Permit 签名的安全挑战与解决方案|imToken 钱包安全月报 1
来源:    发布时间: 2023-11-02 21:56   91 次浏览   大小:  16px  14px  12px
最近,我们接到多名用户反馈在谷歌搜索广告后被引导至钓鱼网站,并在该网站上进行了未知恶意签名,导致资产损失。其中一名用户被盗走了约 2500 个 ARB,据了解,该用户的 ARB 代币被无限授权给了恶意合约地址

Permit 授权签名风险揭示

最近,我们接到多名用户反馈在谷歌搜索广告后被引导至钓鱼网站,并在该网站上进行了未知恶意签名,导致资产损失。其中一名用户被盗走了约 2500 个 ARB,据了解,该用户的 ARB 代币被无限授权给了恶意合约地址 0x00005cA8824899d3f6c10522D9cc1b04E05A0000。

经调查,该恶意合约地址来自 Inferno Drainer 诈骗团伙。据 Scam Sniffer 监测数据,至今该诈骗团伙已骗取 4188 万美元,受害者数量达 89484 人。他们创建了 689 多个钓鱼网站,瞄准了 220 多个品牌,包括近期热门的项目如 zkSync、Arbitrum、Optimism 和 Blur 等。

分析表明,这是由于用户在某钓鱼网站上通过链下签名(Permit 授权签名)造成的授权。这是一种允许用户在不直接与区块链交互的情况下授权交易的链下签名机制,从而节省 Gas 费。然而,如上述用户案例所示,这种签名机制也为钓鱼攻击提供了机会。一旦钓鱼者获得了用户的 Permit 签名,就可以在用户毫不知情的情况下转走用户已签名授权的资产。

请注意,在不了解签名作用的情况下,切忌随意签名,很有可能是骗局!

了解更多:imToken 已支持「所见即所签」

安全提醒

授权是区块链交易中的常见操作,但也存在一定风险。我们需要谨慎审查每个授权请求,定期查看和管理授权,以保护资产安全。

授权前确保验证安全性

  • 仔细研究: 使用新的去中心化应用前进行充分调研。了解背景、声誉和开发团队等,以确保可信任度。
  • 验证合约地址: 使用去中心化应用时,验证合约地址的准确性。避免点击不明链接或从未经验证的来源获取地址。
  • 认准官方渠道: 务必从官方网站、社媒或应用商店下载应用,以防恶意软件感染。
  • 防范钓鱼攻击: 谨防钓鱼攻击,不轻易点击不明链接,避免提供个人信息或私钥。

日常定期检查和取消不明签名授权

我们建议用户定期使用安全检查工具来检查和取消不明的链下签名授权,并在授权时设置适合的额度。

  • 查看授权:打开 imToken 钱包,左滑功能栏找到并点击「授权管理」进入 Revoke DApp,下滑即可看到授权情况。
  • 取消授权:进入 Revoke DApp 后点击右上角菜单栏,选择「Connect Wallet」并依次点击「WalletConnect」-「imToken」连接钱包。等成功连接钱包后,下滑在授权记录列表中找到要取消授权的记录,点击  按钮编辑「Approved Amount」,然后点击「Update」签名即可取消授权。
  • 编辑授权:imToken 支持展示 Approve 和 Permit 两种授权方式的详情,包括授权额度、时间、代币和合约详情等。用户可以通过点击「编辑」直接修改授权额度和时间。

了解更多

除了 Permit 授权签名之外,在之前的钱包安全月报中,我们披露的虚假网站骗局、短信骗局、助记词骗局、授权诈骗等也不得不防。

  • 虚假网站猖獗,诈骗套路升级
  • 谨防 TRX 钱包账户权限更改骗局
  • 我的密码没有泄漏,为什么资产被盗走了?
  • imToken 钱包安全月报 10 期:小心「零元购」 NFT 钓鱼骗局!
  • 关于新型骗局的三大疑惑

imToken 一直在行动

推出「所见即所签」的签名体验

在区块链交易中,不经意完成授权,导致签名被盗并非罕见。为应对这类风险,imToken 推出全新设计的「签名体验」,在涉及签名的每个环节,如登录 DApp、转账、代币兑换或是授权等,都进行了全面升级,让用户能够轻松读懂每一笔交易。

增强签名风控系统

面对市场上日趋激烈的恶意签名行为,imToken 对各种签名场景下的潜在风险点做出了安全提示,大大加强了风控系统的防护能力。比如:

  • 标记风险代币,封禁风险地址和 DApp;
  • 向合约地址转账时,弹出提醒,确保避免误操作;
  • 授权给普通账户时,弹出提醒,减少误授权风险;
  • 代币兑换环节,一旦滑点过高,会弹出警告提醒。

转账给风险地址和合约地址时的安全提醒

安全风控

九月份,imToken 共标记风险代币 511 个;封禁风险 DApp 网站 608 个;标记风险地址 2965 个。详见风控数据

另外,如果你发现了疑似风险的代币或者 DApp,请及时反馈给我们:support@token.im,帮助更多用户避免资产损失。

最后

imToken 有上千万的下载量,在这背后是庞大而真实的钱包用户故事,我们身处一线,可以快速捕捉这类问题,一方面通过自身经验帮助用户解决,另一方面针对新型骗局,也可以反馈给社区,避免更多的用户受灾。无论你是哪款钱包的用户,都可以从我们的月报中有所收获。

所以,希望你在关注「imToken 钱包安全月报」的同时,也把这份月报带给身边的人,带给同处于区块链圈子里的朋友。在钱包安全面前,没有「大佬」,只有失去之后的追悔莫及。

如果你有任何关于钱包安全方面的案件和素材,欢迎发送到 support@token.im 和我们一起构建钱包安全社区。