[閒聊] permit鏈下簽名釣魚
我剛剛看到一篇關於用permit鏈下簽名的方式來轉走你帳戶內的token,而且這個方式你的
帳戶內不會有approve紀錄,之前我在用paraswap、uniswapV3、1inch有遇過這種授權方式
所以特別來提醒大家,現在連鏈下簽名都要仔細看一下,別無腦簽名。
鏈下簽名比較常出現的方式是連入defi網站的時候,需要你用帳號簽一份聲明書,例如par
aswap連進去會要你簽一份這個網站不提供給美國人使用的聲明。
https://i.imgur.com/UFznnNW.png
permit功能可以看USDC的etherscan上的code,簡單來說就是用鏈下簽名的方式根據permit
需要參數讓你簽名,拿到你簽完名的加密資訊v.r.s,然後駭客再call USCD permit函數,
那就可以完成approve的動作。這個方式比較特別的是鏈下簽名不會消耗gas,所以你不會
去特別在意這個簽名,你以為一切都正常,但是其實你已經把token授權給別人動了,而且
revoke工具也不會偵測到,revoke工具原理其實是掃你的帳戶內的approve tx,這個permi
t方式,permit tx其實會出現在駭客的帳戶下面,所以revoke不會偵測到。對permit tx
fee是駭客幫你付的。
現在可以從1inch看一下permit鏈下簽名會長怎樣。有沒有發現permit鏈下簽名跟上面的網
站聲明基本上一樣,只是message data部分不一樣,換成要你簽permit需要參數,其實這
是metamask有幫解析後的結果,有些錢包不支援解析的話,應該會是0xd505accf開頭一串
bytes32 code,大家可以比較一下一般USDC approve,現在metamask已經不會無腦無限
approve了,會問你要approve多少。
permit鏈下簽名
https://i.imgur.com/PdMw4JL.png
approve tx
https://i.imgur.com/Qi9en0h.png
結論
如果遇到鏈下簽名請仔細看清楚。
ref:https://foresightnews.pro/article/detail/33330
--
對了,謝謝版主昨天贊助pizza day
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 218.161.113.147 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1684633192.A.F6D.html
推
05/21 09:48,
2年前
, 1F
05/21 09:48, 1F
推
05/21 11:03,
2年前
, 2F
05/21 11:03, 2F
推
05/21 11:42,
2年前
, 3F
05/21 11:42, 3F
→
05/21 15:56,
2年前
, 4F
05/21 15:56, 4F
→
05/21 15:56,
2年前
, 5F
05/21 15:56, 5F
→
05/21 15:56,
2年前
, 6F
05/21 15:56, 6F
推
05/21 18:12,
2年前
, 7F
05/21 18:12, 7F
→
05/21 18:12,
2年前
, 8F
05/21 18:12, 8F
推
05/21 18:18,
2年前
, 9F
05/21 18:18, 9F
推
05/21 18:57,
2年前
, 10F
05/21 18:57, 10F
→
05/21 18:58,
2年前
, 11F
05/21 18:58, 11F
→
05/21 20:20,
2年前
, 12F
05/21 20:20, 12F
推
05/22 12:03,
2年前
, 13F
05/22 12:03, 13F
→
05/22 12:03,
2年前
, 14F
05/22 12:03, 14F
→
05/22 14:30,
2年前
, 15F
05/22 14:30, 15F
→
05/22 14:30,
2年前
, 16F
05/22 14:30, 16F
推
05/25 22:10, , 17F
05/25 22:10, 17F
DigiCurrency 近期熱門文章
PTT數位生活區 即時熱門文章
