จากการแก้ปัญหาเป็นความเสี่ยง: การอนุญาตเป็นช่องโหว่ใหม่ได้อย่างไร?
1. ภาพรวมของใบอนุญาต
เรามาเริ่มต้นด้วยเรื่องราวเรื่องราวเรื่องเรื่องเกี่ยวกับการยืมเงิน:
ฉันวางแผนที่จะยืมหนึ่งล้านจากเพื่อนที่ดีของฉัน แจ็คมา โดยไม่ลังเล, แจ็คมารับโทรศัพท์ไป, โทรหาธนาคาร, และหลังจากที่ตรวจสอบสิทธิ์ของเขาแล้ว, บอกธนาคารว่า “ฉันยืนยันให้ท่านทราบว่าฉันจะมอบอำนาจให้ใครบางคนถอนหนึ่งล้าน” ธนาคารยอมรับและบันทึกการอนุญาตนี้
ขั้นตอนถัดไปคือฉันจะไปที่ธนาคารและบอกเจ้าหน้าที่ว่าฉันมาถอนหนึ่งล้านที่จักรวาลอนุญาต เธอจะตรวจสอบบันทึกการอนุญาตและหลังจากยืนยันว่าฉันคือคนที่ถูกต้องเธอจะส่งมอบหนึ่งล้าน
เรื่องนี้เป็นการเปรียบเทียบที่ดีสําหรับวิธีการทํางานของการอนุมัติการอนุมัติบน Ethereum ในกระบวนการนี้มีเพียง Jack Ma (เจ้าของสินทรัพย์) เท่านั้นที่สามารถโทรหาธนาคารเพื่อให้การอนุมัติ (on-chain) และธนาคาร (สัญญาโทเค็น) จัดการการอนุญาตเหล่านี้ หลังจากนี้ฉัน (ผู้มีอํานาจ) สามารถถอนเงินจํานวนไม่เกินการอนุญาตได้ หากธนาคารไม่พบบันทึกการอนุมัติคําขอถอนเงินของฉันจะถูกปฏิเสธอย่างไม่ต้องสงสัย
ตอนนี้ ถ้าเราใช้วิธีการอนุญาตแบบต่างกัน - อนุญาต มันจะเกิดอะไรขึ้นถ้าเรายืมเงินจาก Jack Ma แบบนั้นล่ะ?
คราวนี้ฉันขอยืมเงินอีกหนึ่งล้าน แม้ว่าจะเจ๊คมาเป็นคนใจดีแต่ยังเลยไม่ไปโทรหาธนาคารแต่เป็นการดึงเช็คบุ๊คออกมาเตรียมเงินให้ฉัน หลังจากนั้นฉันก็พกเช็คไปยังธนาคาร แม้ว่าธนาคารจะไม่มีบันทึกการอนุญาตใด ๆ แต่ธนาคารสามารถยืนยันลายเซ็นเจ็คมาบนเช็คได้และจากนั้นมอบเงินให้ฉันตามจำนวนที่ระบุ
ตอนนี้คุณอาจเห็นความแตกต่างในกระบวนการได้แล้ว การอนุมัติเป็นฟังก์ชันระดับหลักของ ERC-20 ได้รับการใช้งานอย่างแพร่หลายตั้งแต่เร็วที่สุดหลังจาก Ethereum เปิดตัว ดังนั้นทำไมวิธีการอนุมัติถูกนำเสนอใน ERC-2612 เพื่อให้ได้ผลลัพธ์ที่คล้ายกัน?
2. เหตุใดต้องใช้ใบอนุญาต?
ข้อเสนอ ERC-2612 ถูกนำเสนอในเดือนมีนาคม 2019 และเสร็จสิ้นการตรวจทานสุดท้ายในตุลาคม 2022 การใช้งานของมันเกี่ยวข้องอย่างใกล้ชิดกับการกระทำที่แตกต่างกันของราคาก๊าซที่ Ethereum mainnet ประสบในช่วงเวลานั้น
รูปภาพ: ราคา Gas บนเครือข่ายหลัก ETH ยังคงสูงตั้งแต่ 2020 ถึง 2022
การผสมผสานระหว่างตลาดที่กำลังเติบโตอย่างรุนแรงและผลกระทบทางการเงินจากโครงการบนเชืองซอฟต์แวร์ใหม่เอฟเฟกต์เป็นที่น่าตื่นเต้นของผู้ใช้ที่ปฏิบัติการในเชืองซอฟต์แวร์หลังบ้าน พวกเขาเต็มใจจ่ายค่าธรรมเนียมสูงขึ้นเพื่อให้ท่านดำเนินการในเชืองซอฟต์แวร์ได้เร็วขึ้น เพราะบางครั้งการยืนยันแม้แค่หนึ่งบล็อกก่อนก็อาจทำให้รับผลตอบแทนสูงขึ้นอย่างมีนัยสำคัญ
อย่างไรก็ตามสิ่งนี้นําไปสู่ข้อเสีย: เมื่อผู้ใช้ต้องการซื้อขายโทเค็นแบบ on-chain พวกเขามักจะต้องทนกับค่าธรรมเนียมก๊าซที่สูงเกินไป ภายใต้วิธีการอนุมัติ ให้ดําเนินการแลกเปลี่ยนโทเค็นเดียวให้เสร็จสมบูรณ์จําเป็นต้องมีธุรกรรมสองรายการ (TX) สําหรับผู้ใช้ที่มีเงินน้อยกว่าค่าธรรมเนียมการทําธุรกรรมอาจเป็นฝันร้าย
การแนะนําใบอนุญาตของ ERC-2612 เปลี่ยนกระบวนการนี้โดยแทนที่การอนุมัติแบบ on-chain ด้วยลายเซ็นออฟไลน์ซึ่งไม่จําเป็นต้องส่งทันที ผู้ใช้จะต้องให้สิทธิ์เมื่อโอนโทเค็นคล้ายกับในเรื่องการยืมฉันจําเป็นต้องแสดงเช็คของแจ็คหม่าเมื่อถอนเงินจากธนาคารเท่านั้น
Jack Ma ที่ไม่ว่างเพียงทำตามตัวเองพูดคุยไม่กี่คำ แล้วผู้ใช้ก็ดูเหมือนมีการประหยัด TX ไปอีกหนึ่งรายการ ในขณะที่ราคาน้ำมันสูง การประหยัดค่าธรรมเนียมสามารถมีความสำคัญ ทำให้ดูเหมือนเป็นสถานการณ์ที่ชนะ-ชนะ อย่างไรก็ตาม พวกเขาไม่เข้าใจว่ากล่องแพนโดร่ากำลังถูกเปิดอย่างลับล่อ...
3. การเติบโตอย่างรวดเร็วเหมือนการปะทุเม็ดไฟฟ้า
ก่อนการเกิดขึ้นของ Permit หนึ่งในกลยุทธ์ทั่วไปที่แฮกเกอร์ใช้ในการฟิชชิ่งผู้ใช้ crypto คือการหลอกให้พวกเขาลงนามในธุรกรรมอนุมัติ เนื่องจากธุรกรรมเหล่านี้ต้องการให้ผู้ใช้ใช้ก๊าซจึงมักทําให้เกิดความสงสัยทําให้แฮกเกอร์ประสบความสําเร็จได้ยากขึ้น แม้ว่าผู้ใช้จะคลิกธุรกรรมโดยไม่ตั้งใจ แต่ความจริงที่ว่าต้องใช้เวลาพอสมควรในการยืนยันแบบ on-chain ทําให้พวกเขามีโอกาสส่งธุรกรรมอื่นด้วย nonce เดียวกันเพื่อยกเลิกทําให้แฮกเกอร์ดึงแผนการของพวกเขาออกได้ยาก
อย่างไรก็ตามการมาถึงของ Permit เป็นเหมือนความฝันที่เป็นจริงสําหรับแฮกเกอร์ ซึ่งแตกต่างจากการอนุมัติใบอนุญาตไม่ใช้ก๊าซและต้องใช้ลายเซ็นเท่านั้นซึ่งช่วยลดการป้องกันของผู้ใช้ลงอย่างมาก นอกจากนี้เนื่องจากลักษณะของลายเซ็นออฟไลน์การควบคุมจึงอยู่ในมือของแฮ็กเกอร์ ไม่เพียง แต่ผู้ใช้จะไม่มีโอกาสยกเลิกข้อผิดพลาด แต่แฮกเกอร์ยังสามารถระงับการอนุญาตและโจมตีในช่วงเวลาที่ได้เปรียบที่สุดเพื่อเพิ่มผลกําไรสูงสุด
นี้ได้ส่งผลให้มีจำนวนผู้เสียหายจากการลวงโจมตีเพิ่มขึ้นและจำนวนเงินที่ถูกขโมยเพิ่มขึ้นอย่างมีนัยสำคัญ ตามสถิติจาก @ScamSniffer"">@ScamSniffer:
- ในปี 2023 เจ้าของบัญชีที่ถูกหลอกลวงสูญเสียเงินทั้งหมด 295 ล้านดอลลาร์
- ในครึ่งแรกของปี 2024 ยอดขายนี้ได้เกิน 314 ล้านดอลลาร์แล้ว
- By the end of Q3 2024, a major incident occurred: the wallet address of a high-profile figure, suspected to be Shenyu, fell victim to a Permit phishing attack, resulting in the loss of 12,000 spWETH, worth around 200 million RMB.
รูปภาพ: รายงานการโจมตีการหลอกลวงโดย ScamSniffer ในครึ่งแรกของปี 2024
สถานการณ์แบบนี้น่าจะเกินความคาดหวังของนักพัฒนาต้นฉบับ จุดประสงค์ของการนำเสนอใบอนุญาตคือเพื่อลดค่าแก๊ส เพิ่มประสบการณ์ของผู้ใช้ และเพิ่มประสิทธิภาพ สิ่งที่คิดว่าเป็นด้ามมีคมสองด้าน ทั้งกำไรและขาดทุน กลับกลายเป็นด้ามที่มีดคมด้านเดียว - คมมาก - ทำให้เกิดรอยขวางในโล่ที่ควรจะป้องกันสินทรัพย์ของผู้ใช้
การอนุญาตไม่ใช่วิธีการอนุญาตเดียวที่พื้นฐานบนลายเซ็นต์ ตัวอย่างเช่น Uniswap ภายหลังมีการเปิดใช้งาน Permit2 ซึ่งอนุญาตให้ทุกๆ โทเค็น ERC-20 สนับสนุนลายเซ็นต์แบบออฟไลน์ ในฐานะ DEX อันดับ 1 การกระทำของ Uniswap เพิ่มความเชื่อมั่นของผู้ใช้ในลายเซ็นต์แบบออฟไลน์ได้อีกเสริม ซึ่งอย่างต่อมาเพิ่มความเสี่ยงต่อการโจมตีด้วยวิธีการฟิชชิ่ง
4. วิธีการหลีกเลี่ยงความเสี่ยง
เป็นผู้ใช้ทั่วไปเราสามารถทำอย่างไรเพื่อหลีกเลี่ยงการสูญเสียและป้องกันตัวเองจากดาโมเคลส์ เป็นมีดคมที่แขวนอยู่เหนือเรา?
1⃣ เพิ่มความตระหนักรู้
เมื่อถูกต้องด้วย airdrops ให้สงบใจ
การกระจายเหรียญจากโครงการที่เกี่ยวกับสกุลเงินดิจิทัลอาจดูดความสนใจ แต่ส่วนใใหญ่แล้วมันเป็นการโจมตีแฟรอลท์ที่ปลอมตัวเป็นการกระจายเหรียญ เมื่อพบข้อมูลที่คล้ายกัน อย่ารีบที่จะอ้างสิทธิ์ แต่ควรทำการตรวจสอบความถูกต้องของการกระจายเหรียญและเว็บไซต์ทางการจากแหล่งข้อมูลหลายแหล่งเพื่อหลีกเลี่ยงการตกลงกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับหลีกเลี่ยงการเซ็นต์ทำอย่างบ้าบิ่น
หากคุณเข้าสู่เว็บไซต์ฟิชชิ่งโดยไม่ได้ตั้งใจและไม่ทราบให้ใช้เวลาสักครู่เพื่อตรวจสอบธุรกรรมอย่างรอบคอบเมื่อกระเป๋าเงินของคุณแจ้งให้คุณเซ็นชื่อ หากข้อกําหนดเช่น Permit, Permit2, Approval หรือ IncreaseAllowance ปรากฏขึ้นแสดงว่าธุรกรรมกําลังขออนุญาตโทเค็น ณ จุดนี้คุณควรระมัดระวังเพราะ airdrops ที่ถูกกฎหมายไม่ต้องการกระบวนการนี้ กระเป๋าเงินฮาร์ดแวร์ของ Keystone ได้ใช้คุณสมบัติการแยกวิเคราะห์และแสดงธุรกรรมช่วยให้ผู้ใช้เข้าใจรายละเอียดการทําธุรกรรมได้ดีขึ้นและหลีกเลี่ยงการลงนามแบบตาบอดซึ่งอาจนําไปสู่ผลกระทบร้ายแรงจากการตัดสินใจที่เร่งรีบ
ภาพ: Keystone Hardware Wallet, Rabby Wallet Parsing และการแสดงผลการทำธุรกรรมลายเซ็น Permit2
2⃣ ใช้เครื่องมือได้ดี
ScamSniffer
สำหรับผู้ใช้ทั่วไป การระบุเว็บไซต์ฉ้อโกงอย่างแม่นยำอาจเป็นเรื่องที่ท้าทายมาก และมีโอกาสที่จะมีเว็บไซต์ฉ้อโกงบางแห่งผ่านไปได้ โดยใช้ปลั๊กอินเบราว์เซอร์ของ ScamSniffer คุณจะได้รับการแจ้งเตือนเมื่อพยายามเข้าถึงเว็บไซต์ฉ้อโกงที่เป็นไปได้ ทำให้คุณมีโอกาสหยุดการติดต่อก่อนที่จะเป็นเรื่องสายตามากเกินไปเพิกถอน
Revoke.cashช่วยให้คุณดูการอนุญาตโทเค็นในกระเป๋าเงินของคุณได้ เราขอแนะนำให้เพิกเฉยการอนุญาตที่น่าสงสัยหรือไม่จำกัด ฝึกฝนการทำความสะอาดการอนุญาตของคุณอย่างสม่ำเสมอและจำกัดจำนวนเฉพาะที่จำเป็นเท่านั้น
3⃣ การแยกสินทรัพย์และ Multi-Sig
เหมือนกับการพูดที่ว่า อย่าวางไข่ทั้งหมดไว้ในตะกร้าเดียวกัน—หลักการนี้เป็นสิ่งที่สำคัญสำหรับสินทรัพย์ดิจิทัลเช่นกัน ตัวอย่างเช่น คุณสามารถเก็บจำนวนมากของสินทรัพย์ในกระเป๋าเย็นเช่น Keystone ในขณะที่ใช้กระเป๋าร้อนสำหรับธุรกรรมประจำวัน แม้แต่ถ้าคุณกลายเป็นเหยื่อของการโจมตี ยอดย่อยทั้งหมดของคุณจะไม่ถูกคัดค้าน
สำหรับผู้ที่ต้องการความปลอดภัยที่สูงขึ้น การใช้กระเป๋าเงิน multi-signature (multi-sig) สามารถเสริมความปลอดภัยได้อีกต่อไป สินทรัพย์ที่อยู่ใน multi-sig สามารถย้ายได้เมื่อถึงเกณฑ์ที่กำหนดในการอนุมัติกระเป๋าเงินบางอย่าง หากกระเป๋าเงินหนึ่งถูกบุกรุก แต่ไม่ได้มีการอนุมัติเกณฑ์ ฮักเกอร์จะไม่สามารถเข้าถึงสินทรัพย์ของคุณ
5. สรุป
แม้ว่าเราจะปฏิเสธไม่ได้ว่ามูลค่าที่ใบอนุญาตนํามา แต่จํานวนการโจรกรรมที่เพิ่มขึ้นยังแสดงให้เห็นว่าความเสี่ยงที่นําเสนออาจมีมากกว่าประโยชน์ของมัน เช่นเดียวกับวิธีการ ethsign แบบเก่าซึ่งเป็นที่ชื่นชอบของแฮกเกอร์เนื่องจากความสามารถในการอ่านไม่ดีและข้อบกพร่องด้านความปลอดภัยที่สําคัญตอนนี้ Permit ถูกปิดใช้งานโดยซอฟต์แวร์กระเป๋าเงินส่วนใหญ่โดยมีฟังก์ชันการทํางานแทนที่ด้วยทางเลือกที่ปลอดภัยกว่า
เนื่องจากเราเน้นไปที่การอนุญาต จะสามารถพบว่าเราก็อยู่ในจุดที่คล้ายกับที่ ethsign ต้องเผชิญหน้ากับ การปรับปรุงและอัปเกรดหรือการทิ้งไปอย่างสมบูรณ์แบบ นั่นเป็นคำถามที่นักพัฒนา ETH ต้องใช้เวลาในการพิจารณาและพูดคุย
ก่อนที่จะมีข้อสรุปใด ๆ Keystone มีเป้าหมายที่จะเพิ่มประสิทธิภาพในการป้องกันความเสี่ยงที่เกี่ยวข้องกับการอนุญาตบนกระเป๋าสตางค์ฮาร์ดแวร์ของมัน เรากำลังเริ่มโหวตเพื่อเพิ่มคุณลักษณะต่อไปนี้:
- แจ้งเตือนที่แข็งแกร่งสำหรับการทำธุรกรรม Permit/Permit2
- สลับเพื่อปิดการทำงานของฟังก์ชัน Permit/Permit2
Disclaimer:
- บทความนี้ทําซ้ําจาก [KeystoneCN] และลิขสิทธิ์เป็นของผู้เขียนต้นฉบับ [KeystoneCN], if you have any objection to the reprint, please contact ทีมเรียนรู้ของ Gate ทีมจะดำเนินการตามขั้นตอนที่เกี่ยวข้องเพื่อจัดการกับมันโดยเร็วที่สุด
- คำประกาศ: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงมุมมองส่วนตัวของผู้เขียนเท่านั้นและไม่ใช่คำแนะนำการลงทุนใด ๆ
- การแปลบทความเป็นภาษาอื่น ๆ ถูกดำเนินการโดยทีม Gate Learn หากไม่ได้กล่าวถึง การคัดลอก การกระจาย หรือการลอกเลียนบทความที่ถูกแปล ถือเป็นการละเมิด
Artículos relacionados
วิธีเดิมพัน ETH?
EVM (Ethereum Virtual Machine) คืออะไร?
Wrapped Ethereum (WETH) คืออะไร?
จากการแก้ปัญหาเป็นความเสี่ยง: การอนุญาตเป็นช่องโหว่ใหม่ได้อย่างไร?
1. ภาพรวมของใบอนุญาต
2. ทำไมต้องใช้ใบอนุญาต?
3. การเติบโตอย่างรวดเร็วเหมือนการระเบิดของภูเขาไฟ
4. วิธีการป้องกันความเสี่ยง?
5. สรุป
1. ภาพรวมของใบอนุญาต
เรามาเริ่มต้นด้วยเรื่องราวเรื่องราวเรื่องเรื่องเกี่ยวกับการยืมเงิน:
ฉันวางแผนที่จะยืมหนึ่งล้านจากเพื่อนที่ดีของฉัน แจ็คมา โดยไม่ลังเล, แจ็คมารับโทรศัพท์ไป, โทรหาธนาคาร, และหลังจากที่ตรวจสอบสิทธิ์ของเขาแล้ว, บอกธนาคารว่า “ฉันยืนยันให้ท่านทราบว่าฉันจะมอบอำนาจให้ใครบางคนถอนหนึ่งล้าน” ธนาคารยอมรับและบันทึกการอนุญาตนี้
ขั้นตอนถัดไปคือฉันจะไปที่ธนาคารและบอกเจ้าหน้าที่ว่าฉันมาถอนหนึ่งล้านที่จักรวาลอนุญาต เธอจะตรวจสอบบันทึกการอนุญาตและหลังจากยืนยันว่าฉันคือคนที่ถูกต้องเธอจะส่งมอบหนึ่งล้าน
เรื่องนี้เป็นการเปรียบเทียบที่ดีสําหรับวิธีการทํางานของการอนุมัติการอนุมัติบน Ethereum ในกระบวนการนี้มีเพียง Jack Ma (เจ้าของสินทรัพย์) เท่านั้นที่สามารถโทรหาธนาคารเพื่อให้การอนุมัติ (on-chain) และธนาคาร (สัญญาโทเค็น) จัดการการอนุญาตเหล่านี้ หลังจากนี้ฉัน (ผู้มีอํานาจ) สามารถถอนเงินจํานวนไม่เกินการอนุญาตได้ หากธนาคารไม่พบบันทึกการอนุมัติคําขอถอนเงินของฉันจะถูกปฏิเสธอย่างไม่ต้องสงสัย
ตอนนี้ ถ้าเราใช้วิธีการอนุญาตแบบต่างกัน - อนุญาต มันจะเกิดอะไรขึ้นถ้าเรายืมเงินจาก Jack Ma แบบนั้นล่ะ?
คราวนี้ฉันขอยืมเงินอีกหนึ่งล้าน แม้ว่าจะเจ๊คมาเป็นคนใจดีแต่ยังเลยไม่ไปโทรหาธนาคารแต่เป็นการดึงเช็คบุ๊คออกมาเตรียมเงินให้ฉัน หลังจากนั้นฉันก็พกเช็คไปยังธนาคาร แม้ว่าธนาคารจะไม่มีบันทึกการอนุญาตใด ๆ แต่ธนาคารสามารถยืนยันลายเซ็นเจ็คมาบนเช็คได้และจากนั้นมอบเงินให้ฉันตามจำนวนที่ระบุ
ตอนนี้คุณอาจเห็นความแตกต่างในกระบวนการได้แล้ว การอนุมัติเป็นฟังก์ชันระดับหลักของ ERC-20 ได้รับการใช้งานอย่างแพร่หลายตั้งแต่เร็วที่สุดหลังจาก Ethereum เปิดตัว ดังนั้นทำไมวิธีการอนุมัติถูกนำเสนอใน ERC-2612 เพื่อให้ได้ผลลัพธ์ที่คล้ายกัน?
2. เหตุใดต้องใช้ใบอนุญาต?
ข้อเสนอ ERC-2612 ถูกนำเสนอในเดือนมีนาคม 2019 และเสร็จสิ้นการตรวจทานสุดท้ายในตุลาคม 2022 การใช้งานของมันเกี่ยวข้องอย่างใกล้ชิดกับการกระทำที่แตกต่างกันของราคาก๊าซที่ Ethereum mainnet ประสบในช่วงเวลานั้น
รูปภาพ: ราคา Gas บนเครือข่ายหลัก ETH ยังคงสูงตั้งแต่ 2020 ถึง 2022
การผสมผสานระหว่างตลาดที่กำลังเติบโตอย่างรุนแรงและผลกระทบทางการเงินจากโครงการบนเชืองซอฟต์แวร์ใหม่เอฟเฟกต์เป็นที่น่าตื่นเต้นของผู้ใช้ที่ปฏิบัติการในเชืองซอฟต์แวร์หลังบ้าน พวกเขาเต็มใจจ่ายค่าธรรมเนียมสูงขึ้นเพื่อให้ท่านดำเนินการในเชืองซอฟต์แวร์ได้เร็วขึ้น เพราะบางครั้งการยืนยันแม้แค่หนึ่งบล็อกก่อนก็อาจทำให้รับผลตอบแทนสูงขึ้นอย่างมีนัยสำคัญ
อย่างไรก็ตามสิ่งนี้นําไปสู่ข้อเสีย: เมื่อผู้ใช้ต้องการซื้อขายโทเค็นแบบ on-chain พวกเขามักจะต้องทนกับค่าธรรมเนียมก๊าซที่สูงเกินไป ภายใต้วิธีการอนุมัติ ให้ดําเนินการแลกเปลี่ยนโทเค็นเดียวให้เสร็จสมบูรณ์จําเป็นต้องมีธุรกรรมสองรายการ (TX) สําหรับผู้ใช้ที่มีเงินน้อยกว่าค่าธรรมเนียมการทําธุรกรรมอาจเป็นฝันร้าย
การแนะนําใบอนุญาตของ ERC-2612 เปลี่ยนกระบวนการนี้โดยแทนที่การอนุมัติแบบ on-chain ด้วยลายเซ็นออฟไลน์ซึ่งไม่จําเป็นต้องส่งทันที ผู้ใช้จะต้องให้สิทธิ์เมื่อโอนโทเค็นคล้ายกับในเรื่องการยืมฉันจําเป็นต้องแสดงเช็คของแจ็คหม่าเมื่อถอนเงินจากธนาคารเท่านั้น
Jack Ma ที่ไม่ว่างเพียงทำตามตัวเองพูดคุยไม่กี่คำ แล้วผู้ใช้ก็ดูเหมือนมีการประหยัด TX ไปอีกหนึ่งรายการ ในขณะที่ราคาน้ำมันสูง การประหยัดค่าธรรมเนียมสามารถมีความสำคัญ ทำให้ดูเหมือนเป็นสถานการณ์ที่ชนะ-ชนะ อย่างไรก็ตาม พวกเขาไม่เข้าใจว่ากล่องแพนโดร่ากำลังถูกเปิดอย่างลับล่อ...
3. การเติบโตอย่างรวดเร็วเหมือนการปะทุเม็ดไฟฟ้า
ก่อนการเกิดขึ้นของ Permit หนึ่งในกลยุทธ์ทั่วไปที่แฮกเกอร์ใช้ในการฟิชชิ่งผู้ใช้ crypto คือการหลอกให้พวกเขาลงนามในธุรกรรมอนุมัติ เนื่องจากธุรกรรมเหล่านี้ต้องการให้ผู้ใช้ใช้ก๊าซจึงมักทําให้เกิดความสงสัยทําให้แฮกเกอร์ประสบความสําเร็จได้ยากขึ้น แม้ว่าผู้ใช้จะคลิกธุรกรรมโดยไม่ตั้งใจ แต่ความจริงที่ว่าต้องใช้เวลาพอสมควรในการยืนยันแบบ on-chain ทําให้พวกเขามีโอกาสส่งธุรกรรมอื่นด้วย nonce เดียวกันเพื่อยกเลิกทําให้แฮกเกอร์ดึงแผนการของพวกเขาออกได้ยาก
อย่างไรก็ตามการมาถึงของ Permit เป็นเหมือนความฝันที่เป็นจริงสําหรับแฮกเกอร์ ซึ่งแตกต่างจากการอนุมัติใบอนุญาตไม่ใช้ก๊าซและต้องใช้ลายเซ็นเท่านั้นซึ่งช่วยลดการป้องกันของผู้ใช้ลงอย่างมาก นอกจากนี้เนื่องจากลักษณะของลายเซ็นออฟไลน์การควบคุมจึงอยู่ในมือของแฮ็กเกอร์ ไม่เพียง แต่ผู้ใช้จะไม่มีโอกาสยกเลิกข้อผิดพลาด แต่แฮกเกอร์ยังสามารถระงับการอนุญาตและโจมตีในช่วงเวลาที่ได้เปรียบที่สุดเพื่อเพิ่มผลกําไรสูงสุด
นี้ได้ส่งผลให้มีจำนวนผู้เสียหายจากการลวงโจมตีเพิ่มขึ้นและจำนวนเงินที่ถูกขโมยเพิ่มขึ้นอย่างมีนัยสำคัญ ตามสถิติจาก @ScamSniffer"">@ScamSniffer:
- ในปี 2023 เจ้าของบัญชีที่ถูกหลอกลวงสูญเสียเงินทั้งหมด 295 ล้านดอลลาร์
- ในครึ่งแรกของปี 2024 ยอดขายนี้ได้เกิน 314 ล้านดอลลาร์แล้ว
- By the end of Q3 2024, a major incident occurred: the wallet address of a high-profile figure, suspected to be Shenyu, fell victim to a Permit phishing attack, resulting in the loss of 12,000 spWETH, worth around 200 million RMB.
รูปภาพ: รายงานการโจมตีการหลอกลวงโดย ScamSniffer ในครึ่งแรกของปี 2024
สถานการณ์แบบนี้น่าจะเกินความคาดหวังของนักพัฒนาต้นฉบับ จุดประสงค์ของการนำเสนอใบอนุญาตคือเพื่อลดค่าแก๊ส เพิ่มประสบการณ์ของผู้ใช้ และเพิ่มประสิทธิภาพ สิ่งที่คิดว่าเป็นด้ามมีคมสองด้าน ทั้งกำไรและขาดทุน กลับกลายเป็นด้ามที่มีดคมด้านเดียว - คมมาก - ทำให้เกิดรอยขวางในโล่ที่ควรจะป้องกันสินทรัพย์ของผู้ใช้
การอนุญาตไม่ใช่วิธีการอนุญาตเดียวที่พื้นฐานบนลายเซ็นต์ ตัวอย่างเช่น Uniswap ภายหลังมีการเปิดใช้งาน Permit2 ซึ่งอนุญาตให้ทุกๆ โทเค็น ERC-20 สนับสนุนลายเซ็นต์แบบออฟไลน์ ในฐานะ DEX อันดับ 1 การกระทำของ Uniswap เพิ่มความเชื่อมั่นของผู้ใช้ในลายเซ็นต์แบบออฟไลน์ได้อีกเสริม ซึ่งอย่างต่อมาเพิ่มความเสี่ยงต่อการโจมตีด้วยวิธีการฟิชชิ่ง
4. วิธีการหลีกเลี่ยงความเสี่ยง
เป็นผู้ใช้ทั่วไปเราสามารถทำอย่างไรเพื่อหลีกเลี่ยงการสูญเสียและป้องกันตัวเองจากดาโมเคลส์ เป็นมีดคมที่แขวนอยู่เหนือเรา?
1⃣ เพิ่มความตระหนักรู้
เมื่อถูกต้องด้วย airdrops ให้สงบใจ
การกระจายเหรียญจากโครงการที่เกี่ยวกับสกุลเงินดิจิทัลอาจดูดความสนใจ แต่ส่วนใใหญ่แล้วมันเป็นการโจมตีแฟรอลท์ที่ปลอมตัวเป็นการกระจายเหรียญ เมื่อพบข้อมูลที่คล้ายกัน อย่ารีบที่จะอ้างสิทธิ์ แต่ควรทำการตรวจสอบความถูกต้องของการกระจายเหรียญและเว็บไซต์ทางการจากแหล่งข้อมูลหลายแหล่งเพื่อหลีกเลี่ยงการตกลงกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับกับหลีกเลี่ยงการเซ็นต์ทำอย่างบ้าบิ่น
หากคุณเข้าสู่เว็บไซต์ฟิชชิ่งโดยไม่ได้ตั้งใจและไม่ทราบให้ใช้เวลาสักครู่เพื่อตรวจสอบธุรกรรมอย่างรอบคอบเมื่อกระเป๋าเงินของคุณแจ้งให้คุณเซ็นชื่อ หากข้อกําหนดเช่น Permit, Permit2, Approval หรือ IncreaseAllowance ปรากฏขึ้นแสดงว่าธุรกรรมกําลังขออนุญาตโทเค็น ณ จุดนี้คุณควรระมัดระวังเพราะ airdrops ที่ถูกกฎหมายไม่ต้องการกระบวนการนี้ กระเป๋าเงินฮาร์ดแวร์ของ Keystone ได้ใช้คุณสมบัติการแยกวิเคราะห์และแสดงธุรกรรมช่วยให้ผู้ใช้เข้าใจรายละเอียดการทําธุรกรรมได้ดีขึ้นและหลีกเลี่ยงการลงนามแบบตาบอดซึ่งอาจนําไปสู่ผลกระทบร้ายแรงจากการตัดสินใจที่เร่งรีบ
ภาพ: Keystone Hardware Wallet, Rabby Wallet Parsing และการแสดงผลการทำธุรกรรมลายเซ็น Permit2
2⃣ ใช้เครื่องมือได้ดี
ScamSniffer
สำหรับผู้ใช้ทั่วไป การระบุเว็บไซต์ฉ้อโกงอย่างแม่นยำอาจเป็นเรื่องที่ท้าทายมาก และมีโอกาสที่จะมีเว็บไซต์ฉ้อโกงบางแห่งผ่านไปได้ โดยใช้ปลั๊กอินเบราว์เซอร์ของ ScamSniffer คุณจะได้รับการแจ้งเตือนเมื่อพยายามเข้าถึงเว็บไซต์ฉ้อโกงที่เป็นไปได้ ทำให้คุณมีโอกาสหยุดการติดต่อก่อนที่จะเป็นเรื่องสายตามากเกินไปเพิกถอน
Revoke.cashช่วยให้คุณดูการอนุญาตโทเค็นในกระเป๋าเงินของคุณได้ เราขอแนะนำให้เพิกเฉยการอนุญาตที่น่าสงสัยหรือไม่จำกัด ฝึกฝนการทำความสะอาดการอนุญาตของคุณอย่างสม่ำเสมอและจำกัดจำนวนเฉพาะที่จำเป็นเท่านั้น
3⃣ การแยกสินทรัพย์และ Multi-Sig
เหมือนกับการพูดที่ว่า อย่าวางไข่ทั้งหมดไว้ในตะกร้าเดียวกัน—หลักการนี้เป็นสิ่งที่สำคัญสำหรับสินทรัพย์ดิจิทัลเช่นกัน ตัวอย่างเช่น คุณสามารถเก็บจำนวนมากของสินทรัพย์ในกระเป๋าเย็นเช่น Keystone ในขณะที่ใช้กระเป๋าร้อนสำหรับธุรกรรมประจำวัน แม้แต่ถ้าคุณกลายเป็นเหยื่อของการโจมตี ยอดย่อยทั้งหมดของคุณจะไม่ถูกคัดค้าน
สำหรับผู้ที่ต้องการความปลอดภัยที่สูงขึ้น การใช้กระเป๋าเงิน multi-signature (multi-sig) สามารถเสริมความปลอดภัยได้อีกต่อไป สินทรัพย์ที่อยู่ใน multi-sig สามารถย้ายได้เมื่อถึงเกณฑ์ที่กำหนดในการอนุมัติกระเป๋าเงินบางอย่าง หากกระเป๋าเงินหนึ่งถูกบุกรุก แต่ไม่ได้มีการอนุมัติเกณฑ์ ฮักเกอร์จะไม่สามารถเข้าถึงสินทรัพย์ของคุณ
5. สรุป
แม้ว่าเราจะปฏิเสธไม่ได้ว่ามูลค่าที่ใบอนุญาตนํามา แต่จํานวนการโจรกรรมที่เพิ่มขึ้นยังแสดงให้เห็นว่าความเสี่ยงที่นําเสนออาจมีมากกว่าประโยชน์ของมัน เช่นเดียวกับวิธีการ ethsign แบบเก่าซึ่งเป็นที่ชื่นชอบของแฮกเกอร์เนื่องจากความสามารถในการอ่านไม่ดีและข้อบกพร่องด้านความปลอดภัยที่สําคัญตอนนี้ Permit ถูกปิดใช้งานโดยซอฟต์แวร์กระเป๋าเงินส่วนใหญ่โดยมีฟังก์ชันการทํางานแทนที่ด้วยทางเลือกที่ปลอดภัยกว่า
เนื่องจากเราเน้นไปที่การอนุญาต จะสามารถพบว่าเราก็อยู่ในจุดที่คล้ายกับที่ ethsign ต้องเผชิญหน้ากับ การปรับปรุงและอัปเกรดหรือการทิ้งไปอย่างสมบูรณ์แบบ นั่นเป็นคำถามที่นักพัฒนา ETH ต้องใช้เวลาในการพิจารณาและพูดคุย
ก่อนที่จะมีข้อสรุปใด ๆ Keystone มีเป้าหมายที่จะเพิ่มประสิทธิภาพในการป้องกันความเสี่ยงที่เกี่ยวข้องกับการอนุญาตบนกระเป๋าสตางค์ฮาร์ดแวร์ของมัน เรากำลังเริ่มโหวตเพื่อเพิ่มคุณลักษณะต่อไปนี้:
- แจ้งเตือนที่แข็งแกร่งสำหรับการทำธุรกรรม Permit/Permit2
- สลับเพื่อปิดการทำงานของฟังก์ชัน Permit/Permit2
Disclaimer:
- บทความนี้ทําซ้ําจาก [KeystoneCN] และลิขสิทธิ์เป็นของผู้เขียนต้นฉบับ [KeystoneCN], if you have any objection to the reprint, please contact ทีมเรียนรู้ของ Gate ทีมจะดำเนินการตามขั้นตอนที่เกี่ยวข้องเพื่อจัดการกับมันโดยเร็วที่สุด
- คำประกาศ: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงมุมมองส่วนตัวของผู้เขียนเท่านั้นและไม่ใช่คำแนะนำการลงทุนใด ๆ
- การแปลบทความเป็นภาษาอื่น ๆ ถูกดำเนินการโดยทีม Gate Learn หากไม่ได้กล่าวถึง การคัดลอก การกระจาย หรือการลอกเลียนบทความที่ถูกแปล ถือเป็นการละเมิด
Artículos relacionados
วิธีเดิมพัน ETH?
EVM (Ethereum Virtual Machine) คืออะไร?