eth_sign

一、常见钓鱼手法分析 1. Permit 链下签名钓鱼 Permit 是针对 ERC-20 标准下授权的一个扩展功能，简单来说就是你可以签名批准其他地址来挪动你的 Token。其原理是你通过签名的方式表示被授权的地址可以通过这个签名来使用你的代币，然后被授权的地址拿着你的签名进行链上 permit 交互后就获取了调用授权并可以转走你的资产。 2. Permit2 链下签名钓鱼 Permit2 是 Uniswap 为了方便用户使用，在 2022 年底推出的一个智能合约，它是一个代币审批合约，允许代币授权在不同的 DApp 中共享和管理。 3. eth_sign 链上盲签钓鱼 eth_sign 是一种开放式签名方法，可以对任意哈希进行签名，攻击者只需构造出任意恶意需签名数据（如：代币转账，合约调用、获取授权等）并诱导用户通过 eth_sign 进行签名即可完成攻击。 4. personal_sign/signTypedData 链上签名钓鱼 personal_sign、signTypedData 是常用的签名方式，通常用户需要仔细核对发起者、域名、签名内容等是否安全，如果是有风险的，要格外警惕。 5. 授权钓鱼 攻击者通过伪造恶意网站，或者在项目官网上挂马，诱导用户对 setApprovalForAll、Approve、Increase Approval、Increase Allowance 等操作进行确认，获取用户的资产操作授权并实施盗窃。 6. 地址污染钓鱼 攻击者监控链上交易，之后根据目标用户历史交易中的对手地址进行恶意地址伪造，通常前 4～6 位和后 4～6 位与正确的对手方地址方相同，然后用这些恶意伪造地址向目标用户地址进行小额转账或无价值代币转账。 7. 更隐蔽的钓鱼，利用 CREATE2 绕过安全检测 Create2 是以太坊’Constantinople’升级时引入的操作码，允许用户在以太坊上创建智能合约。原来的 Create 操作码是根据创建者的地址和 nonce 来生成新地址的，Create2 允许用户在合约部署前计算地址。 二、钓鱼即服务 钓鱼攻击日益猖獗，也因不法获利颇丰，已逐步发展出以钓鱼即服务（Drainer as a Service, DaaS）的黑色产业链，比较活跃的如 Inferno/MS/Angel/Monkey/Venom/Pink/Pussy/Medusa 等，钓鱼攻击者购买这些 DaaS 服务，快速且低门槛的构建出成千上万钓鱼网站、欺诈账号等。 三、安全建议 （1）首先，用户一定不要点击伪装成奖励、空投等利好消息的不明链接； （2）官方社媒账户被盗事件也越来越多，官方发布的消息也可能是钓鱼信息，官方消息也不等于绝对安全； （3）在使用钱包、DApp 等应用时，一定要注意甄别，谨防伪造站点、伪造 App； （4）任何需要确认的交易或签名的消息都需要谨慎，尽量从目标、内容等信息上进行交叉确认。拒绝盲签，保持警惕，怀疑一切，确保每一步操作都是明确和安全的。 （5）另外，用户需要对本文提到的常见钓鱼攻击方式有所了解，要学会主动识别钓鱼特征。掌握常见签名、授权函数及其风险，掌握 Interactive（交互网址）、Owner（授权方地址）、Spender（被授权方地址）、Value（授权数量）、Nonce（随机数）、Deadline（过期时间）、transfer/transferFrom（转账）等字段内容。