A lógica subjacente da "phishing por assinatura" no Web3 e medidas de prevenção
Recentemente, a "phishing por assinatura" tornou-se uma das táticas de golpe mais comuns entre os hackers do Web3. Apesar de especialistas em segurança e empresas de carteiras promoverem constantemente informações relacionadas, muitos usuários ainda caem em armadilhas todos os dias. A principal razão para isso é que a maioria das pessoas carece de compreensão sobre a lógica subjacente das interações com carteiras, e o nível de dificuldade para aprender é bastante elevado para pessoas não técnicas.
Para ajudar mais pessoas a entender este problema, este artigo explicará a lógica subjacente à phishing por assinatura de forma simples e acessível.
Primeiro, precisamos entender que ao usar uma carteira, existem duas operações principais: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), sem necessidade de pagar taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento de taxas de Gas.
A assinatura é geralmente utilizada para autenticação, como ao fazer login na carteira ou conectar-se a aplicações descentralizadas (DApp). Este processo não gera nenhuma alteração de dados ou estado na blockchain, portanto, não é necessário pagar taxas.
A interação envolve operações reais na blockchain. Por exemplo, ao realizar a troca de tokens em um DEX, você precisa primeiro autorizar o contrato inteligente a operar seus tokens (approve) e, em seguida, executar a operação de troca real. Ambas as etapas exigem o pagamento de taxas de Gas.
Depois de entender a diferença entre assinatura e interação, vamos dar uma olhada em três tipos comuns de phishing: phishing por autorização, phishing por assinatura Permit e phishing por assinatura Permit2.
Phishing autorizado
Esta é uma técnica clássica de phishing. Os hackers criam um site de phishing disfarçado de projeto NFT, induzindo os usuários a clicar em botões como "receber airdrop". Na realidade, ao clicar, os usuários serão solicitados a autorizar (approve) seus tokens para o endereço do hacker. Uma vez que o usuário confirma, o hacker pode controlar os ativos do usuário.
No entanto, como as operações autorizadas exigem o pagamento de taxas de Gas, muitos usuários ficam mais cautelosos ao realizar operações que envolvem custos, tornando este método relativamente fácil de prevenir.
Phishing de assinatura de Permissão
Permit é uma extensão da funcionalidade de autorização sob o padrão ERC-20. Permite que os usuários aprovem outras pessoas para operar seus tokens por meio de uma assinatura, sem a necessidade de realizar operações de autorização diretamente na blockchain. Hackers podem explorar esse mecanismo para induzir os usuários a assinar mensagens que permitem aos hackers transferir seus ativos. Como a assinatura não requer o pagamento de taxas de Gas e muitos usuários estão habituados a realizar operações de assinatura ao usar DApps, esse tipo de phishing é mais difícil de prevenir.
Phishing de assinatura Permit2
Permit2 é uma funcionalidade lançada por um DEX para melhorar a experiência do usuário. Permite que os usuários autorizem uma grande quantia de uma só vez ao contrato inteligente Permit2, e depois, para cada transação, é necessário apenas assinar, sem precisar autorizar novamente. Embora esse mecanismo facilite a operação dos usuários, também fornece novas vias de ataque para hackers. Se um usuário já usou esse DEX e concedeu um limite infinito, assim que for induzido a assinar uma mensagem relacionada, o hacker poderá transferir os ativos do usuário.
De um modo geral, a phishing de autorização requer que os usuários realizem operações diretamente na blockchain, enquanto a phishing de assinatura é alcançada ao induzir os usuários a assinar mensagens específicas. Depois de entender esses princípios, podemos tomar as seguintes medidas preventivas:
Desenvolver a consciência de segurança, verificando cuidadosamente o conteúdo da operação realmente executada a cada vez que realizar operações na carteira.
Separe os fundos grandes da carteira usada no dia a dia para reduzir as possíveis perdas.
Aprenda a identificar o formato de assinatura do Permit e do Permit2. Se você vir um pedido de assinatura que contenha os seguintes campos, deve ficar especialmente atento:
Interativo(交互网址)
Proprietário(授权方地址)
Spender (endereço autorizado)
Valor (Quantidade autorizada)
Nonce (número aleatório)
Prazo de validade
Ao compreender os princípios por trás dessas técnicas de phishing e adotar as devidas medidas de precaução, podemos proteger melhor a segurança dos nossos ativos Web3.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
12 gostos
Recompensa
12
5
Partilhar
Comentar
0/400
Rugpull幸存者
· 8h atrás
Os idiotas antigos entenderam e foram feitos de parvas mais uma vez, testemunhando a falha do contrato.
Ver originalResponder0
FomoAnxiety
· 23h atrás
Entrou há dois anos e ainda está confuso com o gás.
Ver originalResponder0
FarmHopper
· 23h atrás
Até o gás tem que fazer as pessoas de parvas, muito maldade!
Análise da lógica subjacente e estratégias de prevenção de phishing de assinatura Web3
A lógica subjacente da "phishing por assinatura" no Web3 e medidas de prevenção
Recentemente, a "phishing por assinatura" tornou-se uma das táticas de golpe mais comuns entre os hackers do Web3. Apesar de especialistas em segurança e empresas de carteiras promoverem constantemente informações relacionadas, muitos usuários ainda caem em armadilhas todos os dias. A principal razão para isso é que a maioria das pessoas carece de compreensão sobre a lógica subjacente das interações com carteiras, e o nível de dificuldade para aprender é bastante elevado para pessoas não técnicas.
Para ajudar mais pessoas a entender este problema, este artigo explicará a lógica subjacente à phishing por assinatura de forma simples e acessível.
Primeiro, precisamos entender que ao usar uma carteira, existem duas operações principais: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), sem necessidade de pagar taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento de taxas de Gas.
A assinatura é geralmente utilizada para autenticação, como ao fazer login na carteira ou conectar-se a aplicações descentralizadas (DApp). Este processo não gera nenhuma alteração de dados ou estado na blockchain, portanto, não é necessário pagar taxas.
A interação envolve operações reais na blockchain. Por exemplo, ao realizar a troca de tokens em um DEX, você precisa primeiro autorizar o contrato inteligente a operar seus tokens (approve) e, em seguida, executar a operação de troca real. Ambas as etapas exigem o pagamento de taxas de Gas.
Depois de entender a diferença entre assinatura e interação, vamos dar uma olhada em três tipos comuns de phishing: phishing por autorização, phishing por assinatura Permit e phishing por assinatura Permit2.
Esta é uma técnica clássica de phishing. Os hackers criam um site de phishing disfarçado de projeto NFT, induzindo os usuários a clicar em botões como "receber airdrop". Na realidade, ao clicar, os usuários serão solicitados a autorizar (approve) seus tokens para o endereço do hacker. Uma vez que o usuário confirma, o hacker pode controlar os ativos do usuário.
No entanto, como as operações autorizadas exigem o pagamento de taxas de Gas, muitos usuários ficam mais cautelosos ao realizar operações que envolvem custos, tornando este método relativamente fácil de prevenir.
Permit é uma extensão da funcionalidade de autorização sob o padrão ERC-20. Permite que os usuários aprovem outras pessoas para operar seus tokens por meio de uma assinatura, sem a necessidade de realizar operações de autorização diretamente na blockchain. Hackers podem explorar esse mecanismo para induzir os usuários a assinar mensagens que permitem aos hackers transferir seus ativos. Como a assinatura não requer o pagamento de taxas de Gas e muitos usuários estão habituados a realizar operações de assinatura ao usar DApps, esse tipo de phishing é mais difícil de prevenir.
Permit2 é uma funcionalidade lançada por um DEX para melhorar a experiência do usuário. Permite que os usuários autorizem uma grande quantia de uma só vez ao contrato inteligente Permit2, e depois, para cada transação, é necessário apenas assinar, sem precisar autorizar novamente. Embora esse mecanismo facilite a operação dos usuários, também fornece novas vias de ataque para hackers. Se um usuário já usou esse DEX e concedeu um limite infinito, assim que for induzido a assinar uma mensagem relacionada, o hacker poderá transferir os ativos do usuário.
De um modo geral, a phishing de autorização requer que os usuários realizem operações diretamente na blockchain, enquanto a phishing de assinatura é alcançada ao induzir os usuários a assinar mensagens específicas. Depois de entender esses princípios, podemos tomar as seguintes medidas preventivas:
Desenvolver a consciência de segurança, verificando cuidadosamente o conteúdo da operação realmente executada a cada vez que realizar operações na carteira.
Separe os fundos grandes da carteira usada no dia a dia para reduzir as possíveis perdas.
Aprenda a identificar o formato de assinatura do Permit e do Permit2. Se você vir um pedido de assinatura que contenha os seguintes campos, deve ficar especialmente atento:
Ao compreender os princípios por trás dessas técnicas de phishing e adotar as devidas medidas de precaução, podemos proteger melhor a segurança dos nossos ativos Web3.