网络钓鱼泛滥，不断有用户成为批准钓鱼签名的受害者。2024年2月22日，比特丛林再次收到用户求助。又一名用户称其访问了一个钓鱼网站，导致其价值百万的加密货币资产被盗。

比特丛林安全研究员分析并还原了整个被盗过程，希望此文提醒到各位谨慎防范。

被盗过程

受害者访问了网站 https://ethena-finance.org/

随后就发现自己代币就被转走了

https://basescan.org/tx/0x2115c1ec1b54412a5f0b146f8d8bb147ae46dc79e9d4dc528cf094197ddcc2e4

经过分析发现是黑客通过permit函数进行钓鱼授权。

具体流程如下：

1、黑客通过钓鱼网站获取了受害者 0x9d547eae28234d55062666d17408a838d7660e1d 的签名

2、黑客使用create2生成合约地址0x3ea230d7bcc46d60624536f4ea1499c8007e333c

3、黑客使用permit函数通过已经获取到的签名进行授权

4、地址 0x3ea230d7bcc46d60624536f4ea1499c8007e333c 获取到受害者 0x9d547eae28234d55062666d17408a838d7660e1d 在 base 网络上转移 USDC的批准

5、随后通过0x3ea230d7bcc46d60624536f4ea1499c8007e333c进行资产的转移

如何防范

1、谨慎识别Permit签名格式，不了解不理解签名内容的情况下，不要贸然点击授权。甚至是访问安全未知的网站时务必谨慎，直接拒绝授权任何未知的网站或应用程序。

2、定时检查已授权项目，如不使用，及时撤销授权。教程：可打开主流浏览器（如etherscan/bscscan/tronscan），连接钱包后，点账户-权限设置，查看已授权信息。

3、做好地址隔离，将大额资产隔离存放，与常用钱包分隔开。各类钱包的安全等级：冷钱包>头部交易所热钱包>浏览器插件热钱包。用于频繁链上交互的热钱包不要放大量资金。