Подпись фишинга в Web3: Анализ принципов и руководство по предотвращению
В мире Web3 "подписной фишинг" становится одним из самых популярных способов атаки среди хакеров. Несмотря на постоянные предупреждения экспертов и компаний по безопасности, ежедневно множество пользователей попадаются в ловушку. Одной из основных причин этой ситуации является то, что большинство людей не понимают базовую логику взаимодействия с кошельками, а для нетехнических специалистов порог для обучения связанным знаниям слишком высок.
Чтобы помочь большему числу людей понять эту проблему, мы разберем основную логику фишинга на подписи простым и доступным языком.
Во-первых, нам нужно понять, что при использовании кошелька существуют две основные операции: "подписание" и "взаимодействие". Проще говоря, подписание происходит вне блокчейна (вне цепи), и не требует оплаты Gas; в то время как взаимодействие происходит на блокчейне (в цепи) и требует оплаты Gas.
Подпись обычно используется для проверки подлинности, например, при входе в кошелек. Когда вы хотите совершить сделку на децентрализованной бирже, вам нужно сначала подключить кошелек, и для этого потребуется подпись, чтобы доказать, что вы являетесь владельцем данного кошелька. Этот процесс не изменяет никаких данных или состояний в блокчейне, поэтому платить за него не нужно.
В отличие от этого, взаимодействие включает в себя реальные операции на блокчейне. Например, когда вы обмениваете токены на децентрализованной бирже, вам сначала нужно разрешить смарт-контракту биржи использовать ваши токены, а затем выполнить фактическую операцию обмена. Для этих двух шагов необходимо оплатить Gas.
Поняв разницу между подписью и взаимодействием, давайте рассмотрим несколько распространенных методов фишинга: фишинг с авторизацией, фишинг с подписью Permit и фишинг с подписью Permit2.
Авторизация фишинга использует механизм авторизации смарт-контрактов. Хакеры могут создать поддельный веб-сайт, чтобы заманить пользователей в выполнение операций авторизации, фактически позволяя пользователям авторизовать адреса хакеров для использования своих токенов.
Подписи Permit и Permit2 более скрытны для фишинга. Permit является расширенной функцией стандарта ERC-20, позволяющей пользователям одобрять других для использования своих токенов через подпись. Хакеры могут заставить пользователей подписывать такие разрешения, а затем использовать эту подпись для перевода активов пользователя.
Permit2 — это функция, введенная некоторыми торговыми платформами для упрощения операций пользователей. Она позволяет пользователям единожды разрешить платформе использование большого количества токенов, после чего для каждой сделки требуется только подпись. Хотя это удобно, если подпись попадет в плохие руки, это может привести к потере активов.
Чтобы избежать этих рисков, мы рекомендуем:
Развивайте осознание безопасности, каждый раз, когда вы работаете с кошельком, внимательно проверяйте, что вы делаете.
Разделите крупные суммы средств и кошелек для повседневного использования, чтобы снизить потенциальные убытки.
Научитесь распознавать формат подписей Permit и Permit2. Если вы увидите запрос на подпись, содержащий следующую информацию, будьте особенно осторожны:
Интерфейсный сайт
Адрес уполномоченной стороны
Адрес уполномоченного лица
Количество разрешений
Случайное число
Время истечения
Понимая эти механизмы и принимая соответствующие меры предосторожности, мы можем лучше защитить свои цифровые активы и безопасно участвовать в экосистеме Web3.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
4
Поделиться
комментарий
0/400
0xSherlock
· 22ч назад
Снова поймали несколько сотен ETH
Посмотреть ОригиналОтветить0
WalletDetective
· 22ч назад
Новичокам следует обратить внимание, защита от мошенничества очень важна.
Полное руководство по фишингу Web3: анализ принципов и стратегии предотвращения
Подпись фишинга в Web3: Анализ принципов и руководство по предотвращению
В мире Web3 "подписной фишинг" становится одним из самых популярных способов атаки среди хакеров. Несмотря на постоянные предупреждения экспертов и компаний по безопасности, ежедневно множество пользователей попадаются в ловушку. Одной из основных причин этой ситуации является то, что большинство людей не понимают базовую логику взаимодействия с кошельками, а для нетехнических специалистов порог для обучения связанным знаниям слишком высок.
Чтобы помочь большему числу людей понять эту проблему, мы разберем основную логику фишинга на подписи простым и доступным языком.
Во-первых, нам нужно понять, что при использовании кошелька существуют две основные операции: "подписание" и "взаимодействие". Проще говоря, подписание происходит вне блокчейна (вне цепи), и не требует оплаты Gas; в то время как взаимодействие происходит на блокчейне (в цепи) и требует оплаты Gas.
Подпись обычно используется для проверки подлинности, например, при входе в кошелек. Когда вы хотите совершить сделку на децентрализованной бирже, вам нужно сначала подключить кошелек, и для этого потребуется подпись, чтобы доказать, что вы являетесь владельцем данного кошелька. Этот процесс не изменяет никаких данных или состояний в блокчейне, поэтому платить за него не нужно.
В отличие от этого, взаимодействие включает в себя реальные операции на блокчейне. Например, когда вы обмениваете токены на децентрализованной бирже, вам сначала нужно разрешить смарт-контракту биржи использовать ваши токены, а затем выполнить фактическую операцию обмена. Для этих двух шагов необходимо оплатить Gas.
Поняв разницу между подписью и взаимодействием, давайте рассмотрим несколько распространенных методов фишинга: фишинг с авторизацией, фишинг с подписью Permit и фишинг с подписью Permit2.
Авторизация фишинга использует механизм авторизации смарт-контрактов. Хакеры могут создать поддельный веб-сайт, чтобы заманить пользователей в выполнение операций авторизации, фактически позволяя пользователям авторизовать адреса хакеров для использования своих токенов.
Подписи Permit и Permit2 более скрытны для фишинга. Permit является расширенной функцией стандарта ERC-20, позволяющей пользователям одобрять других для использования своих токенов через подпись. Хакеры могут заставить пользователей подписывать такие разрешения, а затем использовать эту подпись для перевода активов пользователя.
Permit2 — это функция, введенная некоторыми торговыми платформами для упрощения операций пользователей. Она позволяет пользователям единожды разрешить платформе использование большого количества токенов, после чего для каждой сделки требуется только подпись. Хотя это удобно, если подпись попадет в плохие руки, это может привести к потере активов.
Чтобы избежать этих рисков, мы рекомендуем:
Развивайте осознание безопасности, каждый раз, когда вы работаете с кошельком, внимательно проверяйте, что вы делаете.
Разделите крупные суммы средств и кошелек для повседневного использования, чтобы снизить потенциальные убытки.
Научитесь распознавать формат подписей Permit и Permit2. Если вы увидите запрос на подпись, содержащий следующую информацию, будьте особенно осторожны:
Понимая эти механизмы и принимая соответствующие меры предосторожности, мы можем лучше защитить свои цифровые активы и безопасно участвовать в экосистеме Web3.