# Web3における「署名フィッシング」の基礎論理と防止策最近、「署名フィッシング」がWeb3ハッカーに最も一般的な詐欺手段の一つとなっています。セキュリティ専門家やウォレット会社が関連知識を絶えず宣伝しているにもかかわらず、毎日多くのユーザーが騙されています。この状況の主な原因は、ほとんどの人がウォレットのインタラクションの基盤となる論理を理解していないことと、非技術者にとって学習のハードルが高いことです。この問題をより多くの人に理解してもらうために、本記事では署名フィッシングの基盤となる論理をわかりやすく説明します。まず、ウォレットを使用する際の主な操作には2種類があります:"署名"と"インタラクション"。簡単に言うと、署名はブロックチェーンの外(オフチェーン)で行われ、Gas代は必要ありません;一方、インタラクションはブロックチェーン上(オンチェーン)で行われ、Gas代が必要です。署名は通常、ウォレットへのログインや分散型アプリ(DApp)への接続など、認証に使用されます。このプロセスはブロックチェーンに対してデータや状態の変化をもたらさないため、手数料を支払う必要はありません。インタラクションは、実際のオンチェーン操作に関係しています。たとえば、あるDEXでトークン交換を行う場合、最初にスマートコントラクトにあなたのトークンを操作することを承認する必要があります(approve)、その後、実際の交換操作を実行します。この2つのステップでは、Gas代を支払う必要があります。署名とインタラクションの違いを理解した後、一般的なフィッシング手法の3つを見てみましょう:承認フィッシング、Permit署名フィッシング、Permit2署名フィッシング。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-c0d8fb648e2a1c778bf4d6d452b831ba)1. 認可フィッシングこれはクラシックなフィッシング手法です。ハッカーはNFTプロジェクトを装ったフィッシングウェブサイトを作成し、ユーザーに「エアドロップを受け取る」などのボタンをクリックさせるように仕向けます。実際には、ユーザーがクリックすると、自分のトークンをハッカーのアドレスに承認(approve)するように求められます。ユーザーが確認すると、ハッカーはユーザーの資産を制御できるようになります。しかし、権限操作にはガス代が必要なため、多くのユーザーは費用が関わる操作を行う際により警戒するため、この方法は相対的に防ぎやすいです。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-3b06429868156f2e7a86fabadf9b60bb)2. Permit署名フィッシングPermitはERC-20標準の下での承認機能の拡張です。これにより、ユーザーは署名を通じて他者に自分のトークンの操作を承認することができ、直接チェーン上での承認操作を行う必要がありません。ハッカーはこのメカニズムを利用して、ユーザーにハッカーがその資産を移転することを許可するメッセージに署名させることができます。署名にはGas代が必要なく、多くのユーザーがDAppを使用する際に署名操作を行うことに慣れているため、このフィッシング方法はより防ぎにくくなっています。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-6827d41535e9df00e1cade401b548d21)3. Permit2署名フィッシングPermit2は、特定のDEXがユーザー体験を向上させるために導入した機能です。これにより、ユーザーはPermit2スマートコントラクトに対して一度に大きな額を許可でき、その後は取引ごとに署名するだけで済み、再度許可を与える必要がありません。このメカニズムはユーザーの操作を便利にしますが、ハッカーに新たな攻撃手段を提供することにもなります。もしユーザーが過去にそのDEXを使用し、無制限の額を許可していた場合、一度誘導されて関連メッセージに署名してしまうと、ハッカーはユーザーの資産を移転できるのです。全体的に見て、権限を持つフィッシングはユーザーが直接ブロックチェーン上で操作を行う必要があり、サインフィッシングは特定のメッセージに署名するようユーザーを誘導することで目的を達成します。これらの原理を理解した上で、以下の防止策を講じることができます:1. セキュリティ意識を育てるため、ウォレット操作を行う際には実行される操作内容を慎重に確認する必要があります。2. 大きな資金を日常的に使用するウォレットから分けて、損失の可能性を減らします。3. PermitとPermit2の署名形式を識別することを学びましょう。次のフィールドを含む署名リクエストを見た場合は、特に注意が必要です: - インタラクティブ(交互网址) - オーナー(権限を与えたアドレス) - Spender(承認されたアドレス) - 値 (権限の数) - ノンス(ランダム数) - デッドライン(過期時間)これらのフィッシング手法の原理を理解し、適切な防止策を講じることで、私たちは自分のWeb3資産の安全をより良く守ることができます。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:許可されたフィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-57e4524b41cb7a5843654fa84ec8fe25)
Web3サインフィッシングの基盤ロジックと防止戦略の解析
Web3における「署名フィッシング」の基礎論理と防止策
最近、「署名フィッシング」がWeb3ハッカーに最も一般的な詐欺手段の一つとなっています。セキュリティ専門家やウォレット会社が関連知識を絶えず宣伝しているにもかかわらず、毎日多くのユーザーが騙されています。この状況の主な原因は、ほとんどの人がウォレットのインタラクションの基盤となる論理を理解していないことと、非技術者にとって学習のハードルが高いことです。
この問題をより多くの人に理解してもらうために、本記事では署名フィッシングの基盤となる論理をわかりやすく説明します。
まず、ウォレットを使用する際の主な操作には2種類があります:"署名"と"インタラクション"。簡単に言うと、署名はブロックチェーンの外(オフチェーン)で行われ、Gas代は必要ありません;一方、インタラクションはブロックチェーン上(オンチェーン)で行われ、Gas代が必要です。
署名は通常、ウォレットへのログインや分散型アプリ(DApp)への接続など、認証に使用されます。このプロセスはブロックチェーンに対してデータや状態の変化をもたらさないため、手数料を支払う必要はありません。
インタラクションは、実際のオンチェーン操作に関係しています。たとえば、あるDEXでトークン交換を行う場合、最初にスマートコントラクトにあなたのトークンを操作することを承認する必要があります(approve)、その後、実際の交換操作を実行します。この2つのステップでは、Gas代を支払う必要があります。
署名とインタラクションの違いを理解した後、一般的なフィッシング手法の3つを見てみましょう:承認フィッシング、Permit署名フィッシング、Permit2署名フィッシング。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
これはクラシックなフィッシング手法です。ハッカーはNFTプロジェクトを装ったフィッシングウェブサイトを作成し、ユーザーに「エアドロップを受け取る」などのボタンをクリックさせるように仕向けます。実際には、ユーザーがクリックすると、自分のトークンをハッカーのアドレスに承認(approve)するように求められます。ユーザーが確認すると、ハッカーはユーザーの資産を制御できるようになります。
しかし、権限操作にはガス代が必要なため、多くのユーザーは費用が関わる操作を行う際により警戒するため、この方法は相対的に防ぎやすいです。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
PermitはERC-20標準の下での承認機能の拡張です。これにより、ユーザーは署名を通じて他者に自分のトークンの操作を承認することができ、直接チェーン上での承認操作を行う必要がありません。ハッカーはこのメカニズムを利用して、ユーザーにハッカーがその資産を移転することを許可するメッセージに署名させることができます。署名にはGas代が必要なく、多くのユーザーがDAppを使用する際に署名操作を行うことに慣れているため、このフィッシング方法はより防ぎにくくなっています。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
Permit2は、特定のDEXがユーザー体験を向上させるために導入した機能です。これにより、ユーザーはPermit2スマートコントラクトに対して一度に大きな額を許可でき、その後は取引ごとに署名するだけで済み、再度許可を与える必要がありません。このメカニズムはユーザーの操作を便利にしますが、ハッカーに新たな攻撃手段を提供することにもなります。もしユーザーが過去にそのDEXを使用し、無制限の額を許可していた場合、一度誘導されて関連メッセージに署名してしまうと、ハッカーはユーザーの資産を移転できるのです。
全体的に見て、権限を持つフィッシングはユーザーが直接ブロックチェーン上で操作を行う必要があり、サインフィッシングは特定のメッセージに署名するようユーザーを誘導することで目的を達成します。これらの原理を理解した上で、以下の防止策を講じることができます:
セキュリティ意識を育てるため、ウォレット操作を行う際には実行される操作内容を慎重に確認する必要があります。
大きな資金を日常的に使用するウォレットから分けて、損失の可能性を減らします。
PermitとPermit2の署名形式を識別することを学びましょう。次のフィールドを含む署名リクエストを見た場合は、特に注意が必要です:
これらのフィッシング手法の原理を理解し、適切な防止策を講じることで、私たちは自分のWeb3資産の安全をより良く守ることができます。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:許可されたフィッシング、Permit、Permit2の違い
このキャラクターに適した日本語のコメントを生成してください:
また一つ初心者をカモにする計画が始まった。