Acheter Cryptos
Payer en
USD
Achat rapide
HOT
Achetez et vendez des cryptomonnaies via Apple Pay, cartes bancaires, Google Pay, virements bancaires et d'autres méthodes de paiement.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Carte Gate
Carte de paiement crypto, permettant d'effectuer des transactions mondiales en toute transparence.
Trader
Type de trading
Spot
Échangez des cryptos librement
Alpha
Points
Obtenez des actifs prometteurs dans le cadre d'un trading on-chain rationalisé
Pre-Market
Trade de nouveaux jetons avant qu'ils ne soient officiellement listés
Marge
Augmentez vos bénéfices grâce à l'effet de levier
Conversion & Trading en blocs
0 Fees
Tradez n’importe quel volume sans frais ni slippage
Tokens à effet de levier
Soyez facilement exposé à des positions à effet de levier
Futures
Futures
Des centaines de contrats réglés en USDT ou en BTC
Options
HOT
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Demo Trading
Futures Kickoff
Préparez-vous à trader des contrats futurs
Événements futures
Participez à des événements pour gagner de généreuses récompenses
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Web3 BountyDrop
Obtenez des airdrops Web3 massifs en un seul clic
Investissement
Simple Earn
VIP
Gagner des intérêts avec des jetons inutilisés
Investissements Automatique
Auto-invest régulier
Double investissement
Acheter à bas prix et vendre à prix élevé pour tirer profit des fluctuations de prix
Fonds Quant
VIP
Une équipe de gestion d'actifs de premier plan vous aide à réaliser des bénéfices en toute simplicité
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Gestion de patrimoine VIP
New
La gestion qui fait grandir votre richesse
Staking
Stakez des cryptos pour gagner avec les produits PoS.
BTC Staking
HOT
Stakez vos BTC et gagnez 10 % d’APR
ETH Staking
HOT
Stakez vos ETH et gagnez 10 % d’APR
GUSD Minting
New
Utilisez USDT/USDC pour minter du GUSD et obtenir des rendements comparables à ceux des bons du Trésor.
Staking souple
Gagnez des récompenses grâce au staking flexible
Plus
- Sujets populairesAfficher plus
14.5K Popularité
4.7M Popularité
123.9K Popularité
78.1K Popularité
164.7K Popularité
- Épingler
Signature Permit : une menace cachée pour les actifs des utilisateurs
Vous pensez toujours que vos actifs sont en sécurité tant que vous vous inscrivez et que vous "vous connectez" au site sans initier de transaction ? Si oui, votre compréhension de la sécurité pourrait être obsolète.
Selon un rapport récent sur le phishing de Scam Sniffer, 90 % des actifs volés étaient des tokens ERC-20. La principale méthode d'attaque était le phishing utilisant la signature Permit/Permit2.
Seulement au milieu de mars de cette année, 4 grands vols d'un montant d'environ 2 millions de dollars chacun ont eu lieu. Dans trois cas, des tokens Pendle PT ont été volés à l'aide de signatures de phishing Permit.
Pour les victimes, c'est un véritable cauchemar - découvrir soudainement que les actifs ont disparu. Au début, on a l'impression que la clé privée a été volée, mais il s'avère finalement que c'est le résultat d'une signature imprudente. Et il n'y a plus rien à faire.
Tout cela aurait pu être évité.
Qu'est-ce que Permit/Permit2 ?
Sans entrer dans les détails techniques, l'essentiel est que les temps ont changé et qu'une "simple" signature peut désormais être tout sauf simple.
En gros, de nombreuses autorisations pour les tokens ERC-20 sont désormais gérées par un "intermédiaire".
Auparavant, vous donniez la permission d'utiliser des jetons pour chaque contrat dApp séparément. Chaque permission coûtait du gaz.
Maintenant, grâce à la technologie Permit/Permit2 ( que de nombreuses dApps ) ont intégrée, vous donnez une autorisation uniquement pour le "permis" intermédiaire Permit/Permit2.
Tous les dApps utilisant cette technologie peuvent demander l'utilisation de cette autorisation - il vous suffit de signer la demande ( même par lots ), sans dépenser de gaz pour de nouvelles autorisations.
Une épée à double tranchant
Bien que cette mise à jour des signatures soit pratique et permette d'économiser des fonds lors de l'utilisation de plusieurs applications, elle comporte également des risques cachés.
Le danger est que les utilisateurs s'habituent à "s'inscrire pour se connecter à un dApp" et considèrent que les signatures ordinaires sont sécurisées.
Comme on le sait, si l'on ne distingue pas les nouveaux types de signatures (signature aveugle), on risque de tomber dans un piège de phishing. Cela crée de nouveaux problèmes pour la sensibilisation des utilisateurs et l'infrastructure telle que les portefeuilles.
Pour les pirates, c'est un excellent moyen de "tuer avec un couteau étranger".
Un attaquant n'a besoin que de déployer un contrat de phishing, d'obtenir votre signature Permit, puis d'envoyer une transaction volant des actifs ( ou même d'attendre quelques jours jusqu'à ce que vous oubliiez cela ). De plus, Permit2 permet aux hackers d'obtenir des autorisations sur tous vos tokens en masse.
Par exemple, dans un cas récent décrit par le fondateur de SlowMist, un utilisateur a signé une autorisation de token lors du staking, sans s'en rendre compte. Un hacker a immédiatement volé des actifs, ce qui a entraîné de grandes pertes.
D'après les méthodes de camouflage, le phishing semble être devenu plus simple. Ils peuvent créer un site pour vérifier l'airdrop et vous demander de "connecter votre portefeuille". Ou bien créer un outil pour se connecter à des projets populaires. Il y a une infinité d'astuces. Lors de l'utilisation, on peut vous demander de signer un type de Permit/Permit2.
À l'avenir, à mesure que l'abstraction des comptes Ethereum (EIP-3074 sera intégrée dans le prochain hard fork), vous pourrez même autoriser directement un contrat pour un contrôle total de l'adresse. Cela créera de nouveaux risques de phishing, bien que cela soit pratique.
Bien sûr, c'est un sujet pour une conversation séparée.
Comment prévenir ce type de phishing ? Existe-t-il un moyen de tout corriger ?
De nombreuses articles ont été écrits sur les méthodes de prévention du phishing Permit/Permit2. Il vaut encore la peine de résumer :
Comme avec les documents juridiques, personne ne signe simplement pour le plaisir.
La détection des sites de phishing déguisés est cruciale pour la sécurité. Faites attention aux "demandes de connexion" provenant de sites inconnus. Les hackers déguisent la fonction des boutons pour vous tromper et vous faire vous inscrire.
Les portefeuilles populaires peuvent reconnaître les signatures Permit/Permit2. Si une dApp demande une telle signature, vérifiez deux fois si vous souhaitez autoriser l'utilisation des tokens. Un message ordinaire à signer ne peut pas créer une signature spéciale.
En plus de Permit, il existe également des opérations increaseAllowance, des actions combinées avec plusieurs dApp et même des signatures illisibles commençant par 0x, qui peuvent menacer la sécurité des actifs.
En général, si vous ne comprenez pas le contenu et les conséquences de la signature contextuelle, soyez prudent, surtout si votre portefeuille contient de nombreux actifs.
Pour ne pas mouiller ses pieds, il vaut mieux ne pas marcher dans l'eau.
Si vous aimez "ignorer les avertissements" et expérimenter sur des sites peu connus, répartissez vos actifs.
Utilisez un petit portefeuille pour des interactions fréquentes, sans y stocker de grosses sommes. Comme si vous emportiez avec vous un peu d'argent liquide au magasin, et non toutes vos économies.
Changez périodiquement d'actifs, de portefeuilles et révoquez les autorisations pour minimiser les risques.
Les portefeuilles avec de grosses sommes ne devraient pas être "connectés" à des sites. Ou conservez-les sur un portefeuille matériel, en les utilisant uniquement en cas de besoin. C'est un moyen simple de prévenir le phishing.
Si vous n'utilisez pas les tokens activement, il est préférable de donner des autorisations Permit/Permit2 sur demande, plutôt que le montant maximum (illimité) par défaut.
Si vous avez des autorisations illimitées Permit/Permit2, elles peuvent être révoquées. Vérifiez vos autorisations dans Revoke Cash - il est clairement indiqué quelles autorisations Permit/Permit2 ont été accordées pour chaque jeton.
L'outil permet également de révoquer les signatures qui n'ont pas encore été utilisées par des hackers pour voler des actifs.
Notons que les signatures Permit sont autonomes et ne laissent pas de traces dans la blockchain jusqu'à l'utilisation de (les hackers stockent généralement les signatures volées sur le serveur).
Vérification régulière des autorisations et des signatures - une bonne habitude.
Conclusion
Si vous êtes néanmoins devenu une victime de phishing, il est préférable de contacter immédiatement une équipe de sécurité professionnelle comme SlowMist. Ils vous aideront à transférer vos actifs à temps et à minimiser vos pertes, peut-être même avec l'aide de moyens techniques.
Il convient de noter que le phishing est devenu plus professionnel et industriel, avec une claire division du travail. Si les actifs ont déjà été volés et blanchis par une équipe de hackers professionnelle, la probabilité de leur retour est extrêmement faible ! Il est donc nécessaire d'éradiquer les menaces à la racine et de ne pas donner aux malfaiteurs une chance.