Analyse de la logique sous-jacente du phishing par signature Web3
Récemment, la "phishing par signature" est devenue l'une des méthodes de fraude les plus prisées par les hackers Web3. Bien que des experts du secteur et de nombreuses entreprises de portefeuilles et de sécurité continuent de sensibiliser, un grand nombre d'utilisateurs tombent encore dans le piège. L'une des principales raisons de cette situation est que la plupart des gens manquent de compréhension des mécanismes sous-jacents des interactions avec les portefeuilles, et que pour les non-techniciens, la courbe d'apprentissage est assez élevée.
Pour aider davantage de personnes à comprendre ce problème, nous allons essayer d'expliquer la logique sous-jacente du phishing par signature de manière simple et accessible.
Tout d'abord, nous devons comprendre qu'il y a principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de payer des frais de Gas ; tandis que l'interaction se produit sur la blockchain (sur chaîne) et nécessite le paiement des frais de Gas.
Les signatures sont généralement utilisées pour l'authentification, comme lors de la connexion à un portefeuille. Lorsque vous souhaitez échanger des jetons sur un DEX, vous devez d'abord connecter votre portefeuille, et à ce moment-là, une signature est nécessaire pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus n'entraîne aucune modification des données ou de l'état de la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction se produit lors de l'échange de jetons. Vous devez d'abord payer des frais et informer le contrat intelligent : "Je vous autorise à utiliser mes 100USDT", cette étape s'appelle l'autorisation (approve). Ensuite, vous devez encore payer des frais et informer le contrat intelligent : "Veuillez maintenant effectuer l'opération d'échange", afin de finaliser la transaction.
Après avoir compris la différence entre une signature et une interaction, présentons trois méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing autorisé est l'une des techniques d'escroquerie les plus classiques dans le Web3. Les hackers créent un site de phishing déguisé en projet NFT, incitant les utilisateurs à cliquer sur le bouton "réclamer l'airdrop". En réalité, l'interface de portefeuille qui s'affiche après le clic autorise l'adresse du hacker à utiliser les tokens de l'utilisateur. Une fois que l'utilisateur confirme, le hacker peut réussir à voler des actifs.
Cependant, la pêche par autorisation présente une faiblesse : en raison des frais de Gas, de nombreux utilisateurs seront plus vigilants lors des opérations financières, ce qui la rend relativement facile à prévenir.
La signature de phishing de Permit et Permit2 est actuellement une zone de désastre pour la sécurité des actifs Web3. Ces deux méthodes sont difficiles à prévenir car les utilisateurs doivent d'abord signer pour se connecter à leur portefeuille lorsqu'ils utilisent des DApp. Beaucoup de gens ont développé une pensée habituelle de "cette opération est sûre", d'autant plus qu'il n'est pas nécessaire de payer des frais, et la plupart des gens ne comprennent pas la signification de chaque signature.
Le mécanisme Permit est une fonctionnalité d'extension de l'autorisation sous le standard ERC-20. En termes simples, cela signifie que vous pouvez autoriser d'autres personnes à utiliser vos tokens par le biais d'une signature. Contrairement à l'autorisation (Approve), le Permit est une signature sur un "papier" qui permet à quelqu'un d'utiliser vos tokens. La personne qui détient ce "papier" peut payer les frais de Gas au contrat intelligent, informant le contrat : "il m'autorise à utiliser ses tokens", permettant ainsi le transfert de vos actifs. Dans ce processus, vous n'avez fait que signer, mais vous avez en réalité permis à d'autres d'appeler l'autorisation (Approve) et de transférer vos tokens.
Permit2 n'est pas une fonctionnalité d'ERC-20, mais plutôt une fonctionnalité mise en place par certains DEX pour faciliter l'utilisation par les utilisateurs. Il permet aux utilisateurs d'autoriser une grande somme de manière unique au contrat intelligent Permit2, après quoi chaque transaction nécessite seulement une signature, sans avoir besoin d'une nouvelle autorisation. Cela peut faire économiser des frais de Gas aux utilisateurs, mais cela augmente également les risques de sécurité.
Pour prévenir le phishing par signature, nous pouvons prendre les mesures suivantes :
Développez une conscience de la sécurité, vérifiez attentivement le contenu de l'opération chaque fois que vous effectuez une opération de portefeuille.
Séparez les fonds importants de votre portefeuille d'utilisation quotidienne afin de réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2. Soyez particulièrement vigilant lorsque vous voyez des signatures contenant les informations suivantes :
Interactif : site Web interactif
Propriétaire : adresse de l'autorisateur
Spender : adresse du mandataire autorisé
Valeur : Quantité autorisée
Nonce : nombre aléatoire
Deadline : Date d'expiration
En comprenant ces logiques sous-jacentes et en prenant des mesures préventives appropriées, nous pouvons mieux protéger la sécurité de nos actifs Web3.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
7 J'aime
Récompense
7
4
Partager
Commentaire
0/400
MetaverseLandlord
· 07-19 17:06
Il vaut mieux grimper sur la chaîne que de rester en bas de la prison.
Voir l'originalRépondre0
pumpamentalist
· 07-19 16:56
Il n'y a qu'une seule signature qui peut emporter vos jetons.
Voir l'originalRépondre0
MonkeySeeMonkeyDo
· 07-19 16:50
débutant reste mieux de ne pas jouer avec les signatures..
Voir l'originalRépondre0
faded_wojak.eth
· 07-19 16:47
Débutant joueur, se fait avoir tous les jours, tout le monde, envoyez vite quelques petits conseils.
Détails sur le phishing de signature Web3 : pièges et stratégies de prévention concernant les autorisations, les Permits et Permit2
Analyse de la logique sous-jacente du phishing par signature Web3
Récemment, la "phishing par signature" est devenue l'une des méthodes de fraude les plus prisées par les hackers Web3. Bien que des experts du secteur et de nombreuses entreprises de portefeuilles et de sécurité continuent de sensibiliser, un grand nombre d'utilisateurs tombent encore dans le piège. L'une des principales raisons de cette situation est que la plupart des gens manquent de compréhension des mécanismes sous-jacents des interactions avec les portefeuilles, et que pour les non-techniciens, la courbe d'apprentissage est assez élevée.
Pour aider davantage de personnes à comprendre ce problème, nous allons essayer d'expliquer la logique sous-jacente du phishing par signature de manière simple et accessible.
Tout d'abord, nous devons comprendre qu'il y a principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de payer des frais de Gas ; tandis que l'interaction se produit sur la blockchain (sur chaîne) et nécessite le paiement des frais de Gas.
Les signatures sont généralement utilisées pour l'authentification, comme lors de la connexion à un portefeuille. Lorsque vous souhaitez échanger des jetons sur un DEX, vous devez d'abord connecter votre portefeuille, et à ce moment-là, une signature est nécessaire pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus n'entraîne aucune modification des données ou de l'état de la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction se produit lors de l'échange de jetons. Vous devez d'abord payer des frais et informer le contrat intelligent : "Je vous autorise à utiliser mes 100USDT", cette étape s'appelle l'autorisation (approve). Ensuite, vous devez encore payer des frais et informer le contrat intelligent : "Veuillez maintenant effectuer l'opération d'échange", afin de finaliser la transaction.
Après avoir compris la différence entre une signature et une interaction, présentons trois méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing autorisé est l'une des techniques d'escroquerie les plus classiques dans le Web3. Les hackers créent un site de phishing déguisé en projet NFT, incitant les utilisateurs à cliquer sur le bouton "réclamer l'airdrop". En réalité, l'interface de portefeuille qui s'affiche après le clic autorise l'adresse du hacker à utiliser les tokens de l'utilisateur. Une fois que l'utilisateur confirme, le hacker peut réussir à voler des actifs.
Cependant, la pêche par autorisation présente une faiblesse : en raison des frais de Gas, de nombreux utilisateurs seront plus vigilants lors des opérations financières, ce qui la rend relativement facile à prévenir.
La signature de phishing de Permit et Permit2 est actuellement une zone de désastre pour la sécurité des actifs Web3. Ces deux méthodes sont difficiles à prévenir car les utilisateurs doivent d'abord signer pour se connecter à leur portefeuille lorsqu'ils utilisent des DApp. Beaucoup de gens ont développé une pensée habituelle de "cette opération est sûre", d'autant plus qu'il n'est pas nécessaire de payer des frais, et la plupart des gens ne comprennent pas la signification de chaque signature.
Le mécanisme Permit est une fonctionnalité d'extension de l'autorisation sous le standard ERC-20. En termes simples, cela signifie que vous pouvez autoriser d'autres personnes à utiliser vos tokens par le biais d'une signature. Contrairement à l'autorisation (Approve), le Permit est une signature sur un "papier" qui permet à quelqu'un d'utiliser vos tokens. La personne qui détient ce "papier" peut payer les frais de Gas au contrat intelligent, informant le contrat : "il m'autorise à utiliser ses tokens", permettant ainsi le transfert de vos actifs. Dans ce processus, vous n'avez fait que signer, mais vous avez en réalité permis à d'autres d'appeler l'autorisation (Approve) et de transférer vos tokens.
Permit2 n'est pas une fonctionnalité d'ERC-20, mais plutôt une fonctionnalité mise en place par certains DEX pour faciliter l'utilisation par les utilisateurs. Il permet aux utilisateurs d'autoriser une grande somme de manière unique au contrat intelligent Permit2, après quoi chaque transaction nécessite seulement une signature, sans avoir besoin d'une nouvelle autorisation. Cela peut faire économiser des frais de Gas aux utilisateurs, mais cela augmente également les risques de sécurité.
Pour prévenir le phishing par signature, nous pouvons prendre les mesures suivantes :
Développez une conscience de la sécurité, vérifiez attentivement le contenu de l'opération chaque fois que vous effectuez une opération de portefeuille.
Séparez les fonds importants de votre portefeuille d'utilisation quotidienne afin de réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2. Soyez particulièrement vigilant lorsque vous voyez des signatures contenant les informations suivantes :
En comprenant ces logiques sous-jacentes et en prenant des mesures préventives appropriées, nous pouvons mieux protéger la sécurité de nos actifs Web3.