Phishing por firma en Web3: Análisis de principios y guía de prevención
En el mundo de Web3, el "phishing de firma" se está convirtiendo en uno de los métodos de ataque favoritos de los hackers. A pesar de que los expertos de la industria y las empresas de seguridad continúan advirtiendo, cada día hay muchos usuarios que caen en la trampa. Una de las principales razones de esta situación es que la mayoría de las personas carecen de comprensión sobre la lógica subyacente de la interacción con las billeteras, y para los no técnicos, la barrera de entrada para aprender sobre el tema es demasiado alta.
Para ayudar a más personas a entender este problema, analizaremos la lógica subyacente de la pesca de firmas de una manera sencilla y comprensible.
Primero, necesitamos entender que al usar una billetera hay principalmente dos operaciones: "firmar" e "interactuar". En pocas palabras, la firma ocurre fuera de la cadena (off-chain) y no requiere el pago de tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere el pago de tarifas de Gas.
La firma se utiliza normalmente para la autenticación, como al iniciar sesión en una billetera. Cuando deseas realizar una transacción en un intercambio descentralizado, primero necesitas conectar tu billetera, y en ese momento se requiere una firma para demostrar que eres el propietario de esa billetera. Este proceso no altera ningún dato o estado en la blockchain, por lo que no es necesario pagar una tarifa.
En comparación, la interacción implica operaciones en la cadena reales. Por ejemplo, cuando intercambias tokens en un intercambio descentralizado, primero necesitas autorizar el contrato inteligente del intercambio para usar tus tokens y luego realizar la operación de intercambio real. Ambos pasos requieren el pago de tarifas de Gas.
Después de entender la diferencia entre firmas e interacciones, veamos algunos métodos comunes de phishing: phishing de autorización, phishing de firma Permit y phishing de firma Permit2.
La autorización de phishing utiliza el mecanismo de autorización de contratos inteligentes. Los hackers pueden crear un sitio web falso que induzca a los usuarios a realizar operaciones de autorización, en realidad permitiendo que los usuarios autoricen la dirección del hacker a usar sus tokens.
Las firmas de Permit y Permit2 son aún más discretas en el phishing. Permit es una función extendida del estándar ERC-20 que permite a los usuarios aprobar a otros para usar sus tokens mediante una firma. Los hackers pueden inducir a los usuarios a firmar este tipo de permiso y luego utilizar esta firma para transferir los activos del usuario.
Permit2 es una función que algunas plataformas de intercambio han introducido para simplificar las operaciones del usuario. Permite a los usuarios autorizar una gran cantidad de tokens en una sola vez, y luego, para cada transacción, solo se necesita firmar. Aunque es conveniente, si la firma cae en manos equivocadas, puede resultar en la pérdida de activos.
Para prevenir estos riesgos, recomendamos:
Fomentar la conciencia de seguridad, cada vez que operes con la billetera, debes revisar cuidadosamente lo que estás haciendo.
Separe los fondos grandes de la billetera de uso diario para reducir las pérdidas potenciales.
Aprende a reconocer el formato de firma de Permit y Permit2. Si ves una solicitud de firma que contiene la siguiente información, debes tener especial cuidado:
Sitio web de interacción
Dirección del otorgante
Dirección del autorizado
Cantidad autorizada
Número aleatorio
Tiempo de expiración
Al comprender estos mecanismos y tomar las medidas de prevención adecuadas, podemos proteger mejor nuestros activos digitales y participar de manera segura en el ecosistema Web3.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
4
Compartir
Comentar
0/400
0xSherlock
· hace13h
Otra vez me han pescado unos cientos de eth
Ver originalesResponder0
WalletDetective
· hace13h
Los novatos deberían echar un vistazo. Es muy importante prevenir fraudes.
Guía completa sobre el phishing de firmas Web3: análisis de principios y estrategias de prevención
Phishing por firma en Web3: Análisis de principios y guía de prevención
En el mundo de Web3, el "phishing de firma" se está convirtiendo en uno de los métodos de ataque favoritos de los hackers. A pesar de que los expertos de la industria y las empresas de seguridad continúan advirtiendo, cada día hay muchos usuarios que caen en la trampa. Una de las principales razones de esta situación es que la mayoría de las personas carecen de comprensión sobre la lógica subyacente de la interacción con las billeteras, y para los no técnicos, la barrera de entrada para aprender sobre el tema es demasiado alta.
Para ayudar a más personas a entender este problema, analizaremos la lógica subyacente de la pesca de firmas de una manera sencilla y comprensible.
Primero, necesitamos entender que al usar una billetera hay principalmente dos operaciones: "firmar" e "interactuar". En pocas palabras, la firma ocurre fuera de la cadena (off-chain) y no requiere el pago de tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere el pago de tarifas de Gas.
La firma se utiliza normalmente para la autenticación, como al iniciar sesión en una billetera. Cuando deseas realizar una transacción en un intercambio descentralizado, primero necesitas conectar tu billetera, y en ese momento se requiere una firma para demostrar que eres el propietario de esa billetera. Este proceso no altera ningún dato o estado en la blockchain, por lo que no es necesario pagar una tarifa.
En comparación, la interacción implica operaciones en la cadena reales. Por ejemplo, cuando intercambias tokens en un intercambio descentralizado, primero necesitas autorizar el contrato inteligente del intercambio para usar tus tokens y luego realizar la operación de intercambio real. Ambos pasos requieren el pago de tarifas de Gas.
Después de entender la diferencia entre firmas e interacciones, veamos algunos métodos comunes de phishing: phishing de autorización, phishing de firma Permit y phishing de firma Permit2.
La autorización de phishing utiliza el mecanismo de autorización de contratos inteligentes. Los hackers pueden crear un sitio web falso que induzca a los usuarios a realizar operaciones de autorización, en realidad permitiendo que los usuarios autoricen la dirección del hacker a usar sus tokens.
Las firmas de Permit y Permit2 son aún más discretas en el phishing. Permit es una función extendida del estándar ERC-20 que permite a los usuarios aprobar a otros para usar sus tokens mediante una firma. Los hackers pueden inducir a los usuarios a firmar este tipo de permiso y luego utilizar esta firma para transferir los activos del usuario.
Permit2 es una función que algunas plataformas de intercambio han introducido para simplificar las operaciones del usuario. Permite a los usuarios autorizar una gran cantidad de tokens en una sola vez, y luego, para cada transacción, solo se necesita firmar. Aunque es conveniente, si la firma cae en manos equivocadas, puede resultar en la pérdida de activos.
Para prevenir estos riesgos, recomendamos:
Fomentar la conciencia de seguridad, cada vez que operes con la billetera, debes revisar cuidadosamente lo que estás haciendo.
Separe los fondos grandes de la billetera de uso diario para reducir las pérdidas potenciales.
Aprende a reconocer el formato de firma de Permit y Permit2. Si ves una solicitud de firma que contiene la siguiente información, debes tener especial cuidado:
Al comprender estos mecanismos y tomar las medidas de prevención adecuadas, podemos proteger mejor nuestros activos digitales y participar de manera segura en el ecosistema Web3.