Análisis de la lógica subyacente de la pesca de firmas en Web3
Muchos usuarios se encuentran confundidos al interactuar con sus billeteras: "Solo firmé un nombre, ¿por qué desapareció mi dinero?" Este tipo de "phishing por firma" se está convirtiendo en una de las técnicas de fraude favoritas de los hackers en Web3. A pesar de que los expertos en seguridad y las empresas de billeteras continúan advirtiendo a los usuarios que mantengan la vigilancia, cada día un gran número de usuarios cae en la trampa.
Una de las principales razones de esta situación es la falta de comprensión de la mecánica subyacente de la interacción con las billeteras por parte de la mayoría de los usuarios, y el alto umbral de aprendizaje para las personas no técnicas. Por lo tanto, decidimos explicar el principio del phishing de firmas de manera ilustrativa y utilizar un lenguaje sencillo para que los usuarios comunes también puedan entenderlo.
Primero, necesitamos entender que al usar una billetera solo hay dos operaciones: "firmar" e "interactuar". La forma más simple de entenderlo es: la firma ocurre fuera de la cadena de bloques (, no se necesita pagar tarifa de Gas; mientras que la interacción ocurre en la cadena de bloques ), se necesita pagar tarifa de Gas.
La firma se utiliza comúnmente para la autenticación, como al iniciar sesión en una billetera. Cuando deseas intercambiar tokens en un DEX, primero necesitas conectar tu billetera, y en ese momento se requiere una firma para demostrar "Soy el propietario de esta billetera". Este proceso no genera ningún cambio de datos o estado en la blockchain, por lo que no incurre en costos.
La interacción es cuando realmente deseas intercambiar un token en un DEX, primero necesitas pagar una tarifa para informar al contrato inteligente del DEX: "Quiero intercambiar 100USDT por un token, te autorizo a mover mis 100USDT". Este paso se llama autorización (approve). Luego, también debes pagar otra tarifa para informar al contrato inteligente: "Ahora quiero intercambiar 100USDT por un token, puedes realizar la operación". Así es como completaste la transacción de intercambiar 100USDT por un token.
Una vez que entendamos la diferencia entre la firma y la interacción, introduciremos tres formas comunes de phishing: phishing de autorización, phishing de firma de Permiso y phishing de firma de Permiso2.
La autorización de phishing es una de las técnicas de phishing más clásicas de los primeros días de Web3. Los hackers crean un sitio web falso que se disfraza como un proyecto de NFT, en el cual hay un llamativo botón de "reclamar airdrop". Cuando el usuario hace clic, la interfaz emergente de la billetera en realidad solicita al usuario autorizar la transferencia de tokens a la dirección del hacker. Si el usuario confirma esta acción, el hacker ha completado con éxito un fraude.
Sin embargo, la pesca autorizada tiene una desventaja: debido a que se requiere pagar tarifas de Gas, muchos usuarios son ahora más cautelosos al realizar operaciones que involucran fondos, y pueden detectar anomalías en sitios desconocidos con un poco de atención.
A continuación se encuentran las estafas de firma de Permit y Permit2, que son una de las principales áreas de riesgo para la seguridad de los activos Web3 en la actualidad. La dificultad para prevenirlas radica en que cada vez que se utiliza un DApp es necesario firmar para acceder a la billetera, lo que ha llevado a muchos usuarios a desarrollar un pensamiento habitual de "esta acción es segura". Además, dado que no se requieren pagos y la mayoría de las personas no comprenden el significado detrás de cada firma, este tipo de fraude es especialmente peligroso.
Permit es una función extendida autorizada bajo el estándar ERC-20. En términos simples, significa que puedes aprobar a otros para mover tus tokens mediante una firma. A diferencia de la autorización (Approve) que requiere que pagues una tarifa, Permit equivale a firmar un "papel" que permite a alguien mover tus tokens. Luego, esa persona lleva este "papel" al contrato inteligente, paga la tarifa de Gas y le dice al contrato: "él me permite mover sus tokens". En este proceso, solo has firmado, pero en realidad has permitido que otros llamen a la autorización y transfieran tus tokens.
Permit2 no es una función de ERC-20, sino una característica lanzada por un DEX para facilitar a los usuarios. Su objetivo es permitir a los usuarios autorizar un gran monto de una sola vez, y luego cada transacción solo requiere una firma, sin necesidad de autorización repetida. De esta manera, los usuarios solo tienen que pagar una vez la tarifa de Gas por cada transacción, y este costo es cubierto por el contrato de Permit2, que finalmente se descontará de los tokens intercambiados.
Sin embargo, el pretexto para el phishing de Permit2 es que el usuario haya utilizado previamente ese DEX y haya otorgado un límite ilimitado al contrato inteligente de Permit2. Dado que actualmente la operación predeterminada de ese DEX es la autorización de límite ilimitado, el número de usuarios que cumplen con esta condición es bastante alto.
En resumen, la esencia del phishing autorizado es que pagas una tarifa para informar al contrato inteligente: "Te autorizo a transferir mis tokens al hacker". La esencia del phishing de firma es que firmas un "papel" que permite a otros mover tus activos al hacker, quien luego paga una tarifa para informar al contrato inteligente: "Quiero transferir sus tokens a mí".
Entonces, ¿cómo prevenir estos ataques de phishing?
Es crucial desarrollar una conciencia de seguridad. Cada vez que realices operaciones con tu billetera, debes revisar cuidadosamente qué operación estás llevando a cabo.
Separar los fondos grandes de la billetera que se usa diariamente, de esta manera se puede minimizar la pérdida incluso si se es víctima de phishing.
Aprende a identificar los formatos de firma de Permit y Permit2. Si ves una firma que contiene la siguiente información, debes estar alerta:
Interactivo:sitio web interactivo
Propietario: dirección del autorizador
Spender: dirección de la parte autorizada
Valor: cantidad autorizada
Nonce: número aleatorio
Deadline:fecha de vencimiento
Al comprender estas lógicas subyacentes y medidas de prevención, los usuarios pueden proteger mejor sus activos digitales y evitar convertirse en víctimas de phishing de firmas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
22 me gusta
Recompensa
22
6
Compartir
Comentar
0/400
PoetryOnChain
· 07-17 15:03
Otra vez tontos han sido estafados.
Ver originalesResponder0
SchrodingerWallet
· 07-16 16:37
personas tontos esperando ser sacrificados...
Ver originalesResponder0
PensionDestroyer
· 07-14 18:57
¡Levante la pata quien ha sido engañado! ¿Quién entiende?
Ver originalesResponder0
RugDocScientist
· 07-14 18:54
Firmar es un acto solitario
Ver originalesResponder0
GhostAddressMiner
· 07-14 18:48
Otra ola de fondos de tontos va a ser rastreada por mí.
Ver originalesResponder0
GasGrillMaster
· 07-14 18:37
Firmé varios contratos y ni siquiera puedo llorar.
Desencriptación de phishing con firma Web3: análisis de principios y guía de prevención
Análisis de la lógica subyacente de la pesca de firmas en Web3
Muchos usuarios se encuentran confundidos al interactuar con sus billeteras: "Solo firmé un nombre, ¿por qué desapareció mi dinero?" Este tipo de "phishing por firma" se está convirtiendo en una de las técnicas de fraude favoritas de los hackers en Web3. A pesar de que los expertos en seguridad y las empresas de billeteras continúan advirtiendo a los usuarios que mantengan la vigilancia, cada día un gran número de usuarios cae en la trampa.
Una de las principales razones de esta situación es la falta de comprensión de la mecánica subyacente de la interacción con las billeteras por parte de la mayoría de los usuarios, y el alto umbral de aprendizaje para las personas no técnicas. Por lo tanto, decidimos explicar el principio del phishing de firmas de manera ilustrativa y utilizar un lenguaje sencillo para que los usuarios comunes también puedan entenderlo.
Primero, necesitamos entender que al usar una billetera solo hay dos operaciones: "firmar" e "interactuar". La forma más simple de entenderlo es: la firma ocurre fuera de la cadena de bloques (, no se necesita pagar tarifa de Gas; mientras que la interacción ocurre en la cadena de bloques ), se necesita pagar tarifa de Gas.
La firma se utiliza comúnmente para la autenticación, como al iniciar sesión en una billetera. Cuando deseas intercambiar tokens en un DEX, primero necesitas conectar tu billetera, y en ese momento se requiere una firma para demostrar "Soy el propietario de esta billetera". Este proceso no genera ningún cambio de datos o estado en la blockchain, por lo que no incurre en costos.
La interacción es cuando realmente deseas intercambiar un token en un DEX, primero necesitas pagar una tarifa para informar al contrato inteligente del DEX: "Quiero intercambiar 100USDT por un token, te autorizo a mover mis 100USDT". Este paso se llama autorización (approve). Luego, también debes pagar otra tarifa para informar al contrato inteligente: "Ahora quiero intercambiar 100USDT por un token, puedes realizar la operación". Así es como completaste la transacción de intercambiar 100USDT por un token.
Una vez que entendamos la diferencia entre la firma y la interacción, introduciremos tres formas comunes de phishing: phishing de autorización, phishing de firma de Permiso y phishing de firma de Permiso2.
La autorización de phishing es una de las técnicas de phishing más clásicas de los primeros días de Web3. Los hackers crean un sitio web falso que se disfraza como un proyecto de NFT, en el cual hay un llamativo botón de "reclamar airdrop". Cuando el usuario hace clic, la interfaz emergente de la billetera en realidad solicita al usuario autorizar la transferencia de tokens a la dirección del hacker. Si el usuario confirma esta acción, el hacker ha completado con éxito un fraude.
Sin embargo, la pesca autorizada tiene una desventaja: debido a que se requiere pagar tarifas de Gas, muchos usuarios son ahora más cautelosos al realizar operaciones que involucran fondos, y pueden detectar anomalías en sitios desconocidos con un poco de atención.
A continuación se encuentran las estafas de firma de Permit y Permit2, que son una de las principales áreas de riesgo para la seguridad de los activos Web3 en la actualidad. La dificultad para prevenirlas radica en que cada vez que se utiliza un DApp es necesario firmar para acceder a la billetera, lo que ha llevado a muchos usuarios a desarrollar un pensamiento habitual de "esta acción es segura". Además, dado que no se requieren pagos y la mayoría de las personas no comprenden el significado detrás de cada firma, este tipo de fraude es especialmente peligroso.
Permit es una función extendida autorizada bajo el estándar ERC-20. En términos simples, significa que puedes aprobar a otros para mover tus tokens mediante una firma. A diferencia de la autorización (Approve) que requiere que pagues una tarifa, Permit equivale a firmar un "papel" que permite a alguien mover tus tokens. Luego, esa persona lleva este "papel" al contrato inteligente, paga la tarifa de Gas y le dice al contrato: "él me permite mover sus tokens". En este proceso, solo has firmado, pero en realidad has permitido que otros llamen a la autorización y transfieran tus tokens.
Permit2 no es una función de ERC-20, sino una característica lanzada por un DEX para facilitar a los usuarios. Su objetivo es permitir a los usuarios autorizar un gran monto de una sola vez, y luego cada transacción solo requiere una firma, sin necesidad de autorización repetida. De esta manera, los usuarios solo tienen que pagar una vez la tarifa de Gas por cada transacción, y este costo es cubierto por el contrato de Permit2, que finalmente se descontará de los tokens intercambiados.
Sin embargo, el pretexto para el phishing de Permit2 es que el usuario haya utilizado previamente ese DEX y haya otorgado un límite ilimitado al contrato inteligente de Permit2. Dado que actualmente la operación predeterminada de ese DEX es la autorización de límite ilimitado, el número de usuarios que cumplen con esta condición es bastante alto.
En resumen, la esencia del phishing autorizado es que pagas una tarifa para informar al contrato inteligente: "Te autorizo a transferir mis tokens al hacker". La esencia del phishing de firma es que firmas un "papel" que permite a otros mover tus activos al hacker, quien luego paga una tarifa para informar al contrato inteligente: "Quiero transferir sus tokens a mí".
Entonces, ¿cómo prevenir estos ataques de phishing?
Es crucial desarrollar una conciencia de seguridad. Cada vez que realices operaciones con tu billetera, debes revisar cuidadosamente qué operación estás llevando a cabo.
Separar los fondos grandes de la billetera que se usa diariamente, de esta manera se puede minimizar la pérdida incluso si se es víctima de phishing.
Aprende a identificar los formatos de firma de Permit y Permit2. Si ves una firma que contiene la siguiente información, debes estar alerta:
Al comprender estas lógicas subyacentes y medidas de prevención, los usuarios pueden proteger mejor sus activos digitales y evitar convertirse en víctimas de phishing de firmas.