一按錢全不見!「離線授權簽名」有何釣魚手法與防範方式?假 EigenLayer 案例
「沒有簽署鏈上交易,錢包裡的錢與 NFT 也可能全部丟失。」2/7,資安公司慢霧 (Slowmist) 創辦人余弦討論一起丟失 100 pufETH (市值將近 25 萬美金) 的事件,一位大戶被釣魚連結誘導簽署 permit 離線授權簽名,錢就全丟失了。
據鏈新聞早前報導《使用過 Uniswap 就有資安風險?鏈下簽名將如何導致資產遭竊取》:
「由於鏈下簽名並不需要燃料費用,是用戶經常忽略的安全性的環節,若其中遭到惡意網站誘導用戶簽下符合調用 Permit 函數的內容,那麼用戶的代幣就會遭到第三方竊取。」這種遇到不小心按下異常授權的狀況,也難以及時按下 Revoke 來撤回授權,馬上可以將資產轉走。
廣告 - 內文未完請往下捲動
余弦表示,遇到這種狀況錢恐怕很難救得回來了。
以下將展示單一案例手法,以及可能防範的方式:
假貼文、假網頁,引誘按下致命按鈕
釣魚者用假帳號引誘上當
詐騙者會利用假推特帳號,在真實帳號的推文下留言,並提供公告或活動連結。如以下案例,假帳號的名稱相同,並擁有認證帳號,但實際上帳號名稱 @ 部分與官方並不相同。
利用假 EigenLayer 網頁利誘粗心的用戶
在假帳號提供的貼文中,提供了一個貌似官方的網頁,宣傳「可以獲得三倍積分點數」,仔細一看它的網址是「https://quests-eigenlayer.com/」(跟官方網址:https://www.eigenlayer.xyz/ 完全不同)
不需交易,按下錢包簽名後就遭殃
在連結錢包後,該網頁會要求你簽署一項離線授權簽名,由於不需要支付任何的網路費用,僅是允許簽名,就會讓許多人掉以輕心,以為是平常熟悉使用的網頁。一但按下後,就會給予釣魚攻擊者全部權限,自動將錢包內的資產轉移出去。(該釣魚者已獲得大量資金)
面對「離線授權簽名」風險,用戶該如何自保
鏈新聞報導建議,如果對於鏈下簽名的內容不熟悉,也有許多方式可以降低這類代幣設計的風險。
- 第一原則就是不要隨意簽署不熟悉的內容。
- 當出現 approvals 確認畫面時,將授權數量調整為本次交易所需數量 (雖然這樣多次交易會需要重複授權)
- 雖然簽署內容難追蹤,仍然可以嘗試使用工具盡量查詢 (revoke.cash)
- 使用保存小額資產的錢包進行鏈下簽名
超便利!防禦型工具介紹:Scam Sniffer
Scam Sniffer (https://www.scamsniffer.io/) 提供網頁擴充插件,可以在錢包交易對可疑交易發出警示,也能提醒「離線授權簽名」等簽名風險 ; 在交易發生時,會顯示實際轉移的資產與數量,為用戶提供多一層把關。
以上述的假網頁為例,Scam Sniffer 就會主動跳出警告。實測下,是非常實用的防護協助工具。
