Анализ базовой логики фишинга с использованием Web3 подписей
В последнее время «фишинг через подписи» стал одним из самых популярных способов мошенничества среди хакеров Web3. Несмотря на то, что эксперты отрасли и крупные компании по безопасности постоянно проводят просветительскую работу, все еще существует множество пользователей, попадающих в ловушку. Одной из основных причин этой ситуации является то, что большинство людей не понимают базовые механизмы взаимодействия с кошельком, и для людей без технической подготовки порог обучения довольно высок.
Чтобы помочь большему количеству людей понять эту проблему, мы постараемся объяснить основную логику подписного фишинга простым и доступным языком.
Во-первых, нам нужно понять, что при использовании кошелька есть две основные операции: "подписание" и "взаимодействие". Проще говоря, подписание происходит вне блокчейна (off-chain) и не требует оплаты Gas; в то время как взаимодействие происходит в блокчейне (on-chain) и требует оплаты Gas.
Подпись обычно используется для аутентификации, например, для входа в кошелек. Когда вы хотите обменять токены на каком-либо DEX, вам сначала нужно подключить кошелек, и для этого потребуется подпись, чтобы подтвердить, что вы являетесь владельцем этого кошелька. Этот процесс не приводит к изменению данных или состояния в блокчейне, поэтому платить за него не нужно.
Взаимодействие происходит во время фактического обмена токенов. Вам нужно сначала заплатить комиссию и сообщить смарт-контракту: "Я разрешаю вам использовать мои 100USDT", этот шаг называется авторизацией (approve). Затем вам также нужно заплатить еще одну комиссию и сообщить смарт-контракту: "Теперь выполните операцию обмена", чтобы завершить сделку.
После того как мы поняли разницу между подписью и взаимодействием, давайте рассмотрим три распространенных метода фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Авторизация фишинга является одной из самых классических схем мошенничества в Web3. Хакеры создают поддельный фишинговый сайт, маскирующийся под NFT проект, и заманивают пользователей нажать на кнопку "Получить аирдроп". На самом деле, после нажатия пользователю открывается интерфейс кошелька, который авторизует использование токенов пользователя хакерским адресом. Как только пользователь подтверждает, хакер успешно ворует активы.
Однако у авторизованного фишинга есть слабое место: из-за необходимости оплаты Gas-штрафа многие пользователи становятся более осторожными при проведении финансовых операций, что делает его относительно легким для предотвращения.
Подпись Permit и Permit2 является текущей зоной повышенного риска для безопасности активов Web3. Эти два метода трудно предотвратить, потому что пользователи должны сначала подписать вход в кошелек при использовании DApp. Многие уже привыкли думать, что "это действие безопасно", и, кроме того, не требуется платить сборы, и большинство людей не понимает значения каждой подписи.
Механизм Permit является расширенной функцией авторизации в стандарте ERC-20. Проще говоря, вы можете подписать разрешение для другого лица использовать ваши токены. В отличие от авторизации (Approve), Permit — это когда вы подписываете на "записке", позволяя кому-то использовать ваши токены. Держатель этой "записки" может оплатить Gas-расходы контракту, сообщив контракту: "он позволяет мне использовать его токены", тем самым перемещая ваши активы. В этом процессе вы просто поставили подпись, но на самом деле разрешили другому лицу вызывать авторизацию (Approve) и перемещать ваши токены.
Permit2 не является функцией ERC-20, а представляет собой функцию, разработанную некоторыми DEX для удобства пользователей. Она позволяет пользователям единовременно предоставить крупные полномочия смарт-контракту Permit2, после чего для каждой транзакции требуется только подпись, без необходимости повторного предоставления полномочий. Это позволяет сэкономить Gas, но также увеличивает риск безопасности.
Чтобы предотвратить фишинг с подделкой подписей, мы можем предпринять следующие меры:
Развивайте осведомленность о безопасности, каждый раз, когда вы выполняете операции с кошельком, внимательно проверяйте содержание операции.
Разделите крупные средства и кошелек для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать формат подписей Permit и Permit2. Будьте особенно осторожны, когда вы видите подписи, содержащие следующую информацию:
Interactive:интерактивный веб-сайт
Владелец:адрес уполномоченного лица
Spender:адрес авторизованного лица
Значение:授权数量
Nonce: случайное число
Срок действия:过期时间
Понимая эти основные логики и принимая соответствующие меры предосторожности, мы можем лучше защитить безопасность своих активов Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
7 Лайков
Награда
7
4
Поделиться
комментарий
0/400
MetaverseLandlord
· 07-19 17:06
Лучше ползти по в блокчейне, чем сидеть в тюрьме до конца срока.
Посмотреть ОригиналОтветить0
pumpamentalist
· 07-19 16:56
Забрать твой токен может только одна подпись
Посмотреть ОригиналОтветить0
MonkeySeeMonkeyDo
· 07-19 16:50
новичок все-таки не стоит играть с подписями..
Посмотреть ОригиналОтветить0
faded_wojak.eth
· 07-19 16:47
Новичок игрока, каждый день обманывают, всем быстро дайте несколько советов
Подробное объяснение фишинга в Web3: ловушки авторизации, Permit и Permit2, а также стратегии предотвращения
Анализ базовой логики фишинга с использованием Web3 подписей
В последнее время «фишинг через подписи» стал одним из самых популярных способов мошенничества среди хакеров Web3. Несмотря на то, что эксперты отрасли и крупные компании по безопасности постоянно проводят просветительскую работу, все еще существует множество пользователей, попадающих в ловушку. Одной из основных причин этой ситуации является то, что большинство людей не понимают базовые механизмы взаимодействия с кошельком, и для людей без технической подготовки порог обучения довольно высок.
Чтобы помочь большему количеству людей понять эту проблему, мы постараемся объяснить основную логику подписного фишинга простым и доступным языком.
Во-первых, нам нужно понять, что при использовании кошелька есть две основные операции: "подписание" и "взаимодействие". Проще говоря, подписание происходит вне блокчейна (off-chain) и не требует оплаты Gas; в то время как взаимодействие происходит в блокчейне (on-chain) и требует оплаты Gas.
Подпись обычно используется для аутентификации, например, для входа в кошелек. Когда вы хотите обменять токены на каком-либо DEX, вам сначала нужно подключить кошелек, и для этого потребуется подпись, чтобы подтвердить, что вы являетесь владельцем этого кошелька. Этот процесс не приводит к изменению данных или состояния в блокчейне, поэтому платить за него не нужно.
Взаимодействие происходит во время фактического обмена токенов. Вам нужно сначала заплатить комиссию и сообщить смарт-контракту: "Я разрешаю вам использовать мои 100USDT", этот шаг называется авторизацией (approve). Затем вам также нужно заплатить еще одну комиссию и сообщить смарт-контракту: "Теперь выполните операцию обмена", чтобы завершить сделку.
После того как мы поняли разницу между подписью и взаимодействием, давайте рассмотрим три распространенных метода фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Авторизация фишинга является одной из самых классических схем мошенничества в Web3. Хакеры создают поддельный фишинговый сайт, маскирующийся под NFT проект, и заманивают пользователей нажать на кнопку "Получить аирдроп". На самом деле, после нажатия пользователю открывается интерфейс кошелька, который авторизует использование токенов пользователя хакерским адресом. Как только пользователь подтверждает, хакер успешно ворует активы.
Однако у авторизованного фишинга есть слабое место: из-за необходимости оплаты Gas-штрафа многие пользователи становятся более осторожными при проведении финансовых операций, что делает его относительно легким для предотвращения.
Подпись Permit и Permit2 является текущей зоной повышенного риска для безопасности активов Web3. Эти два метода трудно предотвратить, потому что пользователи должны сначала подписать вход в кошелек при использовании DApp. Многие уже привыкли думать, что "это действие безопасно", и, кроме того, не требуется платить сборы, и большинство людей не понимает значения каждой подписи.
Механизм Permit является расширенной функцией авторизации в стандарте ERC-20. Проще говоря, вы можете подписать разрешение для другого лица использовать ваши токены. В отличие от авторизации (Approve), Permit — это когда вы подписываете на "записке", позволяя кому-то использовать ваши токены. Держатель этой "записки" может оплатить Gas-расходы контракту, сообщив контракту: "он позволяет мне использовать его токены", тем самым перемещая ваши активы. В этом процессе вы просто поставили подпись, но на самом деле разрешили другому лицу вызывать авторизацию (Approve) и перемещать ваши токены.
Permit2 не является функцией ERC-20, а представляет собой функцию, разработанную некоторыми DEX для удобства пользователей. Она позволяет пользователям единовременно предоставить крупные полномочия смарт-контракту Permit2, после чего для каждой транзакции требуется только подпись, без необходимости повторного предоставления полномочий. Это позволяет сэкономить Gas, но также увеличивает риск безопасности.
Чтобы предотвратить фишинг с подделкой подписей, мы можем предпринять следующие меры:
Развивайте осведомленность о безопасности, каждый раз, когда вы выполняете операции с кошельком, внимательно проверяйте содержание операции.
Разделите крупные средства и кошелек для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать формат подписей Permit и Permit2. Будьте особенно осторожны, когда вы видите подписи, содержащие следующую информацию:
Понимая эти основные логики и принимая соответствующие меры предосторожности, мы можем лучше защитить безопасность своих активов Web3.