Основная логика "подписного фишинга" в Web3 и меры по его предотвращению
В последнее время "фишинг с подписями" стал одним из самых распространенных способов мошенничества среди хакеров Web3. Несмотря на то, что эксперты по безопасности и компании по производству кошельков постоянно распространяют информацию по этой теме, ежедневно многие пользователи становятся жертвами мошенников. Основная причина этого заключается в том, что большинство людей не понимают основную логику взаимодействия с кошельками, и для людей без технического образования уровень сложности обучения довольно высок.
Чтобы помочь большему количеству людей понять эту проблему, в данной статье будет объяснена основная логика фишинга с использованием подделки подписей в доступной и понятной форме.
Во-первых, нам нужно понять, что при использовании кошелька существует две основных операции: "подпись" и "взаимодействие". Проще говоря, подпись происходит вне блокчейна (офлайн) и не требует уплаты комиссии за газ; в то время как взаимодействие происходит в блокчейне (онлайн) и требует уплаты комиссии за газ.
Подпись обычно используется для аутентификации, такой как вход в кошелек или подключение к децентрализованным приложениям (DApp). Этот процесс не создает никаких изменений в данных или состоянии блокчейна, поэтому не требуется оплачивать сборы.
Взаимодействие включает в себя фактические операции на цепочке. Например, при обмене токенов на некотором DEX вам сначала нужно авторизовать смарт-контракт для управления вашими токенами (approve), а затем выполнить фактическую операцию обмена. За оба этих шага необходимо оплатить Gas.
После того как мы разобрались в различиях между подписью и взаимодействием, давайте рассмотрим три распространенных способа фишинга: фишинг с авторизацией, фишинг с подписью Permit и фишинг с подписью Permit2.
Авторизация фишинга
Это классическая схема фишинга. Хакеры создадут фишинговый сайт, замаскированный под NFT проект, чтобы заманить пользователей кликнуть на кнопки вроде "Получить аирдроп". На самом деле, после нажатия пользователям будет предложено разрешить (approve) свои токены для адреса хакера. Как только пользователь подтвердит, хакер сможет контролировать активы пользователя.
Однако, поскольку для авторизованных операций требуется платить Gas-стоимость, многие пользователи становятся более осторожными при выполнении операций, связанных с расходами, поэтому этот способ относительно легко предотвратить.
Подпись разрешения Фишинг
Permit — это расширение функции авторизации в стандарте ERC-20. Оно позволяет пользователям одобрять другим возможность управлять своими токенами с помощью подписей, не выполняя прямых операций авторизации в сети. Хакеры могут использовать этот механизм, чтобы заставить пользователей подписывать сообщения, разрешающие хакерам перемещать их активы. Поскольку подпись не требует оплаты Gas-расходов, и многие пользователи привыкли выполнять операции подписания при использовании DApp, такая форма фишинга становится труднее предотвратить.
Фишинг подписей Permit2
Permit2 — это функция, введенная некоторыми DEX для повышения удобства использования. Она позволяет пользователям один раз предоставить большие полномочия смарт-контракту Permit2, после чего для каждой последующей сделки требуется только подпись, без необходимости повторного предоставления полномочий. Хотя этот механизм облегчает операции пользователей, он также предоставляет хакерам новые пути атаки. Если пользователь когда-либо использовал этот DEX и предоставил неограниченные полномочия, то, если его убедят подписать соответствующее сообщение, хакер сможет перевести активы пользователя.
В целом, авторизационная фишинговая атака требует от пользователей прямых действий в блокчейне, в то время как фишинговая атака с использованием подписей достигается путем побуждения пользователей подписать определенные сообщения. Поняв эти принципы, мы можем принять следующие меры предосторожности:
Развивайте осознание безопасности и внимательно проверяйте фактическое содержание выполняемых операций каждый раз при работе с кошельком.
Разделите крупные суммы средств и деньги для повседневного использования, чтобы снизить возможные потери.
Научитесь распознавать формат подписей Permit и Permit2. Если вы видите запрос на подпись, содержащий следующие поля, будьте особенно осторожны:
Интерактивный(交互网址)
Владелец(адрес уполномоченного лица)
Spender (адрес уполномоченного лица)
Значение(授权数量)
Нонс (случайное число)
Срок действия(过期时间)
Понимая принципы этих фишинговых методов и принимая соответствующие меры предосторожности, мы можем лучше защитить безопасность своих активов Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
7
Репост
Поделиться
комментарий
0/400
SchroedingerGas
· 17ч назад
Основной линией овец является белый газ
Посмотреть ОригиналОтветить0
MultiSigFailMaster
· 08-07 11:36
Понимая черный язык и недостатки экосистемы в блокчейне, время от времени в комментариях критикуют проблемы безопасности или насмехаются над мультиподписями, с легкой иронией.
Сгенерируйте комментарий, подходящий для этой роли:
Еще один этап разыгрывания неудачников начинается.
Посмотреть ОригиналОтветить0
Rugpull幸存者
· 08-06 21:25
Старые неудачники поняли, что их снова разыгрывают как лохов, став свидетелями уязвимости контракта.
Посмотреть ОригиналОтветить0
FomoAnxiety
· 08-06 05:55
Входил в это два года назад, а всё ещё запутан из-за газа.
Посмотреть ОригиналОтветить0
FarmHopper
· 08-06 05:54
连Газ费也要разыгрывайте людей как лохов 太坏啦
Посмотреть ОригиналОтветить0
CounterIndicator
· 08-06 05:53
又是一波新неудачникиразыгрывайте людей как лохов工具
Посмотреть ОригиналОтветить0
GasFeeNightmare
· 08-06 05:43
Газ действительно очень дорогой, не могу больше терпеть.
Анализ основной логики и стратегий предотвращения фишинга подписей Web3
Основная логика "подписного фишинга" в Web3 и меры по его предотвращению
В последнее время "фишинг с подписями" стал одним из самых распространенных способов мошенничества среди хакеров Web3. Несмотря на то, что эксперты по безопасности и компании по производству кошельков постоянно распространяют информацию по этой теме, ежедневно многие пользователи становятся жертвами мошенников. Основная причина этого заключается в том, что большинство людей не понимают основную логику взаимодействия с кошельками, и для людей без технического образования уровень сложности обучения довольно высок.
Чтобы помочь большему количеству людей понять эту проблему, в данной статье будет объяснена основная логика фишинга с использованием подделки подписей в доступной и понятной форме.
Во-первых, нам нужно понять, что при использовании кошелька существует две основных операции: "подпись" и "взаимодействие". Проще говоря, подпись происходит вне блокчейна (офлайн) и не требует уплаты комиссии за газ; в то время как взаимодействие происходит в блокчейне (онлайн) и требует уплаты комиссии за газ.
Подпись обычно используется для аутентификации, такой как вход в кошелек или подключение к децентрализованным приложениям (DApp). Этот процесс не создает никаких изменений в данных или состоянии блокчейна, поэтому не требуется оплачивать сборы.
Взаимодействие включает в себя фактические операции на цепочке. Например, при обмене токенов на некотором DEX вам сначала нужно авторизовать смарт-контракт для управления вашими токенами (approve), а затем выполнить фактическую операцию обмена. За оба этих шага необходимо оплатить Gas.
После того как мы разобрались в различиях между подписью и взаимодействием, давайте рассмотрим три распространенных способа фишинга: фишинг с авторизацией, фишинг с подписью Permit и фишинг с подписью Permit2.
Это классическая схема фишинга. Хакеры создадут фишинговый сайт, замаскированный под NFT проект, чтобы заманить пользователей кликнуть на кнопки вроде "Получить аирдроп". На самом деле, после нажатия пользователям будет предложено разрешить (approve) свои токены для адреса хакера. Как только пользователь подтвердит, хакер сможет контролировать активы пользователя.
Однако, поскольку для авторизованных операций требуется платить Gas-стоимость, многие пользователи становятся более осторожными при выполнении операций, связанных с расходами, поэтому этот способ относительно легко предотвратить.
Permit — это расширение функции авторизации в стандарте ERC-20. Оно позволяет пользователям одобрять другим возможность управлять своими токенами с помощью подписей, не выполняя прямых операций авторизации в сети. Хакеры могут использовать этот механизм, чтобы заставить пользователей подписывать сообщения, разрешающие хакерам перемещать их активы. Поскольку подпись не требует оплаты Gas-расходов, и многие пользователи привыкли выполнять операции подписания при использовании DApp, такая форма фишинга становится труднее предотвратить.
Permit2 — это функция, введенная некоторыми DEX для повышения удобства использования. Она позволяет пользователям один раз предоставить большие полномочия смарт-контракту Permit2, после чего для каждой последующей сделки требуется только подпись, без необходимости повторного предоставления полномочий. Хотя этот механизм облегчает операции пользователей, он также предоставляет хакерам новые пути атаки. Если пользователь когда-либо использовал этот DEX и предоставил неограниченные полномочия, то, если его убедят подписать соответствующее сообщение, хакер сможет перевести активы пользователя.
В целом, авторизационная фишинговая атака требует от пользователей прямых действий в блокчейне, в то время как фишинговая атака с использованием подписей достигается путем побуждения пользователей подписать определенные сообщения. Поняв эти принципы, мы можем принять следующие меры предосторожности:
Развивайте осознание безопасности и внимательно проверяйте фактическое содержание выполняемых операций каждый раз при работе с кошельком.
Разделите крупные суммы средств и деньги для повседневного использования, чтобы снизить возможные потери.
Научитесь распознавать формат подписей Permit и Permit2. Если вы видите запрос на подпись, содержащий следующие поля, будьте особенно осторожны:
Понимая принципы этих фишинговых методов и принимая соответствующие меры предосторожности, мы можем лучше защитить безопасность своих активов Web3.
Сгенерируйте комментарий, подходящий для этой роли:
Еще один этап разыгрывания неудачников начинается.