「沒有簽署鏈上交易，錢包裡的錢與 NFT 也可能全部丟失。」2/7，資安公司慢霧 (Slowmist) 創辦人余弦討論一起丟失 100 pufETH (市值將近 25 萬美金) 的事件，一位大戶被釣魚連結誘導簽署 permit 離線授權簽名，錢就全丟失了。

據鏈新聞早前報導《使用過 Uniswap 就有資安風險？鏈下簽名將如何導致資產遭竊取》:

「由於鏈下簽名並不需要燃料費用，是用戶經常忽略的安全性的環節，若其中遭到惡意網站誘導用戶簽下符合調用 Permit 函數的內容，那麼用戶的代幣就會遭到第三方竊取。」這種遇到不小心按下異常授權的狀況，也難以及時按下 Revoke 來撤回授權，馬上可以將資產轉走。

余弦表示，遇到這種狀況錢恐怕很難救得回來了。

以下將展示單一案例手法，以及可能防範的方式：

內容目錄

假貼文、假網頁，引誘按下致命按鈕

釣魚者用假帳號引誘上當

詐騙者會利用假推特帳號，在真實帳號的推文下留言，並提供公告或活動連結。如以下案例，假帳號的名稱相同，並擁有認證帳號，但實際上帳號名稱 @ 部分與官方並不相同。

利用假 EigenLayer 網頁利誘粗心的用戶

在假帳號提供的貼文中，提供了一個貌似官方的網頁，宣傳「可以獲得三倍積分點數」，仔細一看它的網址是「https://quests-eigenlayer.com/」(跟官方網址：https://www.eigenlayer.xyz/ 完全不同)

不需交易，按下錢包簽名後就遭殃

在連結錢包後，該網頁會要求你簽署一項離線授權簽名，由於不需要支付任何的網路費用，僅是允許簽名，就會讓許多人掉以輕心，以為是平常熟悉使用的網頁。一但按下後，就會給予釣魚攻擊者全部權限，自動將錢包內的資產轉移出去。(該釣魚者已獲得大量資金)

面對「離線授權簽名」風險，用戶該如何自保

鏈新聞報導建議，如果對於鏈下簽名的內容不熟悉，也有許多方式可以降低這類代幣設計的風險。

• 第一原則就是不要隨意簽署不熟悉的內容。
• 當出現 approvals 確認畫面時，將授權數量調整為本次交易所需數量 (雖然這樣多次交易會需要重複授權)
• 雖然簽署內容難追蹤，仍然可以嘗試使用工具盡量查詢 (revoke.cash)
• 使用保存小額資產的錢包進行鏈下簽名

超便利！防禦型工具介紹：Scam Sniffer

Scam Sniffer (https://www.scamsniffer.io/) 提供網頁擴充插件，可以在錢包交易對可疑交易發出警示，也能提醒「離線授權簽名」等簽名風險 ; 在交易發生時，會顯示實際轉移的資產與數量，為用戶提供多一層把關。

以上述的假網頁為例，Scam Sniffer 就會主動跳出警告。實測下，是非常實用的防護協助工具。