Анализ базовой логики фишинга с использованием подписей Web3
С развитием экосистемы Web3 «фишинг с подписями» стал одним из самых популярных методов атаки среди хакеров. Несмотря на то, что эксперты отрасли и компании по безопасности постоянно проводят образовательные кампании, ежедневно большое количество пользователей попадает в ловушки. Это в основном связано с тем, что большинство пользователей не понимают базовые механизмы взаимодействия с кошельками, и для нетехнических специалистов порог обучения связанными знаниями достаточно высок.
Чтобы больше людей понимали и предотвращали этот риск, мы объясним двумя простыми способами две основные модели работы с Web3-кошельками: "подпись" и "взаимодействие".
Подпись — это операция, происходящая вне блокчейна, и она не требует оплаты газа. Обычно она используется для аутентификации, например, для входа в кошелек или подключения к децентрализованному приложению (DApp). Например, когда вы хотите обменять токены на каком-либо DEX, сначала вам нужно подключить кошелек, что подразумевает выполнение операции подписи, которая сообщает сайту: "Я владелец этого кошелька". Этот процесс не влияет на блокчейн, поэтому не требуется оплата.
Взаимодействие - это операции, выполняемые непосредственно в блокчейне, за которые необходимо оплачивать газовые сборы. Например, при обмене токенов на DEX, сначала вам нужно разрешить (approve) смарт-контракту использовать ваши токены, а затем выполнить фактическую операцию обмена. Оба этих этапа требуют оплаты газовых сборов.
После того как мы разобрались в различиях между этими двумя операциями, давайте рассмотрим три распространенных способа фишинга: фишинг авторизации, фишинг подписи Permit и фишинг подписи Permit2.
Авторизация фишинга осуществляется с использованием механизма approve. Хакеры могут создать фишинговый сайт, маскирующийся под проект NFT, чтобы побудить пользователей нажать кнопку "Получить аирдроп". На самом деле это действие инициирует запрос на авторизацию, позволяющий хакерам контролировать токены пользователей. Однако, поскольку такое действие требует оплаты Gas, пользователи, как правило, становятся более осторожными, что делает этот способ фишинга относительно легко распознаваемым.
Подписи Permit и Permit2 для фишинга более скрытны, так как они используют доверие пользователей к операциям подписания. Permit — это расширенная функция стандарта ERC-20, которая позволяет пользователям авторизовать других для перемещения своих токенов через подпись. Хакеры могут заставить пользователей подписать на вид безвредное сообщение, которое на самом деле является "лицензией" на передачу активов пользователя хакерам.
Permit2 - это функция, разработанная определенной DEX, направленная на упрощение операций пользователей и снижение затрат на газ. Однако если пользователь когда-либо использовал этот DEX и предоставил неограниченный лимит, то после подписания злонамеренного сообщения Permit2 хакер может легко переместить активы пользователя.
Чтобы предотвратить эти риски, пользователи должны:
Развивайте осознание безопасности, каждый раз при выполнении операций с кошельком внимательно проверяйте.
Разделите крупные суммы денег и кошелек для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать формат подписи Permit и Permit2, включая информацию о взаимодействующем URL, адресе стороны, предоставляющей разрешение, адресе стороны, получающей разрешение, количестве разрешения, случайном числе и времени истечения.
В общем, пользователи Web3 должны всегда быть настороже и глубоко понимать значение каждой операции, чтобы защитить свои цифровые активы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
6
Поделиться
комментарий
0/400
ApeWithNoChain
· 17ч назад
неудачники看多了都麻木了...
Посмотреть ОригиналОтветить0
WalletDetective
· 17ч назад
Подпись взаимодействия и тому подобное, просто убивает меня.
Посмотреть ОригиналОтветить0
RektCoaster
· 17ч назад
Снова не работает, через некоторое время потерпим неудачу.
Анализ фишинга с подписями Web3: от основных механизмов до стратегий защиты
Анализ базовой логики фишинга с использованием подписей Web3
С развитием экосистемы Web3 «фишинг с подписями» стал одним из самых популярных методов атаки среди хакеров. Несмотря на то, что эксперты отрасли и компании по безопасности постоянно проводят образовательные кампании, ежедневно большое количество пользователей попадает в ловушки. Это в основном связано с тем, что большинство пользователей не понимают базовые механизмы взаимодействия с кошельками, и для нетехнических специалистов порог обучения связанными знаниями достаточно высок.
Чтобы больше людей понимали и предотвращали этот риск, мы объясним двумя простыми способами две основные модели работы с Web3-кошельками: "подпись" и "взаимодействие".
Подпись — это операция, происходящая вне блокчейна, и она не требует оплаты газа. Обычно она используется для аутентификации, например, для входа в кошелек или подключения к децентрализованному приложению (DApp). Например, когда вы хотите обменять токены на каком-либо DEX, сначала вам нужно подключить кошелек, что подразумевает выполнение операции подписи, которая сообщает сайту: "Я владелец этого кошелька". Этот процесс не влияет на блокчейн, поэтому не требуется оплата.
Взаимодействие - это операции, выполняемые непосредственно в блокчейне, за которые необходимо оплачивать газовые сборы. Например, при обмене токенов на DEX, сначала вам нужно разрешить (approve) смарт-контракту использовать ваши токены, а затем выполнить фактическую операцию обмена. Оба этих этапа требуют оплаты газовых сборов.
После того как мы разобрались в различиях между этими двумя операциями, давайте рассмотрим три распространенных способа фишинга: фишинг авторизации, фишинг подписи Permit и фишинг подписи Permit2.
Авторизация фишинга осуществляется с использованием механизма approve. Хакеры могут создать фишинговый сайт, маскирующийся под проект NFT, чтобы побудить пользователей нажать кнопку "Получить аирдроп". На самом деле это действие инициирует запрос на авторизацию, позволяющий хакерам контролировать токены пользователей. Однако, поскольку такое действие требует оплаты Gas, пользователи, как правило, становятся более осторожными, что делает этот способ фишинга относительно легко распознаваемым.
Подписи Permit и Permit2 для фишинга более скрытны, так как они используют доверие пользователей к операциям подписания. Permit — это расширенная функция стандарта ERC-20, которая позволяет пользователям авторизовать других для перемещения своих токенов через подпись. Хакеры могут заставить пользователей подписать на вид безвредное сообщение, которое на самом деле является "лицензией" на передачу активов пользователя хакерам.
Permit2 - это функция, разработанная определенной DEX, направленная на упрощение операций пользователей и снижение затрат на газ. Однако если пользователь когда-либо использовал этот DEX и предоставил неограниченный лимит, то после подписания злонамеренного сообщения Permit2 хакер может легко переместить активы пользователя.
Чтобы предотвратить эти риски, пользователи должны:
В общем, пользователи Web3 должны всегда быть настороже и глубоко понимать значение каждой операции, чтобы защитить свои цифровые активы.