Нещодавно "фішинг підпису" став одним з найулюбленіших методів шахрайства серед хакерів Web3. Незважаючи на те, що експерти галузі та великі компанії з безпеки постійно проводять просвітницьку роботу, все ще є велика кількість користувачів, які потрапляють у пастку. Однією з основних причин цього є те, що більшість людей не розуміють основні механізми взаємодії з гаманцями, і для непрофесіоналів поріг входження досить високий.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, ми спробуємо пояснити основну логіку підписного фішингу зрозумілою мовою.
По-перше, нам потрібно зрозуміти, що при використанні гаманця є два основні види операцій: "підпис" і "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не вимагає сплати комісії за газ; тоді як взаємодія відбувається в блокчейні (в межах ланцюга) і вимагає сплати комісії за газ.
Підпис зазвичай використовується для автентифікації, наприклад, під час входу в гаманець. Коли ви хочете обміняти токени на певному DEX, вам спочатку потрібно підключити гаманець, і в цей момент необхідно підписати, щоб підтвердити, що ви є власником цього гаманця. Цей процес не призводить до жодних змін даних або стану в блокчейні, тому не потрібно сплачувати збори.
Взаємодія відбувається під час фактичного обміну токенами. Вам потрібно спочатку сплатити комісію, щоб повідомити смарт-контракт: "Я дозволяю тобі використовувати мої 100USDT", цей крок називається авторизацією (approve). Потім вам потрібно ще раз сплатити комісію, щоб повідомити смарт-контракт: "Тепер виконай операцію обміну", щоб завершити угоду.
Після того, як ми зрозуміли різницю між підписом і взаємодією, давайте розглянемо три поширені способи фішингу: фішинг авторизації, фішинг підпису Permit і фішинг підпису Permit2.
Авторизаційна фішингова атака є одним з найкласичніших методів шахрайства в Web3. Хакери створюють фішинговий сайт, який маскується під NFT проект, спонукаючи користувачів натиснути кнопку "отримати аеродроп". Насправді, при натисканні, з'являється інтерфейс гаманця, що дозволяє хакерській адресі використовувати токени користувача. Як тільки користувач підтверджує, хакер може успішно вкрасти активи.
Однак, авторизаційна фішинг-атака має одну вразливість: через необхідність сплачувати Gas-кошти багато користувачів стають більш обережними під час операцій з коштами, тому її досить легко запобігти.
Фішинг підписів Permit і Permit2 є сьогодні важкою проблемою безпеки активів Web3. Ці два способи важко запобігти, оскільки користувачам необхідно спочатку підписати вхід у гаманці під час використання DApp. Багато людей вже виробили звичку думати, що "ця операція безпечна", а також через те, що не потрібно платити збори, і більшість людей не розуміють значення кожного підпису.
Механізм Permit є розширеною функцією авторизації в стандарті ERC-20. Простими словами, це означає, що ви можете через підпис дозволити іншим використовувати ваші токени. На відміну від авторизації (Approve), Permit - це коли ви підписуєте "папірець", дозволяючи комусь використовувати ваші токени. Той, хто має цей "папірець", може сплатити Gas-фіси смарт-контракту, повідомивши контракт: "він дозволяє мені використовувати його токени", щоб передати ваші активи. У цьому процесі ви просто підписалися, але насправді дозволили іншим викликати авторизацію (Approve) та передати ваші токени.
Permit2 не є функцією ERC-20, а є функцією, яку деякі DEX запровадили для зручності користувачів. Вона дозволяє користувачам одноразово надати велику суму дозволу для смарт-контракту Permit2, після чого для кожної транзакції потрібно лише підписати, без повторного надання дозволу. Це може заощадити витрати на газ для користувачів, але також підвищує безпекові ризики.
Щоб запобігти фішингу підписів, ми можемо вжити такі заходи:
Виховуйте свідомість про безпеку, кожного разу, коли ви виконуєте операції з гаманцем, ретельно перевіряйте зміст операцій.
Розділіть великі суми коштів і повсякденний гаманець, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підпису Permit та Permit2. Коли ви бачите підпис, що містить таку інформацію, будьте особливо обережні:
Interactive:інтерактивний веб-сайт
Власник: адреса уповноваженої особи
Spender: адреса уповноваженої особи
Значення: кількість дозволу
Nonce:випадкове число
Deadline:термін придатності
Зрозумівши ці основні логіки та вживаючи відповідних запобіжних заходів, ми можемо краще захистити безпеку наших активів Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
7 лайків
Нагородити
7
4
Поділіться
Прокоментувати
0/400
MetaverseLandlord
· 07-19 17:06
Ліпше повзти по у блокчейні, ніж сидіти за ґратами.
Переглянути оригіналвідповісти на0
pumpamentalist
· 07-19 16:56
Забрав твою монету лише один підпис
Переглянути оригіналвідповісти на0
MonkeySeeMonkeyDo
· 07-19 16:50
новачок все ж краще не грать з підписами..
Переглянути оригіналвідповісти на0
faded_wojak.eth
· 07-19 16:47
Новачок гравець, щодня обманюють, усі швидко дайте кілька порад
Детальний аналіз фішингу з підписами Web3: пастки авторизації, Permit та Permit2 та стратегії запобігання
Аналіз основної логіки фішингу підписів Web3
Нещодавно "фішинг підпису" став одним з найулюбленіших методів шахрайства серед хакерів Web3. Незважаючи на те, що експерти галузі та великі компанії з безпеки постійно проводять просвітницьку роботу, все ще є велика кількість користувачів, які потрапляють у пастку. Однією з основних причин цього є те, що більшість людей не розуміють основні механізми взаємодії з гаманцями, і для непрофесіоналів поріг входження досить високий.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, ми спробуємо пояснити основну логіку підписного фішингу зрозумілою мовою.
По-перше, нам потрібно зрозуміти, що при використанні гаманця є два основні види операцій: "підпис" і "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не вимагає сплати комісії за газ; тоді як взаємодія відбувається в блокчейні (в межах ланцюга) і вимагає сплати комісії за газ.
Підпис зазвичай використовується для автентифікації, наприклад, під час входу в гаманець. Коли ви хочете обміняти токени на певному DEX, вам спочатку потрібно підключити гаманець, і в цей момент необхідно підписати, щоб підтвердити, що ви є власником цього гаманця. Цей процес не призводить до жодних змін даних або стану в блокчейні, тому не потрібно сплачувати збори.
Взаємодія відбувається під час фактичного обміну токенами. Вам потрібно спочатку сплатити комісію, щоб повідомити смарт-контракт: "Я дозволяю тобі використовувати мої 100USDT", цей крок називається авторизацією (approve). Потім вам потрібно ще раз сплатити комісію, щоб повідомити смарт-контракт: "Тепер виконай операцію обміну", щоб завершити угоду.
Після того, як ми зрозуміли різницю між підписом і взаємодією, давайте розглянемо три поширені способи фішингу: фішинг авторизації, фішинг підпису Permit і фішинг підпису Permit2.
Авторизаційна фішингова атака є одним з найкласичніших методів шахрайства в Web3. Хакери створюють фішинговий сайт, який маскується під NFT проект, спонукаючи користувачів натиснути кнопку "отримати аеродроп". Насправді, при натисканні, з'являється інтерфейс гаманця, що дозволяє хакерській адресі використовувати токени користувача. Як тільки користувач підтверджує, хакер може успішно вкрасти активи.
Однак, авторизаційна фішинг-атака має одну вразливість: через необхідність сплачувати Gas-кошти багато користувачів стають більш обережними під час операцій з коштами, тому її досить легко запобігти.
Фішинг підписів Permit і Permit2 є сьогодні важкою проблемою безпеки активів Web3. Ці два способи важко запобігти, оскільки користувачам необхідно спочатку підписати вхід у гаманці під час використання DApp. Багато людей вже виробили звичку думати, що "ця операція безпечна", а також через те, що не потрібно платити збори, і більшість людей не розуміють значення кожного підпису.
Механізм Permit є розширеною функцією авторизації в стандарті ERC-20. Простими словами, це означає, що ви можете через підпис дозволити іншим використовувати ваші токени. На відміну від авторизації (Approve), Permit - це коли ви підписуєте "папірець", дозволяючи комусь використовувати ваші токени. Той, хто має цей "папірець", може сплатити Gas-фіси смарт-контракту, повідомивши контракт: "він дозволяє мені використовувати його токени", щоб передати ваші активи. У цьому процесі ви просто підписалися, але насправді дозволили іншим викликати авторизацію (Approve) та передати ваші токени.
Permit2 не є функцією ERC-20, а є функцією, яку деякі DEX запровадили для зручності користувачів. Вона дозволяє користувачам одноразово надати велику суму дозволу для смарт-контракту Permit2, після чого для кожної транзакції потрібно лише підписати, без повторного надання дозволу. Це може заощадити витрати на газ для користувачів, але також підвищує безпекові ризики.
Щоб запобігти фішингу підписів, ми можемо вжити такі заходи:
Виховуйте свідомість про безпеку, кожного разу, коли ви виконуєте операції з гаманцем, ретельно перевіряйте зміст операцій.
Розділіть великі суми коштів і повсякденний гаманець, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підпису Permit та Permit2. Коли ви бачите підпис, що містить таку інформацію, будьте особливо обережні:
Зрозумівши ці основні логіки та вживаючи відповідних запобіжних заходів, ми можемо краще захистити безпеку наших активів Web3.