Phishing par signature Web3 : Comprendre la logique sous-jacente pour améliorer la sensibilisation à la sécurité
Dans le monde du Web3, "le phishing par signature" est devenu l'un des moyens les plus couramment utilisés par les hackers. Bien que les experts de l'industrie continuent de promouvoir les connaissances pertinentes, de nombreux utilisateurs tombent encore dans le piège. L'une des raisons principales de cette situation est que la plupart des gens manquent de compréhension de la logique sous-jacente des interactions avec les portefeuilles, tandis que le seuil d'apprentissage des connaissances connexes est relativement élevé.
Pour cela, cet article tentera d'expliquer aux lecteurs les principes de l'hameçonnage par signature, ainsi que comment s'en protéger efficacement, en utilisant un langage simple et des illustrations.
Tout d'abord, nous devons comprendre qu'il y a principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit hors chaîne et ne nécessite pas de paiement de frais de Gas ; tandis que l'interaction se produit sur chaîne et nécessite de payer des frais de Gas.
Une signature est généralement utilisée pour l'authentification. Par exemple, lorsque vous devez vous connecter à une application décentralisée (DApp), vous devez signer pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus n'aura aucun impact sur la blockchain, donc aucun frais n'est nécessaire.
En comparaison, l'interaction implique des opérations réelles sur la chaîne. Par exemple, lors de l'échange de jetons sur un DEX, vous devez d'abord autoriser le contrat intelligent à opérer vos jetons (approve), puis exécuter l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.
Après avoir compris ces concepts de base, examinons quelques méthodes de phishing courantes :
Phishing autorisé : il s'agit d'une méthode classique de phishing. Les hackers se déguisent en DApp ou en projet NFT normal pour inciter les utilisateurs à effectuer des opérations d'autorisation. Une fois que l'utilisateur a confirmé, le hacker peut obtenir l'autorisation d'opérer sur les actifs de l'utilisateur.
Phishing par signature Permit : Permit est une fonctionnalité étendue de la norme de jeton ERC-20 qui permet aux utilisateurs d'autoriser d'autres à manipuler leurs jetons via une signature. Les hackers peuvent inciter les utilisateurs à signer un message Permit, leur permettant ainsi d'obtenir l'autorisation de transférer les actifs des utilisateurs.
Phishing par signature Permit2 : Permit2 est une fonctionnalité lancée par un certain DEX visant à simplifier le processus d'opération des utilisateurs. Cependant, si un utilisateur a déjà utilisé ce DEX et a accordé un plafond illimité, alors un hacker peut exploiter ce mécanisme pour transférer les actifs de l'utilisateur.
Pour prévenir ces attaques de phishing, nous pouvons prendre les mesures suivantes :
Développer une conscience de la sécurité : chaque fois que vous effectuez une opération sur votre portefeuille, vous devez vérifier attentivement quelle opération vous êtes en train d'exécuter.
Gestion de portefeuille diversifié : séparer les fonds importants des portefeuilles utilisés quotidiennement afin de réduire les pertes potentielles.
Apprenez à identifier les demandes de signature suspectes : faites particulièrement attention aux demandes de signature contenant les champs suivants :
Interactif: site web interactif
Propriétaire : adresse de l'autorisateur
Spender:adresse du mandataire
Valeur: quantité autorisée
Nonce: nombre aléatoire
Deadline: date d'expiration
En comprenant ces logiques sous-jacentes et en prenant les mesures préventives appropriées, nous pouvons considérablement réduire le risque de devenir victime de phishing par signature. Dans le monde de Web3, rester vigilant et continuer à apprendre est la clé pour assurer la sécurité des actifs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
5
Reposter
Partager
Commentaire
0/400
AirdropHunter007
· 08-12 15:38
Quel que soit le contrat, j'aime être trompé.
Voir l'originalRépondre0
ProveMyZK
· 08-10 17:54
Tu es encore tombé dans le bassin de poissons, n'est-ce pas ?
Voir l'originalRépondre0
FastLeaver
· 08-10 17:52
On apprend de ses pertes !
Voir l'originalRépondre0
MerkleDreamer
· 08-10 17:51
Encore attrapé deux fois. En parler plus, ce ne sont que des larmes.
Voir l'originalRépondre0
ZenChainWalker
· 08-10 17:48
J'ai encore été appâté pour trois cents pièces, j'ai compris trop tard.
Guide de prévention contre le phishing dans Web3 : dévoilement des principes sous-jacents et des stratégies de sécurité
Phishing par signature Web3 : Comprendre la logique sous-jacente pour améliorer la sensibilisation à la sécurité
Dans le monde du Web3, "le phishing par signature" est devenu l'un des moyens les plus couramment utilisés par les hackers. Bien que les experts de l'industrie continuent de promouvoir les connaissances pertinentes, de nombreux utilisateurs tombent encore dans le piège. L'une des raisons principales de cette situation est que la plupart des gens manquent de compréhension de la logique sous-jacente des interactions avec les portefeuilles, tandis que le seuil d'apprentissage des connaissances connexes est relativement élevé.
Pour cela, cet article tentera d'expliquer aux lecteurs les principes de l'hameçonnage par signature, ainsi que comment s'en protéger efficacement, en utilisant un langage simple et des illustrations.
Tout d'abord, nous devons comprendre qu'il y a principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit hors chaîne et ne nécessite pas de paiement de frais de Gas ; tandis que l'interaction se produit sur chaîne et nécessite de payer des frais de Gas.
Une signature est généralement utilisée pour l'authentification. Par exemple, lorsque vous devez vous connecter à une application décentralisée (DApp), vous devez signer pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus n'aura aucun impact sur la blockchain, donc aucun frais n'est nécessaire.
En comparaison, l'interaction implique des opérations réelles sur la chaîne. Par exemple, lors de l'échange de jetons sur un DEX, vous devez d'abord autoriser le contrat intelligent à opérer vos jetons (approve), puis exécuter l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.
Après avoir compris ces concepts de base, examinons quelques méthodes de phishing courantes :
Phishing autorisé : il s'agit d'une méthode classique de phishing. Les hackers se déguisent en DApp ou en projet NFT normal pour inciter les utilisateurs à effectuer des opérations d'autorisation. Une fois que l'utilisateur a confirmé, le hacker peut obtenir l'autorisation d'opérer sur les actifs de l'utilisateur.
Phishing par signature Permit : Permit est une fonctionnalité étendue de la norme de jeton ERC-20 qui permet aux utilisateurs d'autoriser d'autres à manipuler leurs jetons via une signature. Les hackers peuvent inciter les utilisateurs à signer un message Permit, leur permettant ainsi d'obtenir l'autorisation de transférer les actifs des utilisateurs.
Phishing par signature Permit2 : Permit2 est une fonctionnalité lancée par un certain DEX visant à simplifier le processus d'opération des utilisateurs. Cependant, si un utilisateur a déjà utilisé ce DEX et a accordé un plafond illimité, alors un hacker peut exploiter ce mécanisme pour transférer les actifs de l'utilisateur.
Pour prévenir ces attaques de phishing, nous pouvons prendre les mesures suivantes :
Développer une conscience de la sécurité : chaque fois que vous effectuez une opération sur votre portefeuille, vous devez vérifier attentivement quelle opération vous êtes en train d'exécuter.
Gestion de portefeuille diversifié : séparer les fonds importants des portefeuilles utilisés quotidiennement afin de réduire les pertes potentielles.
Apprenez à identifier les demandes de signature suspectes : faites particulièrement attention aux demandes de signature contenant les champs suivants :
En comprenant ces logiques sous-jacentes et en prenant les mesures préventives appropriées, nous pouvons considérablement réduire le risque de devenir victime de phishing par signature. Dans le monde de Web3, rester vigilant et continuer à apprendre est la clé pour assurer la sécurité des actifs.