Підпис Permit: прихована загроза для активів користувачів

Ви все ще думаєте, що ваші активи в безпеці, поки ви просто підписуєтеся та "підключаєтеся" до сайту, не ініціюючи транзакцію? Якщо так, то ваше розуміння безпеки може бути застарілим.

Згідно з недавнім звітом про фішинг від Scam Sniffer, 90% вкрадених активів становили токени ERC-20. Основним методом атаки став фішинг з використанням підпису Permit/Permit2.

Тільки в середині березня цього року сталося 4 великих крадіжки на суму близько 2 мільйонів доларів кожна. У трьох випадках були вкрадені токени Pendle PT за допомогою фішингових підписів Permit.

Для жертв це справжній кошмар - раптово виявити, що активи зникли. Спочатку здається, що вкрали приватний ключ, але в підсумку з'ясовується, що це результат необережного підпису. І вже нічого не можна зробити.

Усього цього можна було уникнути.

Що таке Permit/Permit2?

Не вдаючись у технічні деталі, суть у тому, що часи змінилися, і "проста" підпис тепер може бути зовсім не простою.

Грубо кажучи, багато дозволів для токенів ERC-20 тепер управляються через "посередника".

Раніше ви давали дозвіл на використання токенів для кожного dApp-контракту окремо. Кожен дозвіл коштував газу.

Тепер, завдяки технології Permit/Permit2 (, яку впровадили багато dApps ), ви даєте дозвіл тільки для "проміжного" Permit/Permit2.

Усі dApps, що використовують цю технологію, можуть запитувати використання цього дозволу - вам потрібно просто підписати запит ( навіть пакетно ), не витрачаючи газ на нові дозволи.

Палиця з двома кінцями

Хоча таке оновлення підписів зручно і економить кошти при роботі з кількома додатками, воно також несе приховані ризики.

Небезпека в тому, що користувачі звикли "підписуватись для входу в dApp" і вважають звичайні підписи безпечними.

Як відомо, якщо не розрізняти нові типи підписів (сліпе підписання), можна потрапити в фішингову пастку. Це створює нові проблеми для обізнаності користувачів та інфраструктури на зразок гаманців.

Для хакерів це відмінний спосіб "вбивати чужим ножем".

Зловмиснику достатньо розгорнути фішинговий контракт, отримати вашу підпис Permit, а потім надіслати транзакцію, що краде активи ( або навіть почекати кілька днів, поки ви забудете про це ). Більше того, Permit2 дозволяє хакерам отримувати дозволи на всі ваші токени пакетом.

Наприклад, у нещодавньому випадку, описаному засновником SlowMist, користувач підписав дозвіл на токен під час стейкінгу, не помітивши цього. Хакер відразу ж вкрали активи, що призвело до великих втрат.

Судя по методам маскування, фішинг, здається, став простішим. Можуть створити сайт для перевірки ейрдропу і попросити вас "підключити гаманець". Або зробити інструмент для входу в популярні проекти. Ухвалок безліч. При використанні вас можуть попросити поставити підпис типу Permit/Permit2.

В майбутньому, в міру розвитку абстракції акаунтів Ethereum (EIP-3074 включено в наступний хардфорк), ви навіть зможете безпосередньо авторизувати контракт на повне управління адресою. Це створить нові ризики фішингу, хоча й буде зручним.

Звичайно, це тема для окремої розмови.

Як запобігти такому фішингу? Чи є спосіб все виправити?

О методах запобігання фішингу Permit/Permit2 написано безліч статей. Варто ще раз підсумувати:

1. Не підписуйте всліпу

Як і з юридичними документами, ніхто не ставить підпис просто так.

Виявлення замаскованих фішингових сайтів критично важливе для безпеки. Будьте обережні з "запитами на вхід" з незнайомих сайтів. Хакери маскують призначення кнопок, щоб обманом змусити вас підписатися.

Популярні гаманці можуть розпізнавати підписи Permit/Permit2. Якщо dApp запитує таку підпис, двічі перевірте, чи хочете ви дозволити використання токенів. Звичайне повідомлення для підпису не може створити спеціальну підпис.

Крім Permit є також операції increaseAllowance, комбіновані дії з кількома dApp і навіть нечитаємі підписи, що починаються з 0x, які можуть загрожувати безпеці активів.

В загальному, якщо ви не розумієте зміст і наслідки спливаючого підпису, будьте обережні, особливо якщо в гаманці багато активів.

2. Розділяйте гарячі та холодні гаманці

Щоб не промочити ноги, краще не ходити по воді.

Якщо вам подобається "ігнорувати попередження" та експериментувати на маловідомих сайтах, розділіть свої активи.

Використовуйте невеликий гаманець для частих взаємодій, не зберігайте там великі суми. Як якщо б ви брали з собою в магазин тільки трохи готівки, а не всі свої заощадження.

Періодично змінюйте активи, гаманці та відкликайте дозволи, щоб мінімізувати ризики.

Гаманці з великими сумами не варто "підключати" до сайтів. Або зберігайте їх на апаратному гаманці, використовуючи тільки за необхідності. Це простий спосіб запобігти фішингу.

3. Перевіряйте дозволи

Якщо ви не використовуєте токени активно, краще надавати дозволи Permit/Permit2 за запитом, а не максимальну (необмежену) суму за замовчуванням.

Якщо у вас є необмежені дозволи Permit/Permit2, їх можна відкликати. Перевірте свої дозволи в Revoke Cash - там чітко видно, які дозволи Permit/Permit2 видані для кожного токена.

Інструмент також дозволяє відкликати підписи, які ще не були використані хакерами для крадіжки активів.

Відзначимо, що підписи Permit автономні і не залишають слідів у блокчейні до використання (хакери зазвичай зберігають вкрадені підписи на сервері).

Регулярна перевірка дозволів та підписів - добра звичка.

Висновок

Якщо ви все ж стали жертвою фішингу, краще одразу звернутися до професійної команди безпеки, як-от SlowMist. Вони допоможуть вчасно перевести активи та мінімізувати втрати, можливо, навіть за допомогою технічних засобів.

Слід зазначити, що фішинг став більш професійним і індустріальним, з чітким поділом праці. Якщо активи вже вкрадені та відмиті професійною командою хакерів, ймовірність їх повернення вкрай мала! Тому потрібно припиняти загрози на корені і не давати зловмисникам шансу.