Scam Sniffer 发布 2024 年年中网络钓鱼报告表明,仅 2024 年上半年,就有 26 万名受害者在 EVM 链上损失 3.14 亿美元,其中 20 人人均损失超过 100 万美元。令人唏嘘的是,还有一位受害者损失 1100 万美元,成为历史上第二大盗窃受害者。
根据该报告的总结,目前多数 ERC20 代币的盗窃源于签署钓鱼签名,如 Permit、IncreaseAllowance 和 Uniswap Permit2。而大部分大型盗窃均涉及 Staking、Restaking、Aave 抵押和 Pendle 代币。受害者多通过假冒 Twitter 账户的钓鱼评论被引导至钓鱼网站。
钓鱼攻击无疑仍是链上安全问题的重灾区。
作为承接用户基础交易需求的入口级产品,OKX Web3 钱包坚持将目光聚焦安全措施强化和用户教育上。在产品层面,该团队近期主要围绕高频钓鱼场景对风险交易拦截功能进行了升级,并表示后续也会持续增加识别更多风险场景对用户进行提示。
本文旨在讲清楚 OKX Web3 钱包最新升级的四大风险交易拦截功能适用的场景,同时科普部分被盗案例的运行原理,希望对您有所帮助。
1、恶意授权给 EOA 账户
6 月 26 日,某用户在假冒 Blast 钓鱼网站签署多个钓鱼签名损失 21.7 万美元;7 月 3 日,ZachXBT 报告称地址 0xD7b2 已成为 Fake_Phishing 187019 网络钓鱼的受害者,导致 6 枚 BAYC NFT 和 40 枚 Beans 损失(价值约 100 万美元以上);7 月 24 日,某 Pendle 用户 1 小时前因多个 Permit 网络钓鱼签名被盗价值约 469 万美元的 PENDLEPT 再质押代币。
近两个月时间,因各类签名钓鱼而产生损失的事件及单笔金额均不在少数,这已然是安全问题频发的重要场景。绝大部分的场景就是在于诱导用户对黑客的 EOA 账户进行授权。
恶意授权给 EOA 账户,一般是指黑客通过各类福利活动等形式诱导用户进行授权,并将其用户地址授权给一个 EOA 地址的签名。
EOA 全称 Externally Owned Accounts,也译为「外部账户」。是以太坊为主的区块链网络上的一种账户类型,这与以太坊上的另一种账户类型—合约账户(Contract Account)不同,EOA 是由用户拥有的,且不受智能合约控制。玩家链上冲浪时一般都是授权给项目方的智能合约账户而非个人拥有的 EOA 账户。
目前,最常见的授权方式有三种: Approve 是存在于 ERC-20 代币标准中的常见授权方法。它授权第三方(如智能合约)在代币持有 者的名义下花费一定数量的代币。用户需要预先为某个智能合约授权一定数量的代币,此后,该 合约便可在任何时间调用 transferFrom 功能转移这些代币。如果用户不慎为恶意合约授权,这些 被授权的代币可能会被立刻转移。值得注意的是,受害者钱包地址中可以看到 Approve 的授权痕迹。
Permit 是基于 ERC-20 标准引入的扩展授权方式,通过消息签名来授权第三方花费代币,而非直 接调用智能合约。简单来说,用户可以通过签名来批准他人转移自己的 Token。黑客可以利用这 种方法来进行攻击,例如,他们可以建立一个钓鱼网站,将登录钱包的按钮替换为 Permit,从而轻 易地获取到用户的签名。
Permit2 并非 ERC-20 的标准功能,而是由 Uniswap 为了用户便利性而推出的一种特性。此功能 让 Uniswap 的用户在使用过程中只需要支付一次 Gas 费用。然而,需要注意的是,如果你曾使用 过 Uniswap,并且你向合约授权了无限额度,那么你可能会成为 Permit2 钓鱼攻击的目标。
Permit 和 Permit2 是离线签名方式,受害者钱包地址无需支付 Gas,钓鱼者钱包地址会提供授权上链操作,因此,这两种签名的授权痕迹只能在钓鱼者的钱包地址中看到。现在 Permit 和 Permit2 签名钓鱼已经是 Web3 资产安全领域的重灾区。
该场景下,OKX Web3 钱包拦截功能如何发挥作用?
OKX Web3 钱包会通过对待签交易进行前置解析,若解析发现交易为授权行为且授权的地址为 EOA 地址时,则为用户告警提醒,防止用户被钓鱼攻击,造成资产损失。
结语
总的来讲,2024 年上半年,空投钓鱼邮件和项目官方账户遭黑等安全事件仍频发。用户在享受这些空投和活动带来收益的同时,也面临着前所未有的安全风险。黑客通过伪装成官方的钓鱼邮件、假冒地址等手段,诱骗用户泄露私钥或进行恶意转账。此外,一些项目官方账户也遭到黑客攻击,导致用户资金损失。对于普通用户来讲,在这样的环境下,最重要的就是提高防范意识,深入学习安全知识。同时,尽可能选择风控靠谱的平台。
风险提示及