Análise da lógica subjacente da pesca de credenciais Web3
Recentemente, "phishing por assinatura" tornou-se uma das táticas de fraude mais apreciadas pelos hackers do Web3. Apesar de especialistas da indústria e várias empresas de carteiras e segurança estarem constantemente educando o público, ainda há um grande número de usuários que caem na armadilha. Uma das principais razões para isso é que a maioria das pessoas carece de compreensão sobre os mecanismos subjacentes da interação com carteiras, e para não técnicos, a barreira de entrada para aprendizado é bastante alta.
Para ajudar mais pessoas a entender este problema, vamos tentar explicar a lógica subjacente da phishing de assinatura de uma forma simples e acessível.
Primeiro, precisamos entender que ao usar uma carteira, há principalmente duas operações: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), não requerendo o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento de taxas de Gas.
A assinatura é normalmente usada para autenticação, como ao fazer login na carteira. Quando você deseja trocar tokens em um DEX, precisa primeiro conectar a carteira, e neste momento é necessário assinar para provar que você é o proprietário da carteira. Este processo não gera nenhum dado ou alteração de estado na blockchain, portanto, não há necessidade de pagar taxas.
A interação ocorre quando a troca de tokens é realizada na prática. Você precisa primeiro pagar uma taxa e informar ao contrato inteligente: "Eu autorizo você a usar meus 100USDT", esse passo é chamado de autorização (approve). Em seguida, você também precisa pagar uma taxa adicional, informando ao contrato inteligente: "Agora, por favor, execute a operação de troca", completando assim a transação.
Depois de entender a diferença entre assinatura e interação, vamos apresentar três métodos comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.
A autorização de phishing é uma das técnicas de fraude mais clássicas no Web3. Hackers criam um site de phishing disfarçado de projeto NFT, induzindo os usuários a clicarem no botão "reclamar airdrop". Na verdade, a interface da carteira que aparece após o clique está autorizando o endereço do hacker a usar os tokens do usuário. Assim que o usuário confirma, o hacker consegue roubar os ativos com sucesso.
No entanto, a phishing autorizada tem uma fraqueza: devido à necessidade de pagar taxas de Gas, muitos usuários ficam mais atentos ao realizar operações financeiras, tornando-se assim relativamente fácil de prevenir.
A assinatura de phishing Permit e Permit2 é atualmente uma grande área de risco para a segurança dos ativos Web3. A razão pela qual esses dois métodos são difíceis de prevenir é que os usuários devem assinar para fazer login na carteira ao usar DApps. Muitas pessoas já desenvolveram um pensamento habitual de que "esta operação é segura", além de não precisarem pagar taxas, e a maioria das pessoas não entende o significado por trás de cada assinatura.
O mecanismo Permit é uma funcionalidade de extensão da autorização sob o padrão ERC-20. Em termos simples, você pode aprovar outra pessoa para usar seus tokens através de uma assinatura. Diferente da autorização (Approve), o Permit é quando você assina um "bilhete" permitindo que alguém use seus tokens. A pessoa que possui esse "bilhete" pode pagar a taxa de Gas ao contrato inteligente, informando ao contrato: "ele me permite usar seus tokens", assim transferindo seus ativos. Nesse processo, você apenas assinou, mas na verdade permitiu que outra pessoa chamasse a autorização (Approve) e transferisse seus tokens.
Permit2 não é uma funcionalidade do ERC-20, mas sim uma funcionalidade lançada por algumas DEX para facilitar os usuários. Ele permite que os usuários autorizem uma grande quantia de uma só vez para o contrato inteligente Permit2, e depois, para cada transação subsequente, apenas uma assinatura é necessária, sem a necessidade de nova autorização. Isso pode economizar as taxas de Gas dos usuários, mas também aumenta o risco de segurança.
Para prevenir a phishing de assinatura, podemos tomar as seguintes medidas:
Cultivar a consciência de segurança, verificando cuidadosamente o conteúdo da operação sempre que realizar operações na carteira.
Separe os fundos de grande montante da carteira usada para o dia a dia, a fim de reduzir as perdas potenciais.
Aprenda a reconhecer os formatos de assinatura do Permit e do Permit2. Quando você ver uma assinatura que contém as seguintes informações, deve estar especialmente alerta:
Interativo: URL de interação
Proprietário:Endereço do autorizador
Spender: Endereço da parte autorizada
Valor:Quantidade autorizada
Nonce: número aleatório
Prazo: prazo de validade
Ao compreender estas lógicas subjacentes e tomar as devidas precauções, podemos proteger melhor a segurança dos nossos ativos Web3.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
8 Curtidas
Recompensa
8
5
Compartilhar
Comentário
0/400
BlockDetective
· Agora mesmo
Ainda fui enganado...
Ver originalResponder0
MetaverseLandlord
· 07-19 17:06
Penar a vida inteira não é tão bom quanto escalar na cadeia.
Ver originalResponder0
pumpamentalist
· 07-19 16:56
O que levou a sua moeda foi apenas uma assinatura.
Ver originalResponder0
MonkeySeeMonkeyDo
· 07-19 16:50
novato ainda é melhor não brincar com assinaturas..
Ver originalResponder0
faded_wojak.eth
· 07-19 16:47
Novato jogador, todos os dias enganado, pessoal, por favor, enviem algumas dicas.
Web3 assinatura phishing explicado em detalhe: armadilhas e estratégias de prevenção de autorização, Permit e Permit2
Análise da lógica subjacente da pesca de credenciais Web3
Recentemente, "phishing por assinatura" tornou-se uma das táticas de fraude mais apreciadas pelos hackers do Web3. Apesar de especialistas da indústria e várias empresas de carteiras e segurança estarem constantemente educando o público, ainda há um grande número de usuários que caem na armadilha. Uma das principais razões para isso é que a maioria das pessoas carece de compreensão sobre os mecanismos subjacentes da interação com carteiras, e para não técnicos, a barreira de entrada para aprendizado é bastante alta.
Para ajudar mais pessoas a entender este problema, vamos tentar explicar a lógica subjacente da phishing de assinatura de uma forma simples e acessível.
Primeiro, precisamos entender que ao usar uma carteira, há principalmente duas operações: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), não requerendo o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento de taxas de Gas.
A assinatura é normalmente usada para autenticação, como ao fazer login na carteira. Quando você deseja trocar tokens em um DEX, precisa primeiro conectar a carteira, e neste momento é necessário assinar para provar que você é o proprietário da carteira. Este processo não gera nenhum dado ou alteração de estado na blockchain, portanto, não há necessidade de pagar taxas.
A interação ocorre quando a troca de tokens é realizada na prática. Você precisa primeiro pagar uma taxa e informar ao contrato inteligente: "Eu autorizo você a usar meus 100USDT", esse passo é chamado de autorização (approve). Em seguida, você também precisa pagar uma taxa adicional, informando ao contrato inteligente: "Agora, por favor, execute a operação de troca", completando assim a transação.
Depois de entender a diferença entre assinatura e interação, vamos apresentar três métodos comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.
A autorização de phishing é uma das técnicas de fraude mais clássicas no Web3. Hackers criam um site de phishing disfarçado de projeto NFT, induzindo os usuários a clicarem no botão "reclamar airdrop". Na verdade, a interface da carteira que aparece após o clique está autorizando o endereço do hacker a usar os tokens do usuário. Assim que o usuário confirma, o hacker consegue roubar os ativos com sucesso.
No entanto, a phishing autorizada tem uma fraqueza: devido à necessidade de pagar taxas de Gas, muitos usuários ficam mais atentos ao realizar operações financeiras, tornando-se assim relativamente fácil de prevenir.
A assinatura de phishing Permit e Permit2 é atualmente uma grande área de risco para a segurança dos ativos Web3. A razão pela qual esses dois métodos são difíceis de prevenir é que os usuários devem assinar para fazer login na carteira ao usar DApps. Muitas pessoas já desenvolveram um pensamento habitual de que "esta operação é segura", além de não precisarem pagar taxas, e a maioria das pessoas não entende o significado por trás de cada assinatura.
O mecanismo Permit é uma funcionalidade de extensão da autorização sob o padrão ERC-20. Em termos simples, você pode aprovar outra pessoa para usar seus tokens através de uma assinatura. Diferente da autorização (Approve), o Permit é quando você assina um "bilhete" permitindo que alguém use seus tokens. A pessoa que possui esse "bilhete" pode pagar a taxa de Gas ao contrato inteligente, informando ao contrato: "ele me permite usar seus tokens", assim transferindo seus ativos. Nesse processo, você apenas assinou, mas na verdade permitiu que outra pessoa chamasse a autorização (Approve) e transferisse seus tokens.
Permit2 não é uma funcionalidade do ERC-20, mas sim uma funcionalidade lançada por algumas DEX para facilitar os usuários. Ele permite que os usuários autorizem uma grande quantia de uma só vez para o contrato inteligente Permit2, e depois, para cada transação subsequente, apenas uma assinatura é necessária, sem a necessidade de nova autorização. Isso pode economizar as taxas de Gas dos usuários, mas também aumenta o risco de segurança.
Para prevenir a phishing de assinatura, podemos tomar as seguintes medidas:
Cultivar a consciência de segurança, verificando cuidadosamente o conteúdo da operação sempre que realizar operações na carteira.
Separe os fundos de grande montante da carteira usada para o dia a dia, a fim de reduzir as perdas potenciais.
Aprenda a reconhecer os formatos de assinatura do Permit e do Permit2. Quando você ver uma assinatura que contém as seguintes informações, deve estar especialmente alerta:
Ao compreender estas lógicas subjacentes e tomar as devidas precauções, podemos proteger melhor a segurança dos nossos ativos Web3.