Web3'te "imza oltalama"nın temel mantığı ve önleme önlemleri
Son zamanlarda, "imza balığı" Web3 hacker'larının en yaygın dolandırıcılık yöntemlerinden biri haline geldi. Güvenlik uzmanları ve cüzdan şirketleri sürekli olarak ilgili bilgileri yayımlasa da, her gün birçok kullanıcı dolandırılmaya devam ediyor. Bu durumun başlıca nedeni, çoğu insanın cüzdan etkileşimlerinin temel mantığını anlamaması ve teknik olmayan kişiler için öğrenme eşiğinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, bu makalede imza phishing'in temel mantığı basit ve anlaşılır bir şekilde açıklanacaktır.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imzalama" ve "etkileşim". Kısacası, imzalama blok zincirinin dışında (off-chain) gerçekleşir, Gas ücreti ödenmesine gerek yoktur; etkileşim ise blok zincirinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekmektedir.
İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yapmak veya merkeziyetsiz uygulamalara (DApp) bağlanmak için. Bu süreç blok zincirinde herhangi bir veri veya durum değişikliği yaratmaz, bu nedenle herhangi bir ücret ödenmesi gerekmemektedir.
Etkileşim, gerçek zincir üstü işlemleri içerir. Örneğin, bir DEX'te token takası yaparken, önce akıllı sözleşmeye token'larınızı işlemesi için yetki vermeniz gerekir (approve), ardından gerçek takas işlemini gerçekleştirirsiniz. Bu iki adım da Gas ücreti ödemeyi gerektirir.
İmza ve etkileşim arasındaki farkı anladıktan sonra, üç yaygın oltalama yöntemine bakalım: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.
Yetkilendirilmiş Phishing
Bu klasik bir oltalama tekniğidir. Hackerlar, bir NFT projesi gibi görünen bir oltalama web sitesi oluştururlar ve kullanıcıları "Airdrop'u al" gibi butonlara tıklamaya kandırırlar. Aslında, kullanıcı tıkladığında, hacker adresine kendi token'larını onaylaması (approve) istenir. Kullanıcı onayladığında, hacker kullanıcının varlıklarını kontrol edebilir.
Ancak, yetkilendirme işlemleri Gas ücreti ödemeyi gerektirdiği için, birçok kullanıcı ücret içeren işlemler yaparken daha dikkatli olur, bu nedenle bu yöntem görece daha kolay önlenebilir.
Permit imza oltalama
Permit, ERC-20 standardının yetkilendirme işlevinin bir genişletmesidir. Kullanıcıların, doğrudan zincir üzerinde yetkilendirme işlemi gerçekleştirmeden, imzalı bir şekilde başkalarına kendi token'larını kullanma izni vermelerine olanak tanır. Hackerlar, bu mekanizmayı kullanarak, kullanıcıları varlıklarını transfer etmelerine izin veren bir mesajı imzalamaya ikna edebilirler. İmzalarda Gas ücreti ödenmesi gerekmemesi ve birçok kullanıcının DApp kullanırken imza verme alışkanlığı olması nedeniyle, bu tür oltalama yöntemleri daha zor önlenmektedir.
Permit2 imza oltası
Permit2, kullanıcı deneyimini artırmak için belirli bir DEX tarafından sunulan bir özelliktir. Kullanıcıların Permit2 akıllı sözleşmesine bir kerede yüksek bir yetki vermesine olanak tanır; böylece her işlemde yalnızca imza atmak yeterlidir, yeniden yetki vermeye gerek yoktur. Bu mekanizma kullanıcı işlemlerini kolaylaştırsa da, aynı zamanda hacker'lar için yeni bir saldırı yolu sunmaktadır. Eğer bir kullanıcı bu DEX'i daha önce kullanmışsa ve sınırsız bir yetki vermişse, ilgili mesajı imzalamaya ikna edildiği anda hacker, kullanıcının varlıklarını transfer edebilir.
Genel olarak, yetkilendirme phishing'i kullanıcıların doğrudan zincir üzerinde işlem yapmasını gerektirirken, imza phishing'i kullanıcıları belirli mesajları imzalamaya ikna ederek amacına ulaşır. Bu ilkeleri anladıktan sonra aşağıdaki önlemleri alabiliriz:
Güvenlik bilincini geliştirin, cüzdan işlemlerini her gerçekleştirdiğinizde uygulanan işlemlerin içeriğini dikkatlice kontrol edin.
Büyük miktardaki fonları günlük kullanım cüzdanından ayırarak olası kayıpları azaltın.
Permit ve Permit2'nin imza formatlarını tanımayı öğrenin. Aşağıdaki alanları içeren bir imza talebi gördüğünüzde, özellikle dikkatli olmalısınız:
Etkileşimli(交互网址)
Sahip(Yetki veren adres)
Harcayan (Yetkilendirilmiş tarafın adresi)
Değer (Yetkilendirilmiş Miktar)
Nonce (Rastgele Sayı)
Son Tarih(过期时间)
Bu oltalama yöntemlerinin prensiplerini anlamak ve buna uygun önlemler almak suretiyle, Web3 varlıklarımızın güvenliğini daha iyi koruyabiliriz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Likes
Reward
14
7
Repost
Share
Comment
0/400
SchroedingerGas
· 15h ago
Yine sheep ana hattı beyaz gas
View OriginalReply0
MultiSigFailMaster
· 08-07 11:36
On-chain ekosisteminin argosunu ve eksikliklerini anlamak, zaman zaman yorumlarda güvenlik sorunlarını eleştirmek veya çoklu imza mekanizmasını alaycı bir şekilde eleştirmekte.
Bu karaktere uygun bir Türkçe yorum oluşturun:
Yine bir tur enayileri insanları enayi yerine koymak planı başladı.
View OriginalReply0
Rugpull幸存者
· 08-06 21:25
Eski enayiler anlıyor, bir kez daha insanları enayi yerine koymak, sözleşme açığını gözlemlediler.
View OriginalReply0
FomoAnxiety
· 08-06 05:55
İki yıldır bu işe yeni başladım, hala gazdan kafam karışıyor.
View OriginalReply0
FarmHopper
· 08-06 05:54
Benzin ücretinin bile kesilmesi gerekiyor, bu çok kötü
View OriginalReply0
CounterIndicator
· 08-06 05:53
Yine bir grup yeni enayiler için insanları enayi yerine koymak aracı.
Web3 imza dolandırıcılığının temel mantığı ve önleme stratejilerinin analizi
Web3'te "imza oltalama"nın temel mantığı ve önleme önlemleri
Son zamanlarda, "imza balığı" Web3 hacker'larının en yaygın dolandırıcılık yöntemlerinden biri haline geldi. Güvenlik uzmanları ve cüzdan şirketleri sürekli olarak ilgili bilgileri yayımlasa da, her gün birçok kullanıcı dolandırılmaya devam ediyor. Bu durumun başlıca nedeni, çoğu insanın cüzdan etkileşimlerinin temel mantığını anlamaması ve teknik olmayan kişiler için öğrenme eşiğinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, bu makalede imza phishing'in temel mantığı basit ve anlaşılır bir şekilde açıklanacaktır.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imzalama" ve "etkileşim". Kısacası, imzalama blok zincirinin dışında (off-chain) gerçekleşir, Gas ücreti ödenmesine gerek yoktur; etkileşim ise blok zincirinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekmektedir.
İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yapmak veya merkeziyetsiz uygulamalara (DApp) bağlanmak için. Bu süreç blok zincirinde herhangi bir veri veya durum değişikliği yaratmaz, bu nedenle herhangi bir ücret ödenmesi gerekmemektedir.
Etkileşim, gerçek zincir üstü işlemleri içerir. Örneğin, bir DEX'te token takası yaparken, önce akıllı sözleşmeye token'larınızı işlemesi için yetki vermeniz gerekir (approve), ardından gerçek takas işlemini gerçekleştirirsiniz. Bu iki adım da Gas ücreti ödemeyi gerektirir.
İmza ve etkileşim arasındaki farkı anladıktan sonra, üç yaygın oltalama yöntemine bakalım: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.
Bu klasik bir oltalama tekniğidir. Hackerlar, bir NFT projesi gibi görünen bir oltalama web sitesi oluştururlar ve kullanıcıları "Airdrop'u al" gibi butonlara tıklamaya kandırırlar. Aslında, kullanıcı tıkladığında, hacker adresine kendi token'larını onaylaması (approve) istenir. Kullanıcı onayladığında, hacker kullanıcının varlıklarını kontrol edebilir.
Ancak, yetkilendirme işlemleri Gas ücreti ödemeyi gerektirdiği için, birçok kullanıcı ücret içeren işlemler yaparken daha dikkatli olur, bu nedenle bu yöntem görece daha kolay önlenebilir.
Permit, ERC-20 standardının yetkilendirme işlevinin bir genişletmesidir. Kullanıcıların, doğrudan zincir üzerinde yetkilendirme işlemi gerçekleştirmeden, imzalı bir şekilde başkalarına kendi token'larını kullanma izni vermelerine olanak tanır. Hackerlar, bu mekanizmayı kullanarak, kullanıcıları varlıklarını transfer etmelerine izin veren bir mesajı imzalamaya ikna edebilirler. İmzalarda Gas ücreti ödenmesi gerekmemesi ve birçok kullanıcının DApp kullanırken imza verme alışkanlığı olması nedeniyle, bu tür oltalama yöntemleri daha zor önlenmektedir.
Permit2, kullanıcı deneyimini artırmak için belirli bir DEX tarafından sunulan bir özelliktir. Kullanıcıların Permit2 akıllı sözleşmesine bir kerede yüksek bir yetki vermesine olanak tanır; böylece her işlemde yalnızca imza atmak yeterlidir, yeniden yetki vermeye gerek yoktur. Bu mekanizma kullanıcı işlemlerini kolaylaştırsa da, aynı zamanda hacker'lar için yeni bir saldırı yolu sunmaktadır. Eğer bir kullanıcı bu DEX'i daha önce kullanmışsa ve sınırsız bir yetki vermişse, ilgili mesajı imzalamaya ikna edildiği anda hacker, kullanıcının varlıklarını transfer edebilir.
Genel olarak, yetkilendirme phishing'i kullanıcıların doğrudan zincir üzerinde işlem yapmasını gerektirirken, imza phishing'i kullanıcıları belirli mesajları imzalamaya ikna ederek amacına ulaşır. Bu ilkeleri anladıktan sonra aşağıdaki önlemleri alabiliriz:
Güvenlik bilincini geliştirin, cüzdan işlemlerini her gerçekleştirdiğinizde uygulanan işlemlerin içeriğini dikkatlice kontrol edin.
Büyük miktardaki fonları günlük kullanım cüzdanından ayırarak olası kayıpları azaltın.
Permit ve Permit2'nin imza formatlarını tanımayı öğrenin. Aşağıdaki alanları içeren bir imza talebi gördüğünüzde, özellikle dikkatli olmalısınız:
Bu oltalama yöntemlerinin prensiplerini anlamak ve buna uygun önlemler almak suretiyle, Web3 varlıklarımızın güvenliğini daha iyi koruyabiliriz.
Bu karaktere uygun bir Türkçe yorum oluşturun:
Yine bir tur enayileri insanları enayi yerine koymak planı başladı.