あなたはまだ、自分の資産が安全だと思っていますか?ただサイトにサインアップして「接続」するだけで、トランザクションを開始しない場合は?もしそうなら、あなたのセキュリティに対する理解は古くなっているかもしれません。最近のScam Snifferによるフィッシングレポートによると、盗まれた資産の90%はERC-20トークンでした。攻撃の主な方法は、Permit/Permit2署名を使用したフィッシングでした。今年の3月中旬だけで、約200万ドルの大規模な盗難が4件発生しました。3件のケースでは、フィッシング署名Permitを使用してPendle PTトークンが盗まれました。被害者にとって、これは本当の悪夢です - 突然、資産が消えたことに気づくことです。最初はプライベートキーが盗まれたように思えますが、結局のところ、それは不注意な署名の結果であることが判明します。そして、もう何もできません。全てのこれを避けることができた。## Permit/Permit2とは?技術的な詳細に立ち入らずに言えば、要するに時代は変わり、「単純な」署名は今や全く単純ではない可能性があるということです。ざっくり言えば、多くのERC-20トークンの許可は現在「仲介者」を通じて管理されています。以前は、各dApp契約ごとにトークンの使用許可を与えていました。それぞれの許可にはガスがかかっていました。今、Permit/Permit2技術のおかげで(、多くのdApps)が導入したことで、あなたは「中間」Permit/Permit2に対してのみ許可を与えています。この技術を使用するすべてのdAppsは、この許可の使用を要求できます - ただリクエストに署名する必要があります(バッチでも)、新しい許可にガスを費やすことなく。## 二面性のある棒このような署名の更新は便利で、複数のアプリケーションを使用する際にコストを節約しますが、同時に隠れたリスクも伴います。危険なのは、ユーザーが「dAppに入るためにサインアップする」ことに慣れており、通常の署名を安全だと考えていることです。ご存知の通り、新しいタイプの署名(盲目的署名)を区別しない場合、フィッシングトラップに引っかかる可能性があります。これは、ユーザーの意識やウォレットなどのインフラに新たな問題を引き起こします。ハッカーにとって、他人のナイフで「殺す」ことは素晴らしい方法です。悪意のある者は、フィッシング契約を展開し、あなたのPermit署名を取得し、その後、資産(を盗むトランザクションを送信するだけで済みます。あるいは、あなたが)のことを忘れるまで数日待つこともできます。さらに、Permit2はハッカーがあなたの全てのトークンに対してバッチで許可を取得することを可能にします。例えば、最近のSlowMistの創設者によって説明されたケースでは、ユーザーはステーキング中にトークンの許可にサインしたことに気づかず、ハッカーがすぐに資産を盗み、大きな損失をもたらしました。マスキングの手法から判断すると、フィッシングは簡単になったようです。エアドロップを確認するためのサイトを作成し、「ウォレットを接続してください」と頼むことがあります。または、人気のプロジェクトにログインするためのツールを作成することもあります。手口は無限にあります。使用する際には、Permit/Permit2のような署名を求められることがあります。将来的には、Ethereumのアカウントの抽象化が進むにつれて、(EIP-3074が次のハードフォーク)に組み込まれ、ユーザーはアドレスの完全な管理を行う契約を直接承認することができるようになります。これは新たなフィッシングリスクを生み出すことになりますが、便利でもあります。もちろん、これは別の会話のテーマです。## どのようにそのフィッシングを防ぐことができますか?すべてを修正する方法はありますか?Permit/Permit2のフィッシング防止方法については多くの記事が書かれています。再度まとめておきましょう:1. 盲目的にサインしないでください法律文書と同様に、誰もただそうするために署名をしません。マスクされたフィッシングサイトを特定することは安全性にとって重要です。知らないサイトからの「ログイン要求」に注意してください。ハッカーはボタンの目的を偽装して、あなたを騙してサインアップさせようとします。人気のあるウォレットは、Permit/Permit2の署名を認識できます。dAppがそのような署名を要求する場合は、トークンの使用を許可したいかどうかを二重に確認してください。通常の署名メッセージでは、特別な署名を作成することはできません。Permitの他にもincreaseAllowance操作、複数のdAppとの組み合わせアクション、さらには0xで始まる読み取れない署名があり、これらは資産の安全性を脅かす可能性があります。一般的に、ポップアップ署名の内容と結果を理解していない場合は注意してください。特にウォレットに多くの資産がある場合は注意が必要です。2. ホットウォレットとコールドウォレットを分けてください濡れないようにするためには、水の上を歩かない方がいいです。もし「警告を無視する」を好み、あまり知られていないサイトで実験するなら、資産を分散させてください。頻繁なやり取りには小さな財布を使用し、大きな額をそこに保管しないでください。まるで店に行くときに全ての貯金ではなく、少しの現金だけを持って行くように。定期的に資産、ウォレットを変更し、権限を取り消してリスクを最小限に抑えてください。大きな金額のウォレットは、サイトに「接続」しない方が良いです。必要なときだけ使用するために、ハードウェアウォレットに保管してください。これはフィッシングを防ぐための簡単な方法です。3. 許可を確認してくださいもしトークンを積極的に使用していない場合は、デフォルトで最大の(無制限)の金額を与えるのではなく、リクエストに応じてPermit/Permit2の許可を与える方が良いです。無制限のPermit/Permit2権限がある場合は、それを取り消すことができます。Revoke Cashで権限を確認してください - 各トークンに対してどのPermit/Permit2権限が発行されているかが明確に表示されます。このツールは、ハッカーによる資産の盗難にまだ使用されていない署名を取り消すこともできます。Permitの署名は自律的であり、(を使用するまでブロックチェーンに痕跡を残さないことに注意してください。ハッカーは通常、盗まれた署名をサーバーに保存します)。定期的な権限と署名の確認は良い習慣です。## まとめもしあなたがフィッシングの被害に遭ってしまった場合は、SlowMistのような専門のセキュリティチームにすぐに相談するのが最善です。彼らは資産を迅速に移転し、損失を最小限に抑える手助けをしてくれるでしょう。場合によっては、技術的な手段を用いて。フィッシングがよりプロフェッショナルで産業化し、明確な分業が行われていることに注意する必要があります。すでに資産がプロのハッカー集団によって盗まれ、洗浄されている場合、それらを取り戻す可能性は極めて低いです!したがって、脅威を根本から断ち、悪意のある者にチャンスを与えない必要があります。
パーミット署名:ユーザー資産に対する隠れた脅威
あなたはまだ、自分の資産が安全だと思っていますか?ただサイトにサインアップして「接続」するだけで、トランザクションを開始しない場合は?もしそうなら、あなたのセキュリティに対する理解は古くなっているかもしれません。
最近のScam Snifferによるフィッシングレポートによると、盗まれた資産の90%はERC-20トークンでした。攻撃の主な方法は、Permit/Permit2署名を使用したフィッシングでした。
今年の3月中旬だけで、約200万ドルの大規模な盗難が4件発生しました。3件のケースでは、フィッシング署名Permitを使用してPendle PTトークンが盗まれました。
被害者にとって、これは本当の悪夢です - 突然、資産が消えたことに気づくことです。最初はプライベートキーが盗まれたように思えますが、結局のところ、それは不注意な署名の結果であることが判明します。そして、もう何もできません。
全てのこれを避けることができた。
Permit/Permit2とは?
技術的な詳細に立ち入らずに言えば、要するに時代は変わり、「単純な」署名は今や全く単純ではない可能性があるということです。
ざっくり言えば、多くのERC-20トークンの許可は現在「仲介者」を通じて管理されています。
以前は、各dApp契約ごとにトークンの使用許可を与えていました。それぞれの許可にはガスがかかっていました。
今、Permit/Permit2技術のおかげで(、多くのdApps)が導入したことで、あなたは「中間」Permit/Permit2に対してのみ許可を与えています。
この技術を使用するすべてのdAppsは、この許可の使用を要求できます - ただリクエストに署名する必要があります(バッチでも)、新しい許可にガスを費やすことなく。
二面性のある棒
このような署名の更新は便利で、複数のアプリケーションを使用する際にコストを節約しますが、同時に隠れたリスクも伴います。
危険なのは、ユーザーが「dAppに入るためにサインアップする」ことに慣れており、通常の署名を安全だと考えていることです。
ご存知の通り、新しいタイプの署名(盲目的署名)を区別しない場合、フィッシングトラップに引っかかる可能性があります。これは、ユーザーの意識やウォレットなどのインフラに新たな問題を引き起こします。
ハッカーにとって、他人のナイフで「殺す」ことは素晴らしい方法です。
悪意のある者は、フィッシング契約を展開し、あなたのPermit署名を取得し、その後、資産(を盗むトランザクションを送信するだけで済みます。あるいは、あなたが)のことを忘れるまで数日待つこともできます。さらに、Permit2はハッカーがあなたの全てのトークンに対してバッチで許可を取得することを可能にします。
例えば、最近のSlowMistの創設者によって説明されたケースでは、ユーザーはステーキング中にトークンの許可にサインしたことに気づかず、ハッカーがすぐに資産を盗み、大きな損失をもたらしました。
マスキングの手法から判断すると、フィッシングは簡単になったようです。エアドロップを確認するためのサイトを作成し、「ウォレットを接続してください」と頼むことがあります。または、人気のプロジェクトにログインするためのツールを作成することもあります。手口は無限にあります。使用する際には、Permit/Permit2のような署名を求められることがあります。
将来的には、Ethereumのアカウントの抽象化が進むにつれて、(EIP-3074が次のハードフォーク)に組み込まれ、ユーザーはアドレスの完全な管理を行う契約を直接承認することができるようになります。これは新たなフィッシングリスクを生み出すことになりますが、便利でもあります。
もちろん、これは別の会話のテーマです。
どのようにそのフィッシングを防ぐことができますか?すべてを修正する方法はありますか?
Permit/Permit2のフィッシング防止方法については多くの記事が書かれています。再度まとめておきましょう:
法律文書と同様に、誰もただそうするために署名をしません。
マスクされたフィッシングサイトを特定することは安全性にとって重要です。知らないサイトからの「ログイン要求」に注意してください。ハッカーはボタンの目的を偽装して、あなたを騙してサインアップさせようとします。
人気のあるウォレットは、Permit/Permit2の署名を認識できます。dAppがそのような署名を要求する場合は、トークンの使用を許可したいかどうかを二重に確認してください。通常の署名メッセージでは、特別な署名を作成することはできません。
Permitの他にもincreaseAllowance操作、複数のdAppとの組み合わせアクション、さらには0xで始まる読み取れない署名があり、これらは資産の安全性を脅かす可能性があります。
一般的に、ポップアップ署名の内容と結果を理解していない場合は注意してください。特にウォレットに多くの資産がある場合は注意が必要です。
濡れないようにするためには、水の上を歩かない方がいいです。
もし「警告を無視する」を好み、あまり知られていないサイトで実験するなら、資産を分散させてください。
頻繁なやり取りには小さな財布を使用し、大きな額をそこに保管しないでください。まるで店に行くときに全ての貯金ではなく、少しの現金だけを持って行くように。
定期的に資産、ウォレットを変更し、権限を取り消してリスクを最小限に抑えてください。
大きな金額のウォレットは、サイトに「接続」しない方が良いです。必要なときだけ使用するために、ハードウェアウォレットに保管してください。これはフィッシングを防ぐための簡単な方法です。
もしトークンを積極的に使用していない場合は、デフォルトで最大の(無制限)の金額を与えるのではなく、リクエストに応じてPermit/Permit2の許可を与える方が良いです。
無制限のPermit/Permit2権限がある場合は、それを取り消すことができます。Revoke Cashで権限を確認してください - 各トークンに対してどのPermit/Permit2権限が発行されているかが明確に表示されます。
このツールは、ハッカーによる資産の盗難にまだ使用されていない署名を取り消すこともできます。
Permitの署名は自律的であり、(を使用するまでブロックチェーンに痕跡を残さないことに注意してください。ハッカーは通常、盗まれた署名をサーバーに保存します)。
定期的な権限と署名の確認は良い習慣です。
まとめ
もしあなたがフィッシングの被害に遭ってしまった場合は、SlowMistのような専門のセキュリティチームにすぐに相談するのが最善です。彼らは資産を迅速に移転し、損失を最小限に抑える手助けをしてくれるでしょう。場合によっては、技術的な手段を用いて。
フィッシングがよりプロフェッショナルで産業化し、明確な分業が行われていることに注意する必要があります。すでに資産がプロのハッカー集団によって盗まれ、洗浄されている場合、それらを取り戻す可能性は極めて低いです!したがって、脅威を根本から断ち、悪意のある者にチャンスを与えない必要があります。