近期常見的三大Token釣魚手法解析

虛擬貨幣市場伴隨許多新興項目的投資而不斷增長，項目方常用到ERC-20協定來發行代幣，例如上個月很紅OpenAI CEO Sam Altman 的 Worldcoin、迷因幣 PEPE 及 HarryPotterObamaSonic10Inu 、柴犬幣 SHIB 等。ERC-20 交易很火熱的情況下也常常見到 ERC-20 token 釣魚手法的增加，本文我將為大家介紹Permit、Approve、Increase Allowance 這三個最近最常見的釣魚手法。

我近期正好在研究 Fake_Phishing182232 所衍伸的釣魚手法，剛好 Permit、Approve、Increase Allowance 的 Token 詐騙 都可以在 Fake_Phishing182232 這個地址上看到，可以作為參考。

先以結果而言，只要你對釣魚錢包地址或合約地址發起 Token 授權交易，那你就會將你的代幣使用權轉交到別人手中。

常見 Token 釣魚手法一、Permit

Permit function 用於執行 EIP712 簽名的內容，以 Uniswap 的 Permit2 為例，你需要放入原簽名者的地址、一個 tuple 結構簡述簽名內容、以及被 hash 過的簽章來驗證其內容。

在Permit釣魚方法中，受害者首先做了一個簽名的動作，簽名的內容指定了受害者要授權哪些代幣和數量給攻擊方，駭客(攻擊方)拿到了這個簽名之後就會主動將你的簽名拿去發起 Permit，將代幣的使用權轉移到自己手中。

簡單來說，Permit 是一個需要簽名當作依據才能進行的 function，在釣魚事件中，這是由攻擊方發起，所以只要受害者不要進行簽名，或者在尚未執行Permit 之前將簽名撤銷，就可以避免金錢的損失。你可以在 revoke.cash 找到如何撤銷簽名的方法: https://revoke.cash/learn/approvals/how-to-revoke-token-approvals

常見 Token 釣魚手法二、Approve

Approve 用於授權自己的 Token 或是 NFT 給別人，是 ERC-20 的標準 function 之一，常被用於兌換一種代幣為另一種代幣，他的對象是代幣合約，格式需要輸入一個地址跟一個數量，以表明需要授權給誰多少代幣。

在釣魚過程中，Token 的持有者向 Token 的項目合約主動發起 Approve，也就是由受害者告訴 Token 的項目合約，他要把多少的代幣授權給攻擊方，一旦受害者完成 Approve 之後，攻擊方就可以向該Token的項目合約進行Token轉移。

常見 Token 釣魚手法三、Increase Allowance

Increase Allowance 的結構很類似於 Approve，也是用來授權他人使用代幣，不過因為它並非協議所訂定的標準 function ，所以被使用的頻率相對較低一點。在釣魚過程中，攻擊方誘騙受害者點擊 Increase Allowance 來授權代幣給攻擊者。接著，攻擊者再將代幣轉移到自己的錢包。

完成了 Token 授權、Token 轉移這兩個交易動作，我們就可以在鏈上數據看到的完整釣魚步驟。當然，受害者不可能無緣無故進行 Token 授權，以下是一些可能造成受害者被釣魚的情境:

1. 安全升級: 要求受害者在一定時間內進行升級，否則可能面臨安全風險。
2. 提出誘因: 進行”某些動作”之後可以獲得空投、高報酬獲利。
3. 假冒熱門項目: 例如最近熱門的社交項目 tech 釋出之後，就有很多假冒的釣魚網站出現。
4. 知名人士或知名項目方的帳號被盜: 攻擊方盜用帳號之後，可能用來散播惡意鏈結網址。

這些釣魚網站通常經由Discord、Telegram、Twitter等社交軟體進行散播，最終的目的通常是誘騙受害者進行以太幣轉移或是 Token 授權。

拿這次的例子來說，我們可以在交易之前看清楚交易的內容，包含:

1. 交易網域的URL: 這是最容易被偽裝的地方
2. 交易的 function: 如果是簽名的話，現在都已經導入 EIP712 讓簽名內容以 JSON 格式表示，使用者可以清楚得查看簽名內容並確認後再執行交易。而如果是 Approve等授權操作就要看清楚交易對象囉！
3. 交易對象: 釣魚通常使用開頭和結尾是”0000”的地址，讓交易時UI畫面不會出現中間的代碼降低使用者戒心。

本文中的交易截圖來自https://twitter.com/realScamSniffer，如果有興趣也可以造訪他們的網站看看相關的釣魚手法。

或是可以藉由下方的連結查看原始的交易資訊:

Permit:https://etherscan.io/tx/0x75da35d45d3d38486281323adf585334632a6d32fabaf4a256ec495d9c48dab9

Increase Allownace:https://etherscan.io/tx/0xe721516fd30be302a0d265b9fd66e6f2f9fac32109ae53fecf4a8f3a10137315

Approve:https://etherscan.io/tx/0x6a5b9989e408bd497dce3f83dfb7b9dc51fd3d049c9f200f42ad1e97410310c2

https://etherscan.io/tx/0x5a70fa5c473d5d8e3c1664139bdcbf76348ecb4db9ff28019a7b49c24f6b1832

___________________________________________________________________________

作者阿原目前從事區塊鏈資料分析工作，對區塊鏈的經濟架構、事件發展有很大的興趣，並希望能將相關的區塊鏈知識分析並且統整給大家。如果喜歡我的文章，或是想獲得更多區塊鏈大小事，歡迎關注我的vocus帳號！

另外，我已經加入由趨勢科技防詐達人所成立的方格子專題－《區塊鏈生存守則》，在那裡我會跟其他優質的創作者一起帶大家深入瞭解區塊鏈，並隨時向大家更新區塊鏈資安事件。

＞ 追蹤《區塊鏈生存守則》學習如何在區塊鏈的世界保護自己

＞ 關注防詐達人獲得其他最新詐騙情報