З розвитком екосистеми Web3 "фішинг за допомогою підписів" став одним з найулюбленіших методів атак для хакерів. Незважаючи на те, що експерти галузі та компанії з безпеки постійно проводять просвітницькі кампанії, щодня велика кількість користувачів потрапляє в пастки. Це головним чином пов'язано з тим, що більшість користувачів не розуміє основні механізми взаємодії з гаманцями, а для нетехнічних осіб поріг навчання відповідних знань є досить високим.
Щоб більше людей могли зрозуміти та запобігти цьому ризику, ми пояснимо дві основні моделі роботи з Web3-гаманець у зрозумілій формі: "підпис" та "взаємодія".
Підпис — це операція, яка відбувається поза межами блокчейну і не вимагає сплати Gas-кошту. Вона зазвичай використовується для аутентифікації, наприклад, для входу в гаманець або підключення до децентралізованого додатку (DApp). Наприклад, коли ви хочете обміняти токени на певній DEX, спочатку потрібно підключити гаманець, що передбачає операцію підпису, яка повідомляє сайту: "Я є власником цього гаманця". Цей процес не вплине на блокчейн, тому не потрібно сплачувати жодних зборів.
Взаємодія - це операції, які виконуються безпосередньо на блокчейні, за які потрібно сплачувати Gas. Наприклад, щоб обміняти токени на DEX, спочатку потрібно надати дозвіл (approve) смарт-контракту на використання ваших токенів, а потім виконати фактичну операцію обміну. Обидва ці кроки потребують сплати Gas.
Після того, як ми зрозуміли різницю між цими двома операціями, давайте розглянемо три поширені способи фішингу: фішинг через авторизацію, фішинг через підпис Permit та фішинг через підпис Permit2.
Авторизаційна фішинг-атака здійснюється з використанням механізму approve. Хакери можуть створити фішинговий веб-сайт, який маскується під NFT проект, спонукаючи користувачів натиснути кнопку "Отримати аерозоль". Насправді ця дія викликає запит на авторизацію, що дозволяє хакерам контролювати токени користувачів. Однак, оскільки ця дія вимагає сплати Gas, користувачі зазвичай стають більш обережними, що робить цей метод фішингу відносно легким для виявлення.
Підписи Permit та Permit2 є більш прихованими, оскільки вони використовують довіру користувачів до операцій підпису. Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам авторизувати інших для переміщення своїх токенів через підпис. Хакери можуть спонукати користувачів підписати на вигляд безпечне повідомлення, яке насправді є "ліцензією" на передачу активів користувача хакерам.
Permit2 - це функція, яку впровадила певна DEX, метою якої є спрощення дій користувачів та зниження витрат на газ. Але якщо користувач раніше користувався цією DEX і надав безмежний ліміт, то після підписання зловмисного повідомлення Permit2 зловмисник може легко перевести активи користувача.
Щоб уникнути цих ризиків, користувачі повинні:
Виховуйте обізнаність про безпеку, кожного разу ретельно перевіряйте під час операцій з гаманцем.
Розділіть великі кошти та гроші для щоденного використання, щоб знизити потенційні втрати.
Навчіться розпізнавати формати підпису Permit і Permit2, включаючи адреси інтерфейсу, адреси уповноваженого, адреси одержувача, кількість авторизації, випадкове число та термін дії тощо.
Отже, користувачі Web3 повинні завжди бути пильними та глибоко розуміти значення кожної дії, щоб захистити свої цифрові активи.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
6
Поділіться
Прокоментувати
0/400
ApeWithNoChain
· 17год тому
невдахи дивляться на ринок і вже не відчувають нічого...
Переглянути оригіналвідповісти на0
WalletDetective
· 17год тому
Підписування взаємодії та інше, це мене зовсім заплутало.
Аналіз фішингових атак на підпис Web3: від базових механізмів до стратегій запобігання
Аналіз базової логіки фішингу підписів Web3
З розвитком екосистеми Web3 "фішинг за допомогою підписів" став одним з найулюбленіших методів атак для хакерів. Незважаючи на те, що експерти галузі та компанії з безпеки постійно проводять просвітницькі кампанії, щодня велика кількість користувачів потрапляє в пастки. Це головним чином пов'язано з тим, що більшість користувачів не розуміє основні механізми взаємодії з гаманцями, а для нетехнічних осіб поріг навчання відповідних знань є досить високим.
Щоб більше людей могли зрозуміти та запобігти цьому ризику, ми пояснимо дві основні моделі роботи з Web3-гаманець у зрозумілій формі: "підпис" та "взаємодія".
Підпис — це операція, яка відбувається поза межами блокчейну і не вимагає сплати Gas-кошту. Вона зазвичай використовується для аутентифікації, наприклад, для входу в гаманець або підключення до децентралізованого додатку (DApp). Наприклад, коли ви хочете обміняти токени на певній DEX, спочатку потрібно підключити гаманець, що передбачає операцію підпису, яка повідомляє сайту: "Я є власником цього гаманця". Цей процес не вплине на блокчейн, тому не потрібно сплачувати жодних зборів.
Взаємодія - це операції, які виконуються безпосередньо на блокчейні, за які потрібно сплачувати Gas. Наприклад, щоб обміняти токени на DEX, спочатку потрібно надати дозвіл (approve) смарт-контракту на використання ваших токенів, а потім виконати фактичну операцію обміну. Обидва ці кроки потребують сплати Gas.
Після того, як ми зрозуміли різницю між цими двома операціями, давайте розглянемо три поширені способи фішингу: фішинг через авторизацію, фішинг через підпис Permit та фішинг через підпис Permit2.
Авторизаційна фішинг-атака здійснюється з використанням механізму approve. Хакери можуть створити фішинговий веб-сайт, який маскується під NFT проект, спонукаючи користувачів натиснути кнопку "Отримати аерозоль". Насправді ця дія викликає запит на авторизацію, що дозволяє хакерам контролювати токени користувачів. Однак, оскільки ця дія вимагає сплати Gas, користувачі зазвичай стають більш обережними, що робить цей метод фішингу відносно легким для виявлення.
Підписи Permit та Permit2 є більш прихованими, оскільки вони використовують довіру користувачів до операцій підпису. Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам авторизувати інших для переміщення своїх токенів через підпис. Хакери можуть спонукати користувачів підписати на вигляд безпечне повідомлення, яке насправді є "ліцензією" на передачу активів користувача хакерам.
Permit2 - це функція, яку впровадила певна DEX, метою якої є спрощення дій користувачів та зниження витрат на газ. Але якщо користувач раніше користувався цією DEX і надав безмежний ліміт, то після підписання зловмисного повідомлення Permit2 зловмисник може легко перевести активи користувача.
Щоб уникнути цих ризиків, користувачі повинні:
Отже, користувачі Web3 повинні завжди бути пильними та глибоко розуміти значення кожної дії, щоб захистити свої цифрові активи.