Permit 簽名的安全挑戰與解決方案｜imToken 錢包安全月報 19 期

Permit 授權簽名風險揭示

最近，我們接到多名用戶反饋在谷歌搜索廣告後被引導至釣魚網站，並在該網站上進行了未知惡意簽名，導致代幣損失。其中一名用戶被盜走了約 2500 個 ARB，據了解，該用戶的 ARB 代幣被無限授權給了惡意合約地址 0x00005cA8824899d3f6c10522D9cc1b04E05A0000。

經調查，該惡意合約地址來自 Inferno Drainer 詐騙團伙。據 Scam Sniffer 監測數據，至今該詐騙團伙已詐取 4188 萬美元，受害者數量達 89484 人。他們創建了 689 多個釣魚網站，瞄準了 220 多個品牌，包括近期熱門的項目如 zkSync、Arbitrum、Optimism 和 Blur 等。

分析表明，這是由於用戶在某釣魚網站上通過鏈下簽名（Permit 授權簽名）造成的授權。這是一種允許用戶在不直接與區塊鏈交互的情況下授權交易的鏈下簽名機制，從而節省 Gas 費。然而，如上述用戶案例所示，這種簽名機制也為釣魚攻擊提供了機會。一旦釣魚者獲得了用戶的 Permit 簽名，就可以在用戶毫不知情的情況下轉走用戶已簽名授權的代幣。

請注意，在不了解簽名作用的情況下，切忌隨意簽名，很有可能是騙局！

了解更多：imToken 已支援「所見即所簽」

安全提醒

授權是區塊鏈交易中的常見操作，但也存在一定風險。我們需要謹慎審查每個授權請求，定期查看和管理授權，以保護代幣安全。

授權前確保驗證安全性

• 仔細研究： 使用新的去中心化應用前進行充分調研。了解背景、聲譽和開發團隊等，以確保可信任度。
• 驗證合約地址： 使用去中心化應用時，驗證合約地址的準確性。避免點擊不明連結或從未經驗證的來源獲取地址。
• 認準官方渠道： 務必從官方網站、社媒或應用商店下載應用，以防惡意軟件感染。
• 防範釣魚攻擊： 謹防釣魚攻擊，不輕易點擊不明連結，避免提供個人資訊或私鑰。

日常定期檢查和取消不明簽名授權

我們建議用戶定期使用安全檢查工具來檢查和取消不明的鏈下簽名授權，並在授權時設定適合的額度。

• 查看授權：打開 imToken 錢包，左滑功能欄找到並點擊「授權管理」進入 Revoke DApp，下滑即可看到授權情況。
• 取消授權：進入 Revoke DApp 後點擊右上角菜單欄，選擇「Connect Wallet」並依次點擊「WalletConnect」-「imToken」連接錢包。等成功連接錢包後，下滑在授權記錄列表中找到要取消授權的記錄，點擊 🖊️ 按鈕編輯「Approved Amount」，然後點擊「Update」簽名即可取消授權。
• 編輯授權：imToken 支援展示 Approve 和 Permit 兩種授權方式的詳情，包括授權額度、時間、代幣和合約詳情等。用戶可以通過點擊「編輯」直接修改授權額度和時間。

了解更多

除了 Permit 授權簽名之外，在之前的錢包安全月報中，我們披露的虛假網站騙局、短信騙局、助記詞騙局、授權詐騙等也不得不防。

• 虛假網站猖獗，詐騙套路升級
• 謹防 TRX 錢包賬戶權限更改騙局
• 我的密碼沒有洩漏，為什麼資產被盜走了？
• imToken 錢包安全月報 10 期：小心「零元購」 NFT 釣魚騙局！
• 關於新型騙局的三大疑惑

imToken 一直在行動

推出「所見即所簽」的簽名體驗

在區塊鏈交易中，不經意完成授權，導致簽名被盜並非罕見。為應對這類風險，imToken 推出全新設計的「簽名體驗」，在涉及簽名的每個環節，如登錄 DApp、轉賬、代幣兌換或是授權等，都進行了全面升級，讓用戶能夠輕鬆讀懂每一筆交易。

增強簽名風控系統

面對市場上日趨激烈的惡意簽名行為，imToken 對各種簽名場景下的潛在風險點做出了安全提示，大大加強了風控系統的防護能力。比如：

• 標記風險代幣，封禁風險地址和 DApp；
• 向合約地址轉賬時，彈出提醒，確保避免誤操作；
• 授權給普通賬戶時，彈出提醒，減少誤授權風險；
• 代幣兌換環節，一旦滑點過高，會彈出警告提醒。

轉賬給風險地址和合約地址時的安全提醒

安全風控

九月份，imToken 共標記風險代幣 511 個；封禁風險 DApp 網站 608 個；標記風險地址 2965 個。詳見風控數據。

另外，如果你發現了疑似風險的代幣或者 DApp，請及時反饋給我們：support@token.im，幫助更多用戶避免代幣損失。

最后

imToken 有上千萬的下載量，在這背後是龐大而真實的錢包用戶故事，我們身處一線，可以快速捕捉這類問題，一方面通過自身經驗幫助用戶解決，另一方面針對新型騙局，也可以反饋給社區，避免更多的用戶受災。無論你是哪款錢包的用戶，都可以從我們的月報中有所收穫。

所以，希望你在關注「imToken 錢包安全月報」的同時，也把這份月報帶給身邊的人，帶給同處於區塊鏈圈子裡的朋友。在錢包安全面前，沒有「大佬」，只有失去之後的追悔莫及。如果你有任何關於錢包安全方面的案件和素材，歡迎發送到 support@token.im 和我們一起構建錢包安全社區。