La logique sous-jacente de l'"hameçonnage par signature" dans le Web3 et les mesures de prévention
Récemment, la "phishing par signature" est devenue l'une des méthodes de fraude les plus couramment utilisées par les hackers Web3. Bien que les experts en sécurité et les sociétés de portefeuilles continuent de promouvoir les connaissances pertinentes, de nombreux utilisateurs se font encore avoir chaque jour. La principale raison de cela est que la plupart des gens manquent de compréhension de la logique sous-jacente des interactions avec les portefeuilles, et que le seuil d'apprentissage est relativement élevé pour les non-techniciens.
Pour aider un plus grand nombre de personnes à comprendre ce problème, cet article expliquera la logique sous-jacente de la pêche aux signatures de manière simple et accessible.
Tout d'abord, nous devons comprendre qu'il y a principalement deux opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de frais de Gas ; tandis que l'interaction se produit sur la blockchain (sur chaîne) et nécessite des frais de Gas.
Les signatures sont généralement utilisées pour l'authentification, comme se connecter à un portefeuille ou se connecter à une application décentralisée (DApp). Ce processus n'entraîne aucune modification des données ou de l'état de la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction implique des opérations réelles sur la chaîne. Par exemple, lorsque vous effectuez un échange de jetons sur un DEX, vous devez d'abord autoriser le contrat intelligent à manipuler vos jetons (approve), puis effectuer l'opération d'échange réelle. Ces deux étapes nécessitent le paiement des frais de Gas.
Après avoir compris la différence entre une signature et une interaction, examinons trois méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Phishing autorisé
C'est une technique de phishing classique. Les hackers créent un site de phishing déguisé en projet NFT, incitant les utilisateurs à cliquer sur des boutons tels que "Recevoir l'airdrop". En réalité, après avoir cliqué, les utilisateurs seront invités à autoriser (approve) leurs tokens à l'adresse du hacker. Une fois que l'utilisateur confirme, le hacker peut contrôler les actifs de l'utilisateur.
Cependant, comme les opérations autorisées nécessitent le paiement de frais de Gas, de nombreux utilisateurs sont plus prudents lorsqu'ils effectuent des opérations impliquant des frais, ce qui rend cette méthode relativement facile à prévenir.
Phishing de signature de permis
Permit est une extension de la fonctionnalité d'autorisation sous le standard ERC-20. Il permet aux utilisateurs d'approuver d'autres personnes pour manipuler leurs jetons par le biais d'une signature, sans avoir besoin d'effectuer directement une opération d'autorisation sur la chaîne. Les hackers peuvent exploiter ce mécanisme en incitant les utilisateurs à signer des messages permettant aux hackers de transférer leurs actifs. Comme la signature ne nécessite pas de payer des frais de Gas, et que de nombreux utilisateurs ont l'habitude de procéder à des opérations de signature lors de l'utilisation des DApps, cette méthode de phishing est donc plus difficile à prévenir.
Phishing par signature Permit2
Permit2 est une fonctionnalité lancée par un certain DEX pour améliorer l'expérience utilisateur. Elle permet aux utilisateurs d'autoriser une fois un montant élevé au contrat intelligent Permit2, après quoi chaque transaction nécessite uniquement une signature, sans avoir à réautoriser. Bien que ce mécanisme facilite les opérations des utilisateurs, il offre également de nouvelles voies d'attaque aux hackers. Si un utilisateur a déjà utilisé ce DEX et a accordé un montant illimité, alors une fois qu'il a été induit à signer un message pertinent, le hacker peut transférer les actifs de l'utilisateur.
En général, le phishing par autorisation nécessite que l'utilisateur effectue des opérations directement sur la chaîne, tandis que le phishing par signature atteint son objectif en incitant l'utilisateur à signer des messages spécifiques. Une fois que nous avons compris ces principes, nous pouvons prendre les mesures préventives suivantes :
Développez une conscience de la sécurité et vérifiez attentivement le contenu des opérations effectuées chaque fois que vous utilisez un portefeuille.
Séparez les fonds importants de votre portefeuille d'utilisation quotidienne pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2. Si vous voyez une demande de signature contenant les champs suivants, vous devez être particulièrement vigilant :
Interactif(交互网址)
Propriétaire(adresse du donneur d'autorisation)
Spender (adresse de l'entité autorisée)
Valeur(quantité autorisée)
Nonce (nombre aléatoire)
Date limite
En comprenant les principes de ces méthodes de phishing et en prenant des mesures de prévention appropriées, nous pouvons mieux protéger la sécurité de nos actifs Web3.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
7
Reposter
Partager
Commentaire
0/400
SchroedingerGas
· Il y a 17h
Encore tondre le fil principal de sheep blanc gas
Voir l'originalRépondre0
MultiSigFailMaster
· 08-07 11:36
Comprendre le jargon et les défauts de l'écosystème off-chain, il arrive parfois de critiquer les problèmes de sécurité ou de se moquer du mécanisme de multi-signatures, avec un ton légèrement sarcastique.
Veuillez générer un commentaire chinois adapté à ce personnage :
Une autre ronde de prendre les gens pour des idiots commence.
Voir l'originalRépondre0
Rugpull幸存者
· 08-06 21:25
Les vieux pigeons comprennent, encore une fois ils sont pris pour des idiots, témoignant d'une faille dans le contrat.
Voir l'originalRépondre0
FomoAnxiety
· 08-06 05:55
Je suis dans le domaine depuis deux ans et je suis toujours confus par le gas.
Voir l'originalRépondre0
FarmHopper
· 08-06 05:54
prendre les gens pour des idiots même pour les frais de gas, c'est trop mal !
Voir l'originalRépondre0
CounterIndicator
· 08-06 05:53
Encore un nouvel outil pour prendre les gens pour des idiots.
Voir l'originalRépondre0
GasFeeNightmare
· 08-06 05:43
Le gaz est vraiment cher, je ne peux plus le supporter.
Analyse de la logique sous-jacente et des stratégies de prévention du phishing par signature Web3
La logique sous-jacente de l'"hameçonnage par signature" dans le Web3 et les mesures de prévention
Récemment, la "phishing par signature" est devenue l'une des méthodes de fraude les plus couramment utilisées par les hackers Web3. Bien que les experts en sécurité et les sociétés de portefeuilles continuent de promouvoir les connaissances pertinentes, de nombreux utilisateurs se font encore avoir chaque jour. La principale raison de cela est que la plupart des gens manquent de compréhension de la logique sous-jacente des interactions avec les portefeuilles, et que le seuil d'apprentissage est relativement élevé pour les non-techniciens.
Pour aider un plus grand nombre de personnes à comprendre ce problème, cet article expliquera la logique sous-jacente de la pêche aux signatures de manière simple et accessible.
Tout d'abord, nous devons comprendre qu'il y a principalement deux opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de frais de Gas ; tandis que l'interaction se produit sur la blockchain (sur chaîne) et nécessite des frais de Gas.
Les signatures sont généralement utilisées pour l'authentification, comme se connecter à un portefeuille ou se connecter à une application décentralisée (DApp). Ce processus n'entraîne aucune modification des données ou de l'état de la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction implique des opérations réelles sur la chaîne. Par exemple, lorsque vous effectuez un échange de jetons sur un DEX, vous devez d'abord autoriser le contrat intelligent à manipuler vos jetons (approve), puis effectuer l'opération d'échange réelle. Ces deux étapes nécessitent le paiement des frais de Gas.
Après avoir compris la différence entre une signature et une interaction, examinons trois méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
C'est une technique de phishing classique. Les hackers créent un site de phishing déguisé en projet NFT, incitant les utilisateurs à cliquer sur des boutons tels que "Recevoir l'airdrop". En réalité, après avoir cliqué, les utilisateurs seront invités à autoriser (approve) leurs tokens à l'adresse du hacker. Une fois que l'utilisateur confirme, le hacker peut contrôler les actifs de l'utilisateur.
Cependant, comme les opérations autorisées nécessitent le paiement de frais de Gas, de nombreux utilisateurs sont plus prudents lorsqu'ils effectuent des opérations impliquant des frais, ce qui rend cette méthode relativement facile à prévenir.
Permit est une extension de la fonctionnalité d'autorisation sous le standard ERC-20. Il permet aux utilisateurs d'approuver d'autres personnes pour manipuler leurs jetons par le biais d'une signature, sans avoir besoin d'effectuer directement une opération d'autorisation sur la chaîne. Les hackers peuvent exploiter ce mécanisme en incitant les utilisateurs à signer des messages permettant aux hackers de transférer leurs actifs. Comme la signature ne nécessite pas de payer des frais de Gas, et que de nombreux utilisateurs ont l'habitude de procéder à des opérations de signature lors de l'utilisation des DApps, cette méthode de phishing est donc plus difficile à prévenir.
Permit2 est une fonctionnalité lancée par un certain DEX pour améliorer l'expérience utilisateur. Elle permet aux utilisateurs d'autoriser une fois un montant élevé au contrat intelligent Permit2, après quoi chaque transaction nécessite uniquement une signature, sans avoir à réautoriser. Bien que ce mécanisme facilite les opérations des utilisateurs, il offre également de nouvelles voies d'attaque aux hackers. Si un utilisateur a déjà utilisé ce DEX et a accordé un montant illimité, alors une fois qu'il a été induit à signer un message pertinent, le hacker peut transférer les actifs de l'utilisateur.
En général, le phishing par autorisation nécessite que l'utilisateur effectue des opérations directement sur la chaîne, tandis que le phishing par signature atteint son objectif en incitant l'utilisateur à signer des messages spécifiques. Une fois que nous avons compris ces principes, nous pouvons prendre les mesures préventives suivantes :
Développez une conscience de la sécurité et vérifiez attentivement le contenu des opérations effectuées chaque fois que vous utilisez un portefeuille.
Séparez les fonds importants de votre portefeuille d'utilisation quotidienne pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2. Si vous voyez une demande de signature contenant les champs suivants, vous devez être particulièrement vigilant :
En comprenant les principes de ces méthodes de phishing et en prenant des mesures de prévention appropriées, nous pouvons mieux protéger la sécurité de nos actifs Web3.
Veuillez générer un commentaire chinois adapté à ce personnage :
Une autre ronde de prendre les gens pour des idiots commence.