Подпись Permit и aEthWBTC: Как защитить вашу криптовалюту от фишинговых атак без газа
Понимание подписей Permit и их назначения
Подписи Permit — это революционное новшество в экосистеме криптовалют, разработанное для упрощения перевода токенов и снижения затрат на транзакции. Позволяя пользователям авторизовать транзакции вне блокчейна, подписи Permit устраняют необходимость в оплате газа на этапе одобрения. Эта функция особенно полезна для пользователей, стремящихся оптимизировать свои криптоактивности и минимизировать расходы.
Однако, несмотря на удобство, подписи Permit также создают потенциальные уязвимости. Злоумышленники все чаще используют эти механизмы, что делает крайне важным понимание работы подписей Permit и связанных с ними рисков для эффективной защиты цифровых активов.
Уязвимости и риски подписей Permit
Несмотря на их эффективность, подписи Permit представляют собой палку о двух концах. Те же функции, которые делают их привлекательными — авторизация вне блокчейна без газа — также делают их главной целью для атак. Вот почему:
Транзакции без газа кажутся безобидными: Отсутствие платы за газ часто заставляет пользователей недооценивать потенциальные риски. Это делает фишинговые схемы, использующие подписи Permit, рутинными и не вызывающими подозрений.
Комбинация функций 'Permit' и 'TransferFrom': Злоумышленники используют комбинацию этих двух функций для прямого вывода активов из кошельков. Как только пользователь неосознанно авторизует вредоносную транзакцию, атакующий может перевести средства без дальнейшего взаимодействия.
Авторизация вне блокчейна скрывает активность: Поскольку авторизация происходит вне блокчейна, панели управления кошельков обычно не отображают подозрительную активность. Жертвы часто не осознают атаку до тех пор, пока их средства не будут переведены.
Резонансные фишинговые атаки с использованием подписей Permit
Рост числа фишинговых атак, использующих подписи Permit, привел к значительным финансовым потерям в криптосообществе. Один из заметных случаев включал криптокита, который потерял более $6 миллионов в стейкнутом Ethereum (stETH) и Aave-обернутом биткоине (aEthWBTC). Атака была осуществлена через сложную фишинговую схему, замаскированную под рутинные подтверждения кошелька.
Еще одна тревожная тенденция связана с использованием мошенничества с пакетными подписями EIP-7702. Эти схемы обманывают жертв, заставляя их подписывать несколько разрешений одновременно, предоставляя злоумышленникам неограниченный доступ к их кошелькам. Такие тактики подчеркивают растущую сложность фишинговых схем, нацеленных на подписи Permit.
Механика эксплуатации подписей Permit
Чтобы лучше понять, как происходят эти атаки, давайте разберем их механику:
Фишинговая подготовка: Злоумышленники создают поддельные веб-сайты, всплывающие окна кошельков или ссылки в электронных письмах, имитирующие легитимные платформы.
Вредоносный запрос: Жертвы получают запрос на подпись Permit, часто под видом рутинного подтверждения кошелька.
Предоставление авторизации: Как только жертва подписывает запрос, злоумышленник комбинирует функции 'Permit' и 'TransferFrom', чтобы перевести активы напрямую из кошелька.
Вывод средств: Транзакция выполняется без немедленного уведомления жертвы, так как плата за газ отсутствует, и предупреждения не срабатывают.
Тревожная статистика потерь, связанных с фишингом
Масштаб потерь, связанных с фишингом в криптопространстве, ошеломляет. Последние данные показывают следующее:
Только в августе злоумышленники украли $12,17 миллиона у более чем 15 200 жертв, что на 72% больше, чем в июле.
Значительная часть этих потерь пришлась на несколько крупных аккаунтов, один из которых потерял $3,08 миллиона в результате одной атаки.
Рост мошенничества с пакетными подписями EIP-7702 значительно способствовал увеличению потерь, связанных с фишингом.
Эти цифры подчеркивают растущую распространенность и сложность фишинговых схем, нацеленных на подписи Permit.
Как защитить свой кошелек от эксплуатации подписей Permit
Хотя риски, связанные с подписями Permit, реальны, вы можете предпринять проактивные шаги для защиты своих активов:
Отказывайтесь от неограниченных разрешений: Избегайте предоставления неограниченных разрешений на любые запросы кошелька. Всегда проверяйте объем авторизации перед подписанием.
Проверяйте всплывающие окна кошелька: Будьте осторожны при взаимодействии с всплывающими окнами кошелька. Дважды проверяйте URL-адреса и убедитесь, что вы находитесь на официальной платформе.
Используйте надежные кошельки: Выбирайте кошельки с надежными функциями безопасности и регулярными обновлениями для защиты от новых угроз.
Включайте уведомления: Настройте оповещения для любой активности, связанной с вашим кошельком, чтобы быть в курсе потенциально несанкционированных транзакций.
Обучайтесь: Оставайтесь в курсе последних фишинговых тактик и мошенничеств в криптопространстве, чтобы распознавать тревожные сигналы.
Заключение
Подписи Permit, разработанные для упрощения перевода токенов, стали излюбленным инструментом злоумышленников из-за их безгазовой и внеблокчейновой природы. Рост числа фишинговых схем, нацеленных на эти подписи, подчеркивает важность бдительности и проактивных мер безопасности.
Понимая механику этих атак и применяя лучшие практики, вы можете защитить свои активы и уверенно ориентироваться в криптопространстве. Всегда проявляйте осторожность при авторизации транзакций и помните: если что-то кажется слишком хорошим, чтобы быть правдой, скорее всего, так оно и есть.
© OKX, 2025. Эту статью можно копировать и распространять как полностью, так и в цитатах объемом не более 100 слов, при условии некоммерческого использования. При любом копировании или распространении всей статьи должно быть указано: «Разрешение на использование получено от владельца авторских прав на эту статью — © OKX, 2025. Цитаты должны содержать ссылку на название статьи и ее автора, например: «Название статьи, [имя автора, если указано], © OKX, 2025». Часть контента может быть создана с использованием инструментов искусственного интеллекта (ИИ). Создание производных материалов и любое другое использование данной статьи не допускается.
Похожие статьи
Показать еще
HYPE, ETH и предел: исследование рыночной динамики и инноваций блокчейна
Как коды разработчиков на Hyperliquid революционизируют доходы разработчиков