# Web3署名フィッシングの基礎論理解析最近、「署名フィッシング」がWeb3ハッカーに最も好まれる詐欺手段の一つとなっています。業界の専門家や主要なウォレット、安全会社が不断に啓発活動を行っているにもかかわらず、多くのユーザーが罠にハマっています。この状況の主な原因の一つは、大多数の人々がウォレットの相互作用の基本的なメカニズムについて理解が不足しており、非技術者にとっては学習のハードルが高いことです。より多くの人々がこの問題を理解できるように、私たちは署名フィッシングの根本的な論理をわかりやすく説明しようとします。まず、ウォレットを使用する際には主に二つの操作があることを理解する必要があります:"署名"と"インタラクション"。簡単に言うと、署名はブロックチェーンの外で(オフチェーン)行われ、Gas代は必要ありません。一方、インタラクションはブロックチェーン上で(オンチェーン)行われ、Gas代が必要です。署名は通常、認証に使用されます。たとえば、ウォレットにログインするときです。DEXでトークンを交換したい場合は、まずウォレットを接続する必要があります。このとき、あなたがそのウォレットの所有者であることを証明するために署名が必要です。このプロセスはブロックチェーンにデータや状態の変化をもたらさないため、手数料を支払う必要はありません。インタラクションは、実際にトークンの交換を行う際に発生します。まず、手数料を支払い、スマートコントラクトに「私の100USDTを使用することを承認します」と伝えます。このステップは承認(approve)と呼ばれます。次に、もう一度手数料を支払い、スマートコントラクトに「今、交換操作を実行してください」と伝え、取引を完了させます。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-c0d8fb648e2a1c778bf4d6d452b831ba)署名とインタラクションの違いを理解した後、一般的な3つのフィッシング手法を紹介します:承認フィッシング、Permit署名フィッシング、Permit2署名フィッシング。権限を与えるフィッシングは、Web3における最も古典的な詐欺手法の一つです。ハッカーはNFTプロジェクトを装ったフィッシングサイトを作成し、ユーザーに「エアドロップを受け取る」ボタンをクリックさせようとします。実際には、ユーザーがクリックすると表示されるウォレット画面は、ハッカーのアドレスにユーザーのトークンを使用する権限を付与するものです。一度ユーザーが確認すると、ハッカーは資産を成功裏に盗むことができます。しかし、権限を持つフィッシングには弱点があります。ガス代を支払う必要があるため、多くのユーザーは資金操作に関与する際により警戒するため、比較的防ぎやすいです。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-3b06429868156f2e7a86fabadf9b60bb)PermitとPermit2の署名フィッシングは、現在Web3資産の安全性において重大な問題です。これらの方法が防ぎにくい理由は、ユーザーがDAppを使用する際に必ずウォレットに署名してログインしなければならないからです。多くの人々は「この操作は安全だ」という慣性思考を形成しており、さらに手数料を支払う必要がなく、ほとんどの人が各署名の背後にある意味を理解していません。PermitメカニズムはERC-20標準の下での権限付与の拡張機能です。簡単に言うと、あなたは署名を通じて他の人にあなたのトークンを使うことを許可することができます。権限付与(Approve)とは異なり、Permitはあなたが「紙」に署名し、誰かがあなたのトークンを使用することを許可するものです。この「紙」を持っている人は、スマートコントラクトにガス代を支払い、「彼は私に彼のトークンを使うことを許可しています」と通知することで、あなたの資産を転送することができます。このプロセスでは、あなたは署名をしただけですが、実際には他の人が権限付与(Approve)を呼び出し、あなたのトークンを転送することを許可しています。Permit2はERC-20の機能ではなく、あるDEXがユーザーの利便性のために導入した機能です。これにより、ユーザーはPermit2スマートコントラクトに対して一度に大きな額を許可することができ、その後の取引では署名のみが必要で、再度の許可は不要です。これによりユーザーのガス代を節約できますが、安全リスクも増加します。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-6827d41535e9df00e1cade401b548d21)署名フィッシングを防ぐために、以下の対策を講じることができます:1. セキュリティ意識を育て、ウォレット操作を行うたびに操作内容を慎重に確認する。2. 大額資金と日常使用の財布を分けて、潜在的な損失を減らします。3. PermitとPermit2の署名形式を識別することを学びましょう。次の情報を含む署名を見たときは、特に注意してください: - インタラクティブ:インタラクティブウェブサイト - 所有者:権限を与えた側のアドレス - Spender:承認されたアドレス - 値:認証の数 - ノンス:ランダム数 - Deadline:有効期限! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:許可されたフィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-57e4524b41cb7a5843654fa84ec8fe25)これらの基本的な論理を理解し、適切な予防策を講じることで、私たちは自分のWeb3資産の安全をより良く守ることができます。
Web3シグネチャーフィッシングの説明:承認、許可、許可2トラップ、および防止戦略
Web3署名フィッシングの基礎論理解析
最近、「署名フィッシング」がWeb3ハッカーに最も好まれる詐欺手段の一つとなっています。業界の専門家や主要なウォレット、安全会社が不断に啓発活動を行っているにもかかわらず、多くのユーザーが罠にハマっています。この状況の主な原因の一つは、大多数の人々がウォレットの相互作用の基本的なメカニズムについて理解が不足しており、非技術者にとっては学習のハードルが高いことです。
より多くの人々がこの問題を理解できるように、私たちは署名フィッシングの根本的な論理をわかりやすく説明しようとします。
まず、ウォレットを使用する際には主に二つの操作があることを理解する必要があります:"署名"と"インタラクション"。簡単に言うと、署名はブロックチェーンの外で(オフチェーン)行われ、Gas代は必要ありません。一方、インタラクションはブロックチェーン上で(オンチェーン)行われ、Gas代が必要です。
署名は通常、認証に使用されます。たとえば、ウォレットにログインするときです。DEXでトークンを交換したい場合は、まずウォレットを接続する必要があります。このとき、あなたがそのウォレットの所有者であることを証明するために署名が必要です。このプロセスはブロックチェーンにデータや状態の変化をもたらさないため、手数料を支払う必要はありません。
インタラクションは、実際にトークンの交換を行う際に発生します。まず、手数料を支払い、スマートコントラクトに「私の100USDTを使用することを承認します」と伝えます。このステップは承認(approve)と呼ばれます。次に、もう一度手数料を支払い、スマートコントラクトに「今、交換操作を実行してください」と伝え、取引を完了させます。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
署名とインタラクションの違いを理解した後、一般的な3つのフィッシング手法を紹介します:承認フィッシング、Permit署名フィッシング、Permit2署名フィッシング。
権限を与えるフィッシングは、Web3における最も古典的な詐欺手法の一つです。ハッカーはNFTプロジェクトを装ったフィッシングサイトを作成し、ユーザーに「エアドロップを受け取る」ボタンをクリックさせようとします。実際には、ユーザーがクリックすると表示されるウォレット画面は、ハッカーのアドレスにユーザーのトークンを使用する権限を付与するものです。一度ユーザーが確認すると、ハッカーは資産を成功裏に盗むことができます。
しかし、権限を持つフィッシングには弱点があります。ガス代を支払う必要があるため、多くのユーザーは資金操作に関与する際により警戒するため、比較的防ぎやすいです。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
PermitとPermit2の署名フィッシングは、現在Web3資産の安全性において重大な問題です。これらの方法が防ぎにくい理由は、ユーザーがDAppを使用する際に必ずウォレットに署名してログインしなければならないからです。多くの人々は「この操作は安全だ」という慣性思考を形成しており、さらに手数料を支払う必要がなく、ほとんどの人が各署名の背後にある意味を理解していません。
PermitメカニズムはERC-20標準の下での権限付与の拡張機能です。簡単に言うと、あなたは署名を通じて他の人にあなたのトークンを使うことを許可することができます。権限付与(Approve)とは異なり、Permitはあなたが「紙」に署名し、誰かがあなたのトークンを使用することを許可するものです。この「紙」を持っている人は、スマートコントラクトにガス代を支払い、「彼は私に彼のトークンを使うことを許可しています」と通知することで、あなたの資産を転送することができます。このプロセスでは、あなたは署名をしただけですが、実際には他の人が権限付与(Approve)を呼び出し、あなたのトークンを転送することを許可しています。
Permit2はERC-20の機能ではなく、あるDEXがユーザーの利便性のために導入した機能です。これにより、ユーザーはPermit2スマートコントラクトに対して一度に大きな額を許可することができ、その後の取引では署名のみが必要で、再度の許可は不要です。これによりユーザーのガス代を節約できますが、安全リスクも増加します。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
署名フィッシングを防ぐために、以下の対策を講じることができます:
セキュリティ意識を育て、ウォレット操作を行うたびに操作内容を慎重に確認する。
大額資金と日常使用の財布を分けて、潜在的な損失を減らします。
PermitとPermit2の署名形式を識別することを学びましょう。次の情報を含む署名を見たときは、特に注意してください:
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:許可されたフィッシング、Permit、Permit2の違い
これらの基本的な論理を理解し、適切な予防策を講じることで、私たちは自分のWeb3資産の安全をより良く守ることができます。