريق اختراق Drainer محترف، فهناك احتمال كبير بعدم استردادها! لذا علينا أن نقضي عليه في مهده ولا نسمح لهم باستغلاله.