1. Ce este permisul?
Să începem cu o mică poveste despre împrumutul de bani:
Imaginați-vă că vreau să împrumut 1 milion de la prietenul meu, Jack Ma. Fără ezitare, Jack ridică telefonul și sună la bancă, confirmându-și identitatea și dându-le instrucțiuni să autorizeze o limită de retragere de 1 milion pentru mine. Banca înregistrează această autorizație și tot ce trebuie să fac este să mă prezint la bancă, să mă identific și să retrag suma autorizată. Dacă banca nu poate găsi autorizația, cererea mea este respinsă.
Acum, să explorăm modul în care acest proces se schimbă cu o metodă diferită – permisiunea. În acest scenariu, când îi cer lui Jack 1 milion, el scoate un cec, completează suma, îl semnează și mi-l înmânează. Eu duc cecul la bancă și, chiar și fără o înregistrare de autorizare, banca îl încasează pe baza semnăturii lui Jack.
Aceasta ilustrează diferența dintre Approve și Permit. Approve, o caracteristică esențială a ERC-20, a fost utilizată pe scară largă de la lansarea Ethereum. Dar de ce Permit a fost introdus mai târziu prin ERC-2612 pentru a obține același efect?
2. De ce a fost nevoie de autorizație?
Propunerea ERC-2612 a fost introdusă în martie 2019 și finalizată în octombrie 2022. Dezvoltarea sa a coincis cu mai multe vârfuri ale prețurilor gazelor Ethereum. Frenezia pieței în perioadele de creștere a prețurilor a determinat utilizatorii să cheltuiască mai mult pe taxele de gaz pentru tranzacții mai rapide, unde chiar și un avantaj de un bloc ar putea însemna un profit substanțial.
Cu toate acestea, acest fenomen a creat o povară pentru utilizatori, deoarece procesul de două tranzacții necesar pentru Approve a devenit costisitor, în special pentru cei cu fonduri mici. Introducerea Permit a permis semnarea offline, eliminând necesitatea autorizării imediate pe lanț. Această schimbare a însemnat că autorizația poate fi furnizată împreună cu transferul de jetoane, asemănător cu încasarea unui cec fără a fi necesară aprobarea prealabilă a băncii.
Deși acest lucru părea benefic – economisindu-i lui Jack un apel telefonic și reducând taxele de tranzacționare ale utilizatorilor – a deschis din greșeală cutia Pandorei.
3. Creșterea rapidă a riscurilor
Înainte de Permit, hackerii se bazau adesea pe metode de phishing care cereau utilizatorilor să semneze tranzacțiile Approve, care suportau taxe de gaz și ridicau semne de întrebare. Chiar dacă utilizatorii făceau clic din greșeală, intervalul de timp pentru tranzacțiile pe lanț le permitea să inverseze acțiunea printr-o nouă tranzacție.
Permisul, însă, a schimbat regulile jocului. Acesta elimină taxele de gaz, necesitând doar o semnătură, ceea ce reduce vigilența utilizatorului. Deoarece semnarea este offline, hackerii pot prelua controlul și exploata situația oricând doresc, maximizându-și câștigurile.
Impactul acestei schimbări este evident în creșterea numărului de victime ale phishing-ului și a sumelor furate. Potrivit @ScamSniffer:
- În 2023, pierderile cauzate de phishing au atins 295 de milioane de dolari.
- Până la jumătatea anului 2024, această cifră depășise deja 314 milioane de dolari.
- În T3 2024, un incident semnificativ a implicat un portofel care a căzut victimă unui atac de phishing Permit, rezultând într-o pierdere de 12 000 $spWETH, în valoare de aproximativ 30 de milioane de dolari.
Astfel de rezultate au fost probabil neprevăzute de dezvoltatorii care au propus Permit, inițial cu scopul de a reduce costurile gazelor și de a îmbunătăți experiența utilizatorilor. Ceea ce s-a dorit a fi o sabie cu două tăișuri s-a dovedit a fi un cuțit ascuțit, care taie barierele de protecție din jurul activelor utilizatorilor.
Au apărut metode similare de semnare offline, precum Permit2 de la Uniswap, care crește dependența de semnarea offline și amplifică riscurile de phishing.
4. Cum să vă protejați
În fața acestei amenințări iminente, utilizatorii pot lua mai multe măsuri de precauție pentru a reduce pierderile:
1. Creșterea gradului de conștientizare
- Rămâneți precauți în fața tentațiilor Airdrop: Lansările aeriene pot fi atrăgătoare, dar multe sunt tentative de phishing. Verificați întotdeauna legitimitatea unui airdrop prin mai multe surse înainte de a participa.
- Evitați semnarea oarbă: Dacă intrați din greșeală pe un site de phishing și apare o fereastră de tranzacție, verificați detaliile tranzacției. Termeni precum „Permit”, „Permit2”, „Approve” sau „IncreaseAllowance” indică potențiale probleme de autorizare, justificând prudența. Portofelele hardware precum Keystone pot ajuta prin analizarea și afișarea detaliilor tranzacției, prevenind acțiunile impulsive.
2. Utilizarea instrumentelor
- ScamSniffer: Această extensie de browser alertează utilizatorii înainte de a introduce URL-uri suspecte, permițându-le să oprească interacțiunile cu promptitudine.
- Revocare: Revoke.cash afișează înregistrările autorizațiilor token în portofelul dvs., sfătuind utilizatorii să revoce orice autorizații suspecte sau nelimitate. Curățarea periodică a autorizațiilor minimizează riscurile.
3. Izolarea activelor și portofelele cu semnături multiple
Adagiul „nu-ți pune toate ouăle în același coș” se aplică și în cazul activelor criptografice. Stocați activele semnificative în portofele reci, precum Keystone, folosind portofele calde mici pentru tranzacțiile zilnice. În acest fel, chiar dacă un portofel este compromis, nu toate activele sunt în pericol.
Pentru o securitate sporită, portofelele cu semnături multiple pot oferi protecție suplimentară. Activele pot fi accesate numai cu un număr predeterminat de aprobări ale portofelului, asigurându-se că un singur portofel compromis nu va duce la o pierdere totală.
5. Concluzii
Deși nu putem nega valoarea pe care o aduce Permit, numărul tot mai mare de furturi sugerează că riscurile sale pot depăși beneficiile sale. La fel ca metoda etsign, cândva foarte răspândită, care a fost în cele din urmă abandonată din cauza problemelor de securitate, Permit se confruntă acum cu un moment critic. Dezvoltatorii trebuie să analizeze cu atenție dacă să îmbunătățească sau să abandoneze această metodă în viitor.