作者：Biteye，来源：作者推特@BiteyeCN

9月28日，一地址由于网络钓鱼攻击损失约3233万美元，该地址据传可能与币圈大佬神鱼相关。无独有偶，10月11日，一笔价值3500万美元的fwDETH资产再次被钓鱼团伙窃取。短短半月内，已有总价值超过4.7亿人民币的虚拟资产因Permit签名钓鱼攻击而难以追回。

Permit签名钓鱼为何如此厉害？就连币圈大佬也接连中招？

Permit签名是怎么被用来实施钓鱼攻击的？

根据上述的介绍，当用户误入钓鱼网站，点击链接被黑客获取了签名，随后黑客用签名信息上链提交permit，实现对用户资产的控制并进行转移。

攻击步骤：进入钓鱼网站-在钓鱼网站上链接钱包进行了签名-黑客获取签名通过permit窃取资产

例如，下面是一个钓鱼网站的恶意签名：图片最上方显示这是一个zksync的钓鱼网站，下方的permit签名显示该钱包（owner）正在授权给一个地址（spender），往下的value是授权的Tokens数量，deadline是时间戳，在给定时间前均有效。

如何避免Permit签名钓鱼攻击

Permit签名钓鱼攻击并非完全不可预防，大多数用户遭受损失都曾接连犯下多个安全错误。

首先，用户应将囤币的钱包和DeFi交互的钱包区分开，在链接钱包、签名或授权前认真检查网址，确保自己进入了正确的网站；

一些网站也会出现合约被黑客恶意替换的情况，我们在点击签名或授权前，应该认真阅读钱包跳出的Singnaturerequest信息，确保授权目前地址正确，且资产和金额在可控范围内；

最后，我们可以通过安全插件如@wallet_guard@realScamSniffer来帮助识别异常风险，不定期使用授权工具如RevokeCash（https://revoke.cash）查看是否有异常授权。同时，选择使用如@Rabby_io等插件钱包，也可以获得更具可读性的签名信息。