Підробка підписів у Web3: аналіз принципів та посібник з профілактики
У світі Web3 "фішинг через підпис" стає одним із найулюбленіших методів атаки хакерів. Незважаючи на постійні попередження експертів галузі та компаній з безпеки, щодня чимало користувачів стають жертвами. Однією з основних причин цієї ситуації є те, що більшість людей не розуміють основну логіку взаємодії з гаманцями, а для не технічних осіб поріг навчання відповідних знань є занадто високим.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, ми пояснимо основну логіку підписного фішингу простими та зрозумілими словами.
По-перше, нам потрібно зрозуміти, що при використанні гаманця існує два основних типи операцій: "підпис" та "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не вимагає сплати Gas; тоді як взаємодія відбувається в блокчейні (в ланцюзі) і вимагає сплати Gas.
Підпис зазвичай використовується для автентифікації, наприклад, при вході в гаманець. Коли ви хочете здійснити угоду на децентралізованій біржі, вам потрібно спочатку підключити гаманець, і в цей момент вам потрібно підписати, щоб підтвердити, що ви є власником цього гаманця. Цей процес не змінює жодні дані або стан у блокчейні, тому плата не потрібна.
У порівнянні, взаємодія передбачає фактичні операції на ланцюзі. Наприклад, коли ви обмінюєте токени на децентралізованій біржі, вам спочатку потрібно надати дозвіл смарт-контракту біржі використовувати ваші токени, а потім виконати фактичну операцію обміну. Обидва ці етапи потребують оплати Gas-кошту.
Після розуміння різниці між підписом і взаємодією, давайте розглянемо кілька поширених способів фішингу: фішинг на авторизацію, фішинг на підпис Permit та фішинг на підпис Permit2.
Авторизаційна риболовля використовує механізм авторизації смарт-контрактів. Хакери можуть створити підроблений веб-сайт, спонукаючи користувачів виконувати дії авторизації, насправді дозволяючи хакерській адресі використовувати свої токени.
Підписи Permit і Permit2 для фішингу є більш прихованими. Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам затверджувати інших осіб для використання своїх токенів через підпис. Хакери можуть спонукати користувачів підписати таку угоду, а потім використовувати цю підпис, щоб перемістити активи користувачів.
Permit2 – це функція, яку деякі торгові платформи впровадили для спрощення дій користувачів. Вона дозволяє користувачам одноразово авторизувати платформу на використання значної кількості токенів, після чого для кожної угоди потрібно лише підписати. Хоча це зручно, якщо підпис потрапить до зловмисників, це може призвести до втрати активів.
Щоб запобігти цим ризикам, ми рекомендуємо:
Виховувати свідомість безпеки, щоразу під час роботи з гаманцем уважно перевіряйте, що ви робите.
Розділіть великі кошти та кошти для щоденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підпису Permit і Permit2. Якщо ви бачите запит на підпис, що містить таку інформацію, будьте особливо обережні:
Інтерактивна адреса
Адреса уповноваженої сторони
Адреса уповноваженої особи
Кількість авторизацій
випадкове число
Час закінчення
Розуміючи ці механізми та вживаючи відповідні заходи безпеки, ми можемо краще захистити свої цифрові активи та безпечно брати участь в екосистемі Web3.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
4
Поділіться
Прокоментувати
0/400
0xSherlock
· 13год тому
Знову впіймали кілька сотень eth
Переглянути оригіналвідповісти на0
WalletDetective
· 13год тому
Новачокам слід звернути увагу, що захист від шахрайства дуже важливий.
Всі аспекти фішингу підписів Web3: аналіз принципів та стратегії запобігання
Підробка підписів у Web3: аналіз принципів та посібник з профілактики
У світі Web3 "фішинг через підпис" стає одним із найулюбленіших методів атаки хакерів. Незважаючи на постійні попередження експертів галузі та компаній з безпеки, щодня чимало користувачів стають жертвами. Однією з основних причин цієї ситуації є те, що більшість людей не розуміють основну логіку взаємодії з гаманцями, а для не технічних осіб поріг навчання відповідних знань є занадто високим.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, ми пояснимо основну логіку підписного фішингу простими та зрозумілими словами.
По-перше, нам потрібно зрозуміти, що при використанні гаманця існує два основних типи операцій: "підпис" та "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не вимагає сплати Gas; тоді як взаємодія відбувається в блокчейні (в ланцюзі) і вимагає сплати Gas.
Підпис зазвичай використовується для автентифікації, наприклад, при вході в гаманець. Коли ви хочете здійснити угоду на децентралізованій біржі, вам потрібно спочатку підключити гаманець, і в цей момент вам потрібно підписати, щоб підтвердити, що ви є власником цього гаманця. Цей процес не змінює жодні дані або стан у блокчейні, тому плата не потрібна.
У порівнянні, взаємодія передбачає фактичні операції на ланцюзі. Наприклад, коли ви обмінюєте токени на децентралізованій біржі, вам спочатку потрібно надати дозвіл смарт-контракту біржі використовувати ваші токени, а потім виконати фактичну операцію обміну. Обидва ці етапи потребують оплати Gas-кошту.
Після розуміння різниці між підписом і взаємодією, давайте розглянемо кілька поширених способів фішингу: фішинг на авторизацію, фішинг на підпис Permit та фішинг на підпис Permit2.
Авторизаційна риболовля використовує механізм авторизації смарт-контрактів. Хакери можуть створити підроблений веб-сайт, спонукаючи користувачів виконувати дії авторизації, насправді дозволяючи хакерській адресі використовувати свої токени.
Підписи Permit і Permit2 для фішингу є більш прихованими. Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам затверджувати інших осіб для використання своїх токенів через підпис. Хакери можуть спонукати користувачів підписати таку угоду, а потім використовувати цю підпис, щоб перемістити активи користувачів.
Permit2 – це функція, яку деякі торгові платформи впровадили для спрощення дій користувачів. Вона дозволяє користувачам одноразово авторизувати платформу на використання значної кількості токенів, після чого для кожної угоди потрібно лише підписати. Хоча це зручно, якщо підпис потрапить до зловмисників, це може призвести до втрати активів.
Щоб запобігти цим ризикам, ми рекомендуємо:
Виховувати свідомість безпеки, щоразу під час роботи з гаманцем уважно перевіряйте, що ви робите.
Розділіть великі кошти та кошти для щоденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підпису Permit і Permit2. Якщо ви бачите запит на підпис, що містить таку інформацію, будьте особливо обережні:
Розуміючи ці механізми та вживаючи відповідні заходи безпеки, ми можемо краще захистити свої цифрові активи та безпечно брати участь в екосистемі Web3.