Web3 ekosisteminin gelişimiyle birlikte, "imza oltalama" artık hackerların en çok tercih ettiği saldırı yöntemlerinden biri haline geldi. Sektördeki uzmanlar ve güvenlik şirketleri sürekli olarak farkındalık yaratmaya çalışsalar da, her gün çok sayıda kullanıcı tuzağa düşüyor. Bunun başlıca nedeni, çoğu kullanıcının cüzdan etkileşimlerinin temel mekanizmaları hakkında yeterli bilgiye sahip olmaması ve teknik olmayan kişiler için ilgili bilgilerin öğrenme eşiğinin yüksek olmasıdır.
Daha fazla kişinin bu riski anlaması ve önlemesini sağlamak için, Web3 cüzdan işlemlerinin iki temel modunu anlaşılır bir şekilde açıklayacağız: "imza" ve "etkileşim".
İmza, blok zinciri dışında gerçekleşen bir işlemdir ve Gas ücreti ödemeyi gerektirmez. Genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yapmak veya merkeziyetsiz uygulamalara (DApp) bağlanmak için. Örneğin, bir DEX'te token takası yapmak istediğinizde, önce cüzdanınızı bağlamanız gerekir; bu, siteye "Ben bu cüzdanın sahibiyim" demek için bir imza işlemini içerir. Bu süreç blok zincirinde herhangi bir etki yaratmaz, bu nedenle ücret yoktur.
Etkileşim, doğrudan blok zincirinde gerçekleştirilen işlemlerdir ve Gas ücreti ödenmesini gerektirir. DEX'te token takası yapmayı örnek alırsak, önce akıllı sözleşmenin tokenlerinizi kullanması için onay vermeniz (approve) gerekir, ardından gerçek takas işlemini gerçekleştirirsiniz. Bu iki adımda da Gas ücreti ödenmesi gerekmektedir.
Bu iki işlem arasındaki farkları anladıktan sonra, yaygın üç oltalama yöntemine bakalım: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.
Yetkilendirme phishing'i approve mekanizmasını kullanarak gerçekleştirilir. Hackerlar, kullanıcıları "airdrop al" butonuna tıklamaya ikna eden, bir NFT projesine benzer bir phishing sitesi oluşturabilir. Aslında, bu işlem bir yetkilendirme talebini tetikler ve hackerın kullanıcının token'larını kontrol etmesine izin verir. Ancak, bu tür bir işlem Gas ücreti ödemeyi gerektirdiğinden, kullanıcılar genellikle daha dikkatli olur, bu da bu tür bir phishing yönteminin nispeten kolay bir şekilde tanınmasını sağlar.
Permit ve Permit2 imza dolandırıcılığı daha gizli bir şekilde gerçekleşiyor çünkü bunlar kullanıcıların imza işlemlerine olan güvenini kullanıyor. Permit, kullanıcıların başkalarına kendi token'larını hareket ettirmeleri için imza ile yetki vermesine olanak tanıyan ERC-20 standardının bir genişletme özelliğidir. Hackerlar, kullanıcıları zararsız görünen bir mesaj imzalamaya teşvik edebilir; oysa bu, hacker'a kullanıcı varlıklarını transfer etmesi için bir "izin" vermektedir.
Permit2, belirli bir DEX tarafından sunulan bir özelliktir ve kullanıcı işlemlerini basitleştirmeyi ve Gas maliyetlerini düşürmeyi amaçlar. Ancak, eğer kullanıcı daha önce bu DEX'i kullandıysa ve sınırsız bir yetki verdiyse, kötü niyetli bir Permit2 mesajı imzalandığında, bir hacker kullanıcı varlıklarını kolayca transfer edebilir.
Bu riskleri önlemek için kullanıcılar şunları yapmalıdır:
Güvenlik bilincini geliştirin, cüzdan işlemi yaparken her seferinde dikkatlice kontrol edin.
Büyük miktardaki fonları günlük kullanılan cüzdanlardan ayırın, potansiyel kayıpları azaltın.
Permit ve Permit2'nin imza formatını tanımayı öğrenin, bu format arasında etkileşimli web sitesi, yetkilendiren adres, yetkilendirilen adres, yetki miktarı, rasgele sayı ve sona erme süresi gibi bilgileri içerir.
Sonuç olarak, Web3 kullanıcıları her zaman dikkatli olmalı ve her işlemdeki anlamı derinlemesine anlamalıdırlar, böylece dijital varlıklarının güvenliğini koruyabilirler.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
11 Likes
Reward
11
6
Share
Comment
0/400
ApeWithNoChain
· 17h ago
enayiler çok fazla yükseliş gördü, artık hissetmiyorlar...
View OriginalReply0
WalletDetective
· 17h ago
İmza etkileşimi falan beni mahvetti.
View OriginalReply0
RektCoaster
· 17h ago
Yine olmadı, birazdan devrilecek.
View OriginalReply0
JustAnotherWallet
· 17h ago
Yine birkaç kez dolandırıldım.
View OriginalReply0
TokenUnlocker
· 17h ago
Ah, acemi asla büyümeyecek.
View OriginalReply0
AirdropHunterWang
· 17h ago
Yine arka planda gizlice saldırıya uğrayan bir gün gg
Web3 İmza Phishing Saldırıları Analizi: Temel Mekanizmalardan Koruma Stratejilerine
Web3 İmza Oltalama Altında Yatan Mantığın Analizi
Web3 ekosisteminin gelişimiyle birlikte, "imza oltalama" artık hackerların en çok tercih ettiği saldırı yöntemlerinden biri haline geldi. Sektördeki uzmanlar ve güvenlik şirketleri sürekli olarak farkındalık yaratmaya çalışsalar da, her gün çok sayıda kullanıcı tuzağa düşüyor. Bunun başlıca nedeni, çoğu kullanıcının cüzdan etkileşimlerinin temel mekanizmaları hakkında yeterli bilgiye sahip olmaması ve teknik olmayan kişiler için ilgili bilgilerin öğrenme eşiğinin yüksek olmasıdır.
Daha fazla kişinin bu riski anlaması ve önlemesini sağlamak için, Web3 cüzdan işlemlerinin iki temel modunu anlaşılır bir şekilde açıklayacağız: "imza" ve "etkileşim".
İmza, blok zinciri dışında gerçekleşen bir işlemdir ve Gas ücreti ödemeyi gerektirmez. Genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yapmak veya merkeziyetsiz uygulamalara (DApp) bağlanmak için. Örneğin, bir DEX'te token takası yapmak istediğinizde, önce cüzdanınızı bağlamanız gerekir; bu, siteye "Ben bu cüzdanın sahibiyim" demek için bir imza işlemini içerir. Bu süreç blok zincirinde herhangi bir etki yaratmaz, bu nedenle ücret yoktur.
Etkileşim, doğrudan blok zincirinde gerçekleştirilen işlemlerdir ve Gas ücreti ödenmesini gerektirir. DEX'te token takası yapmayı örnek alırsak, önce akıllı sözleşmenin tokenlerinizi kullanması için onay vermeniz (approve) gerekir, ardından gerçek takas işlemini gerçekleştirirsiniz. Bu iki adımda da Gas ücreti ödenmesi gerekmektedir.
Bu iki işlem arasındaki farkları anladıktan sonra, yaygın üç oltalama yöntemine bakalım: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.
Yetkilendirme phishing'i approve mekanizmasını kullanarak gerçekleştirilir. Hackerlar, kullanıcıları "airdrop al" butonuna tıklamaya ikna eden, bir NFT projesine benzer bir phishing sitesi oluşturabilir. Aslında, bu işlem bir yetkilendirme talebini tetikler ve hackerın kullanıcının token'larını kontrol etmesine izin verir. Ancak, bu tür bir işlem Gas ücreti ödemeyi gerektirdiğinden, kullanıcılar genellikle daha dikkatli olur, bu da bu tür bir phishing yönteminin nispeten kolay bir şekilde tanınmasını sağlar.
Permit ve Permit2 imza dolandırıcılığı daha gizli bir şekilde gerçekleşiyor çünkü bunlar kullanıcıların imza işlemlerine olan güvenini kullanıyor. Permit, kullanıcıların başkalarına kendi token'larını hareket ettirmeleri için imza ile yetki vermesine olanak tanıyan ERC-20 standardının bir genişletme özelliğidir. Hackerlar, kullanıcıları zararsız görünen bir mesaj imzalamaya teşvik edebilir; oysa bu, hacker'a kullanıcı varlıklarını transfer etmesi için bir "izin" vermektedir.
Permit2, belirli bir DEX tarafından sunulan bir özelliktir ve kullanıcı işlemlerini basitleştirmeyi ve Gas maliyetlerini düşürmeyi amaçlar. Ancak, eğer kullanıcı daha önce bu DEX'i kullandıysa ve sınırsız bir yetki verdiyse, kötü niyetli bir Permit2 mesajı imzalandığında, bir hacker kullanıcı varlıklarını kolayca transfer edebilir.
Bu riskleri önlemek için kullanıcılar şunları yapmalıdır:
Sonuç olarak, Web3 kullanıcıları her zaman dikkatli olmalı ve her işlemdeki anlamı derinlemesine anlamalıdırlar, böylece dijital varlıklarının güvenliğini koruyabilirler.