Pagkawala ng Pondo sa Pamamagitan ng Permit Signature Scams
Isang hacker ang nakakuha ng higit sa $440,000 sa USDC matapos na hindi sinasadyang pumirma ang may-ari ng wallet ng isang mapanlinlang na “permit” signature, ayon sa isang tweet ng Scam Sniffer noong Lunes. Ang pagnanakaw ay naganap sa gitna ng pagtaas ng mga pagkalugi sa phishing. Humigit-kumulang $7.77 milyon ang naubos mula sa higit sa 6,000 biktima noong Nobyembre, ayon sa buwanang ulat ng Scam Sniffer, na kumakatawan sa isang 137% na pagtaas sa kabuuang pagkalugi mula Oktubre, kahit na ang bilang ng mga biktima ay bumaba ng 42%.
Mechanics ng Permit-Based Scams
“Pinaigting ang whale hunting na may pinakamataas na paghit ng $1.22 milyon (permit signature). Sa kabila ng mas kaunting mga pag-atake, ang mga indibidwal na pagkalugi ay lumaki nang malaki,” sabi ng kumpanya.
Ang mga permit-based scams ay umiikot sa panlilinlang sa mga gumagamit na pumirma ng isang transaksyon na mukhang lehitimo ngunit tahimik na ibinibigay ang karapatan sa isang attacker na gastusin ang kanilang mga token. Ang mga mapanlinlang na dapps ay maaaring magtago ng mga field, mag-spoof ng mga pangalan ng kontrata, o ipakita ang kahilingan sa signature bilang isang bagay na karaniwan. Kung ang isang gumagamit ay nabigo na suriin ang mga detalye, ang pag-sign ng kahilingan ay epektibong nagbibigay ng pahintulot sa attacker na ma-access ang lahat ng ERC-20 tokens ng gumagamit.
Pag-abuso sa Permit Function ng Ethereum
Kapag naibigay na, karaniwang agad na inaubos ng mga scammer ang mga pondo. Ang pamamaraan ay umaabuso sa permit function ng Ethereum, na dinisenyo upang gawing mas madali ang mga transfer ng token sa pamamagitan ng pagpapahintulot sa mga gumagamit na i-delegate ang mga karapatan sa paggastos sa mga pinagkakatiwalaang aplikasyon. Ang kaginhawaan ay nagiging isang kahinaan kapag ang mga karapatang ito ay ibinibigay sa isang attacker.
“Ang partikular na nakakalito tungkol sa ganitong uri ng pag-atake ay ang mga attacker ay maaaring magsagawa ng permit at transfer ng tokens sa isang transaksyon (isang smash and grab na uri ng diskarte) o maaari nilang bigyan ang kanilang sarili ng access sa pamamagitan ng permit at pagkatapos ay manatiling dormant na naghihintay na ilipat ang anumang mga pondo na idinadagdag sa ibang pagkakataon,” sabi ni Tara Annison, head of product sa Twinstake, sa Decrypt.
Pag-iingat at Proteksyon
Idinagdag ni Annison na ang insidenteng ito ay hindi nag-iisa. “Maraming malalaking halaga at mataas na dami ng mga halimbawa ng phishing scams na dinisenyo upang linlangin ang mga gumagamit na pumirma ng isang bagay na hindi nila lubos na nauunawaan. Madalas na ginagawa sa ilalim ng anyo ng mga libreng airdrops, pekeng landing pages ng proyekto upang ikonekta ang iyong wallet [o] mga mapanlinlang na babala sa seguridad upang suriin kung ikaw ay naapektuhan,” dagdag niya.
Ang mga provider ng wallet ay naglalabas ng mas maraming proteksiyon na tampok. Ang MetaMask, halimbawa, ay nagbabala sa mga gumagamit kung ang isang site ay mukhang kahina-hinala at sinusubukang isalin ang data ng transaksyon sa layunin na madaling maunawaan. Ang iba pang mga wallet ay katulad na nagha-highlight ng mga mataas na panganib na aksyon. Ngunit patuloy na umaangkop ang mga scammer.
“Iyon ang pinakamalinaw na paraan upang malaman na kung ito ay isang protocol na hindi tumutugma sa kung saan ka talagang sinusubukang ipadala ang mga pondo, malamang na ito ay isang tao na sumusubok na magnakaw ng mga pondo,” aniya.
Pagbawi ng mga Nawala na Pondo
Kapag nawala na ang mga pondo, malamang na hindi na ito maibalik. Sinabi ni Martin Derka, co-founder at technical lead sa Zircuit Finance sa Decrypt na ang mga pagkakataon na maibalik ang mga pondo ay “basically zero.” “Sa mga phishing attacks, nakikitungo ka sa isang indibidwal na ang buong layunin ay kunin ang iyong mga pondo. Walang negosasyon, walang punto ng contact, at madalas walang ideya kung sino ang counterparty,” aniya.
“Ang mga attacker na ito ay naglalaro ng isang laro ng numero,” sabi ni Derka, idinagdag na, “Kapag nawala na ang pera, nawala na ito. Ang pagbawi ay sa katunayan ay imposible.”
