1. Mikä on lupa?
Aloitetaan pienellä tarinalla rahan lainaamisesta:
Kuvittele, että haluan lainata 1 miljoonan ystävältäni Jack Ma:lta. Jack tarttuu epäröimättä puhelimeen ja soittaa pankkiin vahvistaen henkilöllisyytensä ja kehottaen pankkia myöntämään minulle 1 miljoonan nostorajan. Pankki tallentaa tämän valtuutuksen, ja minun tarvitsee vain käydä pankissa, tunnistautua ja nostaa valtuutettu summa. Jos pankki ei löydä valtuutusta, pyyntöni hylätään.
Tutkitaan nyt, miten tämä prosessi muuttuu eri menetelmän – Permit – avulla. Tässä skenaariossa, kun pyydän Jackilta 1 miljoonaa, hän ottaa esiin shekin, täyttää summan, allekirjoittaa sen ja ojentaa sen minulle. Vien shekin pankkiin, ja vaikka valtuutustietue puuttuu, pankki lunastaa shekin Jackin allekirjoituksen perusteella.
Tämä havainnollistaa Approve- ja Permit-toimintojen eroa. ERC-20:n olennainen ominaisuus Approve on ollut laajalti käytössä Ethereumin perustamisesta lähtien. Mutta miksi Permit otettiin käyttöön myöhemmin ERC-2612:n kautta saman vaikutuksen saavuttamiseksi?
2. Miksi lupaa tarvittiin?
ERC-2612 ehdotus esiteltiin maaliskuussa 2019 ja se valmistuu lokakuussa 2022. Sen kehittäminen osui samaan aikaan Ethereumin kaasuhintojen useiden piikkien kanssa. Markkinoiden vimma härkätaistelujen aikana sai käyttäjät käyttämään enemmän kaasumaksuja nopeampien transaktioiden saamiseksi, jolloin jopa yhden blokin etu saattoi merkitä huomattavaa voittoa.
Tämä ilmiö aiheutti kuitenkin taakkaa käyttäjille, sillä hyväksynnän edellyttämä kahden tapahtuman prosessi tuli kalliiksi erityisesti niille, joilla oli pienemmät varat. Permitin käyttöönotto mahdollisti offline-allekirjoittamisen, jolloin välitöntä ketjussa tapahtuvaa hyväksyntää ei enää tarvittu. Tämä muutos tarkoitti sitä, että valtuutus voitiin antaa tokenin siirron ohessa, mikä muistuttaa shekin lunastamista ilman, että siihen vaadittaisiin etukäteen pankin hyväksyntää.
Vaikka tämä vaikutti hyödylliseltä – Jackille säästyi puhelinsoitto ja käyttäjille koituvat maksut pienenivät – se avasi tahattomasti Pandoran lippaan.
3. Riskien nopea kasvu
Ennen Permitiä hakkerit turvautuivat usein phishing-menetelmiin, joissa käyttäjiä vaadittiin allekirjoittamaan Hyväksy maksutapahtumat, joista aiheutui kaasumaksuja ja jotka herättivät huomiota. Vaikka käyttäjät napsauttivat vahingossa, ketjussa tapahtuvien tapahtumien aikaviiveen ansiosta he saattoivat peruuttaa toimenpiteen uudella tapahtumalla.
Lupa kuitenkin muutti pelin. Se poistaa kaasumaksut ja vaatii vain allekirjoituksen, mikä vähentää käyttäjien valppautta. Koska allekirjoitus on offline-tilassa, hakkerit voivat ottaa tilanteen haltuunsa ja käyttää sitä hyväkseen milloin haluavat, maksimoiden voittonsa.
Tämän muutoksen vaikutus näkyy selvästi phishing-uhrien määrän ja varastettujen summien kasvussa. @ScamSnifferin mukaan:
- Vuonna 2023 tietojenkalasteluvahingot olivat 295 miljoonaa dollaria.
- Vuoden 2024 puoliväliin mennessä tämä luku oli jo ylittänyt 314 miljoonaa dollaria.
- Vuoden 2024 kolmannella vuosineljänneksellä tapahtui merkittävä tapaus, jossa lompakko joutui Permit-fishing-hyökkäyksen uhriksi, minkä seurauksena menetettiin 12 000 $spWETH:n arvosta noin 30 miljoonan dollarin arvosta.
Permit-järjestelmää ehdottaneet kehittäjät eivät todennäköisesti osanneet ennakoida tällaisia tuloksia, sillä alun perin tavoitteena oli alentaa kaasukustannuksia ja parantaa käyttäjäkokemusta. Kaksiteräiseksi miekaksi tarkoitettu laite osoittautui teräväksi veitseksi, joka leikkaa käyttäjien omaisuutta ympäröiviä suojamerkkejä.
Samankaltaisia offline-allekirjoitusmenetelmiä on syntynyt, kuten Permit2, jonka Uniswap, mikä lisää riippuvuutta offline-allekirjoituksesta ja lisää phishing-riskiä.
4. Miten suojautua
Tämän uhan edessä käyttäjät voivat ryhtyä useisiin varotoimenpiteisiin tappioiden vähentämiseksi:
1. Tietoisuuden lisääminen
- Pysy varovaisena Airdrop-kiusausten suhteen: Airdropit voivat olla houkuttelevia, mutta monet niistä ovatkin phishing-yrityksiä. Varmista aina ennen osallistumista, että pudotusilmoitus on laillinen useista eri lähteistä.
- Vältä sokeaa allekirjoittamista: Jos menet vahingossa phishing-sivustolle ja näyttöön tulee maksutapahtumaikkuna, tarkista maksutapahtuman tiedot. Termit kuten Permit, Permit2, Approve tai IncreaseAllowance viittaavat mahdollisiin valtuutusongelmiin, jotka edellyttävät varovaisuutta. Keystonen kaltaiset laitteistolompakot voivat auttaa analysoimalla ja näyttämällä tapahtuman yksityiskohdat, mikä estää impulsiiviset toimet.
2. Hyödynnä työkaluja
- ScamSniffer: Tämä selainlaajennus varoittaa käyttäjiä ennen epäilyttävien URL-osoitteiden syöttämistä, jolloin he voivat keskeyttää vuorovaikutuksen välittömästi.
- Peruuta: Revoke.cash näyttää lompakossasi olevat token-valtuutustietueet ja kehottaa käyttäjiä peruuttamaan kaikki epäilyttävät tai rajoittamattomat valtuutukset. Valtuutusten säännöllinen puhdistaminen minimoi riskit.
3. Omaisuuserien eristäminen ja usean allekirjoituksen lompakot
Sanonta ”älä laita kaikkia munia yhteen koriin” pätee myös kryptovaroihin. Säilytä merkittävät varat kylmissä lompakoissa, kuten Keystonessa, ja käytä pieniä kuumia lompakoita päivittäisiin transaktioihin. Näin kaikki varat eivät ole vaarassa, vaikka yksi lompakko vaarantuisi.
Lisäsuojaa voivat tarjota usean allekirjoituksen lompakot. Varoihin pääsee käsiksi vain, jos lompakko on hyväksytty ennalta määrätyllä määrällä, mikä varmistaa, että yksi ainoa vaarantunut lompakko ei johda täydelliseen menetykseen.
5. Päätelmät
Vaikka emme voi kieltää luvan tuomaa arvoa, varkauksien lisääntyminen viittaa siihen, että sen riskit saattavat olla suuremmat kuin sen hyödyt. Samoin kuin aikoinaan yleistynyt ethsign-menetelmä, josta lopulta luovuttiin turvallisuusongelmien vuoksi, Permit on nyt kriittisen hetken edessä. Kehittäjien on harkittava tarkkaan, pitäisikö tätä menetelmää kehittää vai luopua siitä.