سرقت میلیون دلاری Permit

انتشار

1404-06-29
کد خبر

2534

T T

لینک مستقیم خبر

هشدار درباره سرقت‌های فیشینگ با امضای Permit

یک نهنگ کریپتو بیش از ۶ میلیون دلار اتریوم استیک‌شده (stETH) و بیت‌کوین رَپ‌شده در آوه (aEthWBTC) را در تاریخ ۱۸ سپتامبر، پس از امضای تأییدیه‌های مخرب در یک حمله فیشینگ از دست داد. این موضوع را شرکت امنیت بلاکچین Scam Sniffer گزارش کرده است.

طبق اعلام این شرکت، مهاجمان امضای جعلی خود را به‌عنوان یک تأیید معمولی کیف پول و از طریق امضای "Permit" جا زدند. این روش قربانی را فریب داد تا اجازه انتقال دارایی‌ها را صادر کند، بدون اینکه هیچ نشانه هشدار جدی یا تراکنش مشکوکی در شبکه ثبت شود.

یوی شیان (Yu Xian)، بنیان‌گذار شرکت امنیتی SlowMist، توضیح داد که قربانی خطر را درک نکرده زیرا این تراکنش هیچ هزینه گس نداشت. او نوشت:

«از دید قربانی، فقط چند بار روی تأیید پاپ‌آپ‌های کیف پول کلیک کرد، حتی یک سنت هم کارمزد نداد، و ۶.۲۸ میلیون دلار یک‌باره ناپدید شد.»

نحوه کارکرد سوءاستفاده از Permit

سیستم Permit در اصل طراحی شده بود تا انتقال توکن‌ها را ساده‌تر کند. به جای ثبت یک تراکنش روی زنجیره و پرداخت کارمزد، کاربر می‌تواند یک پیام خارج از زنجیره را امضا کند و به یک فرد یا قرارداد اجازه دهد.

اما همین کارایی، سطح حمله جدیدی برای هکرها ایجاد کرده است. وقتی کاربر چنین پیامی را امضا کند، مهاجم می‌تواند با ترکیب دو تابع Permit و TransferFrom دارایی‌ها را به طور مستقیم برداشت کند. از آنجایی که این مجوز خارج از زنجیره صادر می‌شود، داشبورد کیف پول هیچ فعالیت غیرعادی‌ای نشان نمی‌دهد، تا وقتی که دارایی‌ها عملاً منتقل شوند.

به این ترتیب، دارایی‌ها در لحظه اجرای مجوز روی زنجیره از دست می‌روند و مستقیم به کیف پول مهاجم می‌رسند. همین موضوع باعث شده سوءاستفاده از Permit به یکی از روش‌های محبوب هکرها تبدیل شود، چون بدون نیاز به هک‌های پیچیده یا جنگ‌های پرهزینه گس، میلیون‌ها دلار را می‌توانند سرقت کنند.

روند رو به رشد حملات فیشینگ

این سرقت تازه بخشی از روند بزرگ‌تر افزایش کمپین‌های فیشینگ است.

طبق گزارش Scam Sniffer، تنها در ماه آگوست هکرها بیش از ۱۲.۱۷ میلیون دلار از ۱۵,۲۰۰ قربانی به سرقت برده‌اند. این رقم نسبت به جولای ۷۲٪ افزایش داشته است.

بخش عمده این ضررها مربوط به سه حساب بزرگ بوده که تقریباً نیمی از کل خسارت را به خود اختصاص داده‌اند. از جمله یک کیف پول که به تنهایی ۳.۰۸ میلیون دلار از دست داد.

به گفته این شرکت، دلیل این افزایش چشمگیر، رشد حملات مبتنی بر EIP-7702 (امضاهای دسته‌ای) و همچنین انتقال مستقیم دارایی‌ها به قراردادهای مخرب بوده است.

کارشناسان امنیتی در نتیجه هشدار داده‌اند که کاربران کریپتو باید هنگام مواجهه با درخواست‌های کیف پول دقت زیادی داشته باشند و به هیچ عنوان اجازه‌های نامحدود به کیف پول خود ندهند.