作者：Biteye，來源：作者推特@BiteyeCN

9月28日，一地址由于網絡釣魚攻擊損失約3233萬美元，該地址據傳可能與幣圈大佬神魚相關。無獨有偶，10月11日，一筆價值3500萬美元的fwDETH資產再次被釣魚團伙竊取。短短半月內，已有總價值超過4.7億人民幣的虛擬資產因Permit簽名釣魚攻擊而難以追回。

Permit簽名釣魚為何如此厲害？就連幣圈大佬也接連中招？

Permit簽名是怎么被用來實施釣魚攻擊的？

根據上述的介紹，當用戶誤入釣魚網站，點擊鏈接被黑客獲取了簽名，隨后黑客用簽名信息上鏈提交permit，實現對用戶資產的控制并進行轉移。

攻擊步驟：進入釣魚網站-在釣魚網站上鏈接錢包進行了簽名-黑客獲取簽名通過permit竊取資產

例如，下面是一個釣魚網站的惡意簽名：圖片最上方顯示這是一個zksync的釣魚網站，下方的permit簽名顯示該錢包（owner）正在授權給一個地址（spender），往下的value是授權的Tokens數量，deadline是時間戳，在給定時間前均有效。

如何避免Permit簽名釣魚攻擊

Permit簽名釣魚攻擊并非完全不可預防，大多數用戶遭受損失都曾接連犯下多個安全錯誤。

首先，用戶應將囤幣的錢包和DeFi交互的錢包區分開，在鏈接錢包、簽名或授權前認真檢查網址，確保自己進入了正確的網站；

一些網站也會出現合約被黑客惡意替換的情況，我們在點擊簽名或授權前，應該認真閱讀錢包跳出的Singnaturerequest信息，確保授權目前地址正確，且資產和金額在可控范圍內；

最后，我們可以通過安全插件如@wallet_guard@realScamSniffer來幫助識別異常風險，不定期使用授權工具如RevokeCash（https://revoke.cash）查看是否有異常授權。同時，選擇使用如@Rabby_io等插件錢包，也可以獲得更具可讀性的簽名信息。