Transférer le titre original 'Expliquer en termes simples la logique sous-jacente à Web3 Signature Phishing' Différence entre 'Phishing autorisé, Permit et Permit2'

TL;DR

“Pourquoi ai-je perdu mon argent rien qu'en signant mon nom ?” Le “phishing par signature” est actuellement la méthode de phishing préférée des pirates informatiques en Web3. Récemment, j'ai vu de nombreux experts comme Cosine ainsi que divers portefeuilles et sociétés de sécurité promouvoir et sensibiliser continuellement sur la connaissance des signatures de phishing. Pourtant, de nombreuses personnes se font encore arnaquer chaque jour.

Une raison pour laquelle Spinach croit est que la plupart des gens ne comprennent pas la logique sous-jacente des échanges de portefeuille, et pour ceux qui ne sont pas technophiles, la courbe d'apprentissage est trop élevée. Ainsi, Spinach a décidé de créer une version illustrée pour éduquer les gens sur la logique sous-jacente du hameçonnage par signature et essayer de la rendre compréhensible même pour les non-technophiles.

Tout d'abord, nous devons comprendre qu'il n'y a que deux types d'opérations lors de l'utilisation d'un portefeuille : « signer » et « échanger ». La compréhension la plus simple et la plus directe est la suivante : la signature se fait en dehors de la blockchain (hors chaîne) et ne nécessite pas de frais de gaz ; l'échange se fait sur la blockchain (sur chaîne) et nécessite des frais de gaz.

Le scénario courant pour la signature consiste à vérifier que vous êtes bien vous, comme lors de la connexion à un portefeuille. Par exemple, si vous souhaitez échanger des jetons sur Uniswap, vous devez d'abord connecter votre portefeuille. À ce stade, vous devez signer un message pour indiquer au site Web "Je suis le propriétaire de ce portefeuille", puis vous pouvez utiliser Uniswap. Cette étape n'entraîne aucun changement de données ou d'état sur la blockchain, elle ne nécessite donc pas de dépenses d'argent.

En ce qui concerne le swap, lorsque vous souhaitez réellement échanger des jetons sur Uniswap, vous devez dépenser de l'argent pour dire au contrat intelligent d'Uniswap : "Je veux échanger 100 USDT contre la pièce Spinach, et je vous autorise à déplacer mes 100 USDT." Cette étape s'appelle l'approbation. Ensuite, vous devez dépenser une autre somme d'argent pour dire au contrat intelligent d'Uniswap : "Je suis maintenant prêt à échanger 100 USDT contre la pièce Spinach, vous pouvez procéder à l'opération maintenant." Après cela, vous avez terminé l'opération d'échange de 100 USDT contre la pièce Spinach.

Après avoir compris simplement la différence entre les signatures et les swaps, introduisons le principe du phishing. Le phishing implique généralement trois méthodes différentes : le phishing d'autorisation, le phishing de signature de permit et le phishing de signature de permit2. Ces trois méthodes sont très courantes en matière de phishing.

Commençons par le Phishing d'Authorization, qui est l'une des techniques de phishing classiques en Web3. Comme son nom l'indique, il exploite le mécanisme d'autorisation (approuver). Comme on peut le voir dans l'exemple d'Uniswap, l'autorisation permet à un smart contract de "vous autoriser à déplacer xxx montant de mes Tokens." Un pirate informatique peut créer un faux site de phishing, déguisé en projet NFT avec une interface attrayante. Au milieu du site, il y a un beau gros bouton disant "Réclamez votre largage aérien." En cliquant dessus, le portefeuille affiche un écran vous demandant d'autoriser vos Tokens à l'adresse du pirate. Si vous confirmez cela, félicitations, le pirate a réussi à accomplir un KPI avec succès.

Mais l'hameçonnage d'autorisation pose un problème : parce qu'il nécessite des frais de gaz, de nombreuses personnes sont prudentes lorsqu'il s'agit de dépenser de l'argent. Après avoir cliqué sur un site Web suspect, les gens remarquent souvent rapidement que quelque chose ne va pas, ce qui rend relativement facile de prévenir.

Passons maintenant à l'accent d'aujourd'hui : le hameçonnage des signatures Permit et Permit2, qui sont des points chauds dans le domaine de la sécurité des actifs Web3. Pourquoi sont-ils si difficiles à défendre ? C'est parce qu'à chaque fois que vous voulez utiliser une Dapp, vous devez vous connecter à votre portefeuille. Beaucoup de gens ont développé une inertie dans leur façon de penser : "Cette opération est sûre". De plus, cela ne nécessite pas de dépenser de l'argent, et la plupart des gens ne comprennent pas les implications derrière chaque signature.

Commençons par examiner le mécanisme de Permit. Permit est une fonctionnalité d'extension pour l'autorisation dans le cadre de la norme ERC-20. Par exemple, l'USDT, que nous utilisons couramment, est un jeton ERC-20. En termes simples, Permit vous permet de signer et d'approuver d'autres personnes pour déplacer vos jetons. Nous savons que l'autorisation (Approuver) consiste à dire au contrat intelligent : « Vous pouvez déplacer xxx montant de mes jetons. » Ainsi, Permit revient à signer une « note » pour quelqu'un, en déclarant : « J'autorise quelqu'un à déplacer xxx montant de mes jetons. » Ensuite, cette personne présente cette « note » au contrat intelligent et paie des frais de gaz, indiquant au contrat intelligent : « Il me permet de déplacer xxx montant de ses jetons. » Ensuite, vos jetons peuvent être transférés par quelqu'un d'autre. Dans ce processus, vous signez simplement un nom, mais derrière cela, cela signifie que vous autorisez d'autres à appeler l'autorisation (Approuver) et à transférer vos jetons. Un pirate informatique peut créer un site Web de phishing, remplacer le bouton de connexion au portefeuille par un bouton de phishing de Permit, ce qui facilite le vol de vos actifs.

Alors, qu'est-ce que Permit2? Permit2 n'est en fait pas une fonction de l'ERC-20, mais une fonction lancée par Uniswap pour la commodité des utilisateurs. L'exemple précédent disait que si vous voulez échanger des USDT contre des jetons d'épinards sur Uniswap, vous devez autoriser (Approuver) une fois et ensuite l'échanger, ce qui nécessite deux frais de gaz, donc Uniswap a trouvé un moyen : "Vous m'autorisez une fois pour toutes et vous signez votre nom à chaque fois que vous échangez et je m'en occupe pour vous." Cette fonction aide les utilisateurs d'Uniswap à ne payer les frais de gaz qu'une seule fois lors de son utilisation, et cette étape est la signature, donc les frais de gaz ne sont en fait pas payés par vous, mais par le contrat Permit2, mais ils seront déduits du Token que vous échangerez finalement.

Cependant, la condition pour le phishing Permit2 est que vous devez avoir précédemment utilisé Uniswap et autorisé une allocation illimitée au contrat intelligent Permit2. Étant donné que l'opération par défaut d'Uniswap est actuellement d'accorder une allocation illimitée, le nombre d'utilisateurs qui remplissent cette condition est assez élevé. De même, tant qu'un pirate informatique vous trompe pour signer le Permit2, il peut transférer vos jetons (limités à ceux que vous avez précédemment autorisés).

En résumé, l'essence du phishing d'autorisation est que vous dépensez de l'argent pour dire au contrat intelligent : "Je vous autorise à déplacer mes jetons vers le pirate informatique." L'essence du phishing de signature est que vous signez une "note" permettant à d'autres de déplacer vos actifs vers le pirate informatique, et le pirate informatique dépense de l'argent pour dire au contrat intelligent : "Je veux déplacer ses jetons vers moi." Permit et Permit2 sont actuellement des points chauds pour les signatures de phishing. Permit est une fonctionnalité d'extension d'autorisation d'ERC-20, tandis que Permit2 est une nouvelle fonctionnalité introduite par Uniswap.

Alors, comment pouvez-vous prévenir ces attaques de phishing une fois que vous comprenez les principes?

1. Développer la sensibilisation à la sécurité :Il est crucial de toujours vérifier quelle opération vous effectuez à chaque fois que vous interagissez avec votre portefeuille.

2. Séparez les grands fonds et les portefeuilles pour les activités on-chain:** En séparant les grands fonds des portefeuilles utilisés pour les activités on-chain, vous pouvez minimiser les pertes si vous êtes victime de phishing.

3. Apprenez à identifier les formats de signature Permit et Permit2 :** Soyez prudent chaque fois que vous rencontrez les formats de signature suivants :

Interactif : URL du swap

Propriétaire: Adresse de l'auteur

Dépensier : Adresse de la partie autorisée

Valeur : Quantité autorisée

Nonce: Nombre aléatoire

Date limite : Heure d'expiration

Avertissement：

1. Cet article est repris de [ 菠菜菠菜谈Web3]. Transférez le titre original’大白话讲解Web3签名钓鱼底层逻辑"授权钓鱼、Permit与Permit2的区别"'. Tous les droits d’auteur appartiennent à l’auteur original [菠菜菠菜谈Web]. S'il y a des objections à cette réimpression, veuillez contacter le Gate Learnéquipe, et ils s'en occuperont rapidement.
2. Clause de non-responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
3. Les traductions de l'article dans d'autres langues sont effectuées par l'équipe Gate Learn. Sauf mention contraire, il est interdit de copier, distribuer ou plagier les articles traduits.