Основна логіка та заходи запобігання "фішингу підписів" у Web3
Нещодавно «фішинг через підпис» став одним із найпоширеніших способів шахрайства серед хакерів Web3. Незважаючи на те, що експерти з безпеки та компанії-гаманці постійно поширюють відповідні знання, щодня все ще багато користувачів стають жертвами шахрайства. Основною причиною цього є те, що більшість людей не розуміють основну логіку взаємодії з гаманцями, і для нетехнічних спеціалістів поріг навчання є досить високим.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, у цій статті буде пояснено основну логіку підписного фішингу простими і зрозумілими словами.
По-перше, нам потрібно зрозуміти, що при використанні гаманця є дві основні операції: "підпис" та "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не вимагає сплати комісії за газ; а взаємодія відбувається в блокчейні (в ланцюзі) і вимагає сплати комісії за газ.
Підпис зазвичай використовується для автентифікації, наприклад, для входу в гаманець або підключення до децентралізованих застосунків (DApp). Цей процес не викликає жодних змін у даних або стані блокчейну, тому плата не потрібна.
Взаємодія, отже, включає фактичні операції на блокчейні. Наприклад, під час обміну токенів на певному DEX, вам спочатку потрібно дозволити смарт-контракту виконувати операції з вашими токенами (approve), а потім виконати фактичну операцію обміну. Обидва ці етапи потребують сплати Gas-кошту.
Зрозумівши різницю між підписом і взаємодією, давайте розглянемо три поширені способи фішингу: фішинг за допомогою авторизації, фішинг за допомогою підпису Permit та фішинг за допомогою підпису Permit2.
Авторизаційна фішинг
Це класичний метод фішингу. Хакери створюють фішинговий сайт, що маскується під NFT проект, спонукаючи користувачів натискати кнопки "Отримати аеродроп" та інші. Насправді, після натискання користувачеві буде запропоновано авторизувати (approve) свої токени на адресу хакера. Як тільки користувач підтвердить, хакер зможе контролювати активи користувача.
Однак, оскільки для авторизації операцій необхідно сплачувати Gas-кошти, багато користувачів стають більш обережними під час виконання операцій, що передбачають витрати, тому такий спосіб відносно легко запобігти.
Підписування фішингу Permit
Permit є розширенням функції авторизації в стандарті ERC-20. Він дозволяє користувачам затверджувати інших для управління своїми токенами шляхом підписання, без необхідності безпосередньо виконувати авторизацію в мережі. Хакери можуть скористатися цим механізмом, спокушаючи користувачів підписувати повідомлення, що дозволяє хакерам переміщувати їхні активи. Оскільки підписання не вимагає сплати Gas-кошту, а багато користувачів звикли виконувати підписання під час використання DApp, цей спосіб фішингу важче захистити.
Фішинг підпису Permit2
Permit2 – це функція, яка була впроваджена деякими DEX для покращення користувацького досвіду. Вона дозволяє користувачам одноразово надати великі дозволи смарт-контракту Permit2, після чого для кожної транзакції потрібно лише підписати, не потрібно повторно надавати дозвіл. Хоча цей механізм спрощує операції для користувачів, він також відкриває нові шляхи для атак хакерів. Якщо користувач колись використовував цей DEX і надав безмежні дозволи, то, якщо його спокусити підписати відповідне повідомлення, хакер зможе перевести активи користувача.
В цілому, авторизаційна фішинг-атака вимагає від користувачів безпосередньо виконувати дії в блокчейні, тоді як підписна фішинг-атака досягає мети шляхом спонукання користувачів підписувати певні повідомлення. Зрозумівши ці принципи, ми можемо вжити наступних запобіжних заходів:
Розвивайте усвідомлення безпеки, кожного разу виконуючи операції з гаманцем, уважно перевіряйте фактичний зміст виконуваних операцій.
Розділіть великі суми коштів та повсякденний гаманець, щоб зменшити можливі втрати.
Навчіться розпізнавати формат підпису Permit і Permit2. Якщо ви бачите запит на підпис, який містить такі поля, будьте особливо обережні:
Інтерактивний(交互网址)
Власник(адреса уповноваженого)
Спендер (адреса уповноваженої особи)
Значення(授权数量)
Нонс (випадкове число)
Крайній термін(过期时间)
Зрозумівши принципи цих методів фішингу та вживаючи відповідних заходів безпеки, ми можемо краще захистити свої активи Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
7
Репост
Поділіться
Прокоментувати
0/400
SchroedingerGas
· 15год тому
знову стригти sheep основна лінія білий газ
Переглянути оригіналвідповісти на0
MultiSigFailMaster
· 08-07 11:36
Розуміння чорного сленгу та недоліків екосистеми у блокчейні, час від часу в коментарях критикують проблеми безпеки або іронізують над механізмом мультипідпису, тон трохи саркастичний.
Будь ласка, згенеруйте коментар китайською мовою, що підходить для цього персонажа:
Ще один раунд обдурювання людей, як лохів, починається.
Переглянути оригіналвідповісти на0
Rugpull幸存者
· 08-06 21:25
Старі невдахи розуміють, що їх знову обдурюють, ставши свідками вразливості контракту.
Переглянути оригіналвідповісти на0
FomoAnxiety
· 08-06 05:55
Вже два роки, як я почав, а все ще заплутався через газ.
Аналіз базової логіки та стратегій запобігання фішингу підписів Web3
Основна логіка та заходи запобігання "фішингу підписів" у Web3
Нещодавно «фішинг через підпис» став одним із найпоширеніших способів шахрайства серед хакерів Web3. Незважаючи на те, що експерти з безпеки та компанії-гаманці постійно поширюють відповідні знання, щодня все ще багато користувачів стають жертвами шахрайства. Основною причиною цього є те, що більшість людей не розуміють основну логіку взаємодії з гаманцями, і для нетехнічних спеціалістів поріг навчання є досить високим.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, у цій статті буде пояснено основну логіку підписного фішингу простими і зрозумілими словами.
По-перше, нам потрібно зрозуміти, що при використанні гаманця є дві основні операції: "підпис" та "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не вимагає сплати комісії за газ; а взаємодія відбувається в блокчейні (в ланцюзі) і вимагає сплати комісії за газ.
Підпис зазвичай використовується для автентифікації, наприклад, для входу в гаманець або підключення до децентралізованих застосунків (DApp). Цей процес не викликає жодних змін у даних або стані блокчейну, тому плата не потрібна.
Взаємодія, отже, включає фактичні операції на блокчейні. Наприклад, під час обміну токенів на певному DEX, вам спочатку потрібно дозволити смарт-контракту виконувати операції з вашими токенами (approve), а потім виконати фактичну операцію обміну. Обидва ці етапи потребують сплати Gas-кошту.
Зрозумівши різницю між підписом і взаємодією, давайте розглянемо три поширені способи фішингу: фішинг за допомогою авторизації, фішинг за допомогою підпису Permit та фішинг за допомогою підпису Permit2.
Це класичний метод фішингу. Хакери створюють фішинговий сайт, що маскується під NFT проект, спонукаючи користувачів натискати кнопки "Отримати аеродроп" та інші. Насправді, після натискання користувачеві буде запропоновано авторизувати (approve) свої токени на адресу хакера. Як тільки користувач підтвердить, хакер зможе контролювати активи користувача.
Однак, оскільки для авторизації операцій необхідно сплачувати Gas-кошти, багато користувачів стають більш обережними під час виконання операцій, що передбачають витрати, тому такий спосіб відносно легко запобігти.
Permit є розширенням функції авторизації в стандарті ERC-20. Він дозволяє користувачам затверджувати інших для управління своїми токенами шляхом підписання, без необхідності безпосередньо виконувати авторизацію в мережі. Хакери можуть скористатися цим механізмом, спокушаючи користувачів підписувати повідомлення, що дозволяє хакерам переміщувати їхні активи. Оскільки підписання не вимагає сплати Gas-кошту, а багато користувачів звикли виконувати підписання під час використання DApp, цей спосіб фішингу важче захистити.
Permit2 – це функція, яка була впроваджена деякими DEX для покращення користувацького досвіду. Вона дозволяє користувачам одноразово надати великі дозволи смарт-контракту Permit2, після чого для кожної транзакції потрібно лише підписати, не потрібно повторно надавати дозвіл. Хоча цей механізм спрощує операції для користувачів, він також відкриває нові шляхи для атак хакерів. Якщо користувач колись використовував цей DEX і надав безмежні дозволи, то, якщо його спокусити підписати відповідне повідомлення, хакер зможе перевести активи користувача.
В цілому, авторизаційна фішинг-атака вимагає від користувачів безпосередньо виконувати дії в блокчейні, тоді як підписна фішинг-атака досягає мети шляхом спонукання користувачів підписувати певні повідомлення. Зрозумівши ці принципи, ми можемо вжити наступних запобіжних заходів:
Розвивайте усвідомлення безпеки, кожного разу виконуючи операції з гаманцем, уважно перевіряйте фактичний зміст виконуваних операцій.
Розділіть великі суми коштів та повсякденний гаманець, щоб зменшити можливі втрати.
Навчіться розпізнавати формат підпису Permit і Permit2. Якщо ви бачите запит на підпис, який містить такі поля, будьте особливо обережні:
Зрозумівши принципи цих методів фішингу та вживаючи відповідних заходів безпеки, ми можемо краще захистити свої активи Web3.
Будь ласка, згенеруйте коментар китайською мовою, що підходить для цього персонажа:
Ще один раунд обдурювання людей, як лохів, починається.