Análisis de la lógica subyacente de la pesca de firmas en Web3
Recientemente, el "phishing por firma" se ha convertido en el método de fraude favorito de los hackers de Web3. A pesar de que los expertos en seguridad y las empresas de billeteras continúan promoviendo el conocimiento relacionado, cada día muchos usuarios caen en la trampa. Una de las principales razones de esta situación es que la mayoría de las personas carecen de comprensión sobre los principios subyacentes de la interacción con billeteras, y para los no técnicos, la barrera de entrada es bastante alta.
Para ayudar a más personas a entender este problema, este artículo explorará en profundidad la lógica subyacente de la pesca de firmas de manera ilustrativa y tratará de explicar en un lenguaje sencillo y comprensible.
Primero, necesitamos entender que hay dos operaciones principales al usar una billetera: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena (off-chain) y no requiere el pago de tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere el pago de tarifas de Gas.
La firma se utiliza comúnmente para la verificación de identidad, como al iniciar sesión en una billetera. Cuando deseas realizar un intercambio de tokens en un DEX, primero necesitas conectar tu billetera, y en ese momento se requiere una firma para demostrar que eres el propietario de esa billetera. Este proceso no genera ningún dato o cambio de estado en la blockchain, por lo que no es necesario pagar ninguna tarifa.
La interacción ocurre en el momento en que se ejecutan las operaciones. Por ejemplo, cuando deseas intercambiar tokens en un DEX, primero necesitas pagar una tarifa, informando al contrato inteligente: "Te autorizo a usar mis 100USDT", este paso se llama autorización (approve). Luego, también necesitas pagar otra tarifa, informando al contrato inteligente: "Ahora comienza a ejecutar la operación de intercambio", después de lo cual habrás completado la transacción de cambiar 100USDT por otros tokens.
Después de entender la diferencia entre firmas e interacciones, vamos a presentar tres formas comunes de phishing: phishing de autorización, phishing de firma Permit y phishing de firma Permit2.
La autorización de phishing es una de las técnicas de estafa más clásicas en Web3. Los hackers crean un sitio web falso que se disfraza como un proyecto de NFT, y en el centro de la página suele haber un llamativo botón de "Reclamar airdrop". Cuando el usuario hace clic, la interfaz que aparece en la billetera en realidad está pidiendo al usuario que autorice la transferencia de tokens a la dirección del hacker. Si el usuario confirma la operación, el hacker podrá obtener con éxito los activos del usuario.
Sin embargo, la pesca autorizada tiene una debilidad: debido a que se requieren tarifas de Gas, muchos usuarios son más cautelosos al realizar operaciones monetarias, y con un poco de atención se pueden detectar anomalías, lo que la hace relativamente fácil de prevenir.
La firma de Permit y Permit2 es actualmente una zona de desastre para la seguridad de los activos Web3. La razón por la que es difícil prevenir este método es que los usuarios siempre necesitan firmar para iniciar sesión en su billetera antes de usar una DApp. Muchas personas han desarrollado un pensamiento habitual de "esta operación es segura", además de que no se requieren tarifas y la mayoría de las personas no entienden el significado detrás de cada firma, lo que hace que este tipo de phishing sea especialmente peligroso.
El mecanismo Permit es una expansión de la función de autorización bajo el estándar ERC-20. En términos simples, permite que apruebes a otras personas para mover tus tokens mediante una firma. A diferencia de la autorización tradicional, el Permit es una firma en un "certificado" que permite a alguien mover tus tokens. La persona que posee este "certificado" puede pagar la tarifa de Gas al contrato inteligente, informando al contrato: "él me permite mover sus tokens", lo que permite la transferencia de activos. En este proceso, el usuario solo firma, pero en realidad permite que otros invoquen la autorización y transfieran tokens. Los hackers pueden crear sitios web de phishing, reemplazando el botón de inicio de sesión de la billetera por un phishing de Permit, obteniendo fácilmente los activos del usuario.
Permit2 no es una funcionalidad de ERC-20, sino una característica lanzada por ciertos DEX para mejorar la experiencia del usuario. Permite a los usuarios autorizar una gran cantidad de forma única al DEX, después de lo cual solo se necesita firmar para cada transacción, y el contrato Permit2 paga la tarifa de Gas (deducida de los tokens intercambiados al final). Sin embargo, para convertirse en una víctima de phishing de Permit2, el requisito previo es que el usuario haya utilizado previamente ese DEX y haya autorizado un monto ilimitado al contrato inteligente Permit2. Debido a que actualmente la operación predeterminada de ese DEX es la autorización de monto ilimitado, el número de usuarios que cumplen con este requisito es bastante considerable.
En resumen, la autorización de phishing es esencialmente cuando el usuario paga una tarifa para informar al contrato inteligente: "Estoy de acuerdo en que transfieras mis tokens al hacker". El phishing de firma implica que el usuario firma un "certificado" que permite a otros mover activos al hacker, quien luego paga una tarifa para informar al contrato inteligente: "Quiero transferir sus tokens a mí mismo". Permit y Permit2 son actualmente áreas de alta incidencia de phishing por firma; Permit es una función de extensión de autorización de ERC-20, mientras que Permit2 es una nueva función lanzada por un DEX.
Entonces, ¿cómo prevenir estos ataques de phishing?
Es crucial cultivar la conciencia de seguridad. Cada vez que realices una operación con la billetera, debes verificar cuidadosamente qué operación estás llevando a cabo.
Separa los fondos grandes de la cartera que usas diariamente para reducir las posibles pérdidas.
Aprenda a reconocer el formato de firma de Permit y Permit2. Cuando vea una firma que contenga la siguiente información, debe estar especialmente alerta:
Interactivo:sitio web interactivo
Propietario:Dirección del otorgante
Spender: dirección del autorizado
Valor:Cantidad autorizada
Nonce: número aleatorio
Deadline:fecha de vencimiento
Al comprender estos principios fundamentales y tomar las medidas de prevención adecuadas, podemos proteger mejor la seguridad de nuestros activos Web3.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
12 me gusta
Recompensa
12
6
Compartir
Comentar
0/400
MemeCurator
· hace14h
Otra vez tontos han sido pescados.
Ver originalesResponder0
AlgoAlchemist
· hace14h
Los principiantes saben cómo evitar estafas, pero los tontos aún caen en ellas.
Ver originalesResponder0
MEVHunterZhang
· hace14h
Y otra vez me han pescado unos decenas de miles.
Ver originalesResponder0
WalletDetective
· hace14h
¿Te han robado de nuevo? No es de extrañar, no prestaste atención al contenido de la firma.
Ver originalesResponder0
OnchainArchaeologist
· hace14h
Otra vez me han tomado por tonto, no puedo aprender en absoluto.
Ver originalesResponder0
SolidityNewbie
· hace14h
tomar a la gente por tonta una vez te hace aprender una lección
Profundidad análisis de phishing con firma Web3: identificación de riesgos y estrategias de prevención
Análisis de la lógica subyacente de la pesca de firmas en Web3
Recientemente, el "phishing por firma" se ha convertido en el método de fraude favorito de los hackers de Web3. A pesar de que los expertos en seguridad y las empresas de billeteras continúan promoviendo el conocimiento relacionado, cada día muchos usuarios caen en la trampa. Una de las principales razones de esta situación es que la mayoría de las personas carecen de comprensión sobre los principios subyacentes de la interacción con billeteras, y para los no técnicos, la barrera de entrada es bastante alta.
Para ayudar a más personas a entender este problema, este artículo explorará en profundidad la lógica subyacente de la pesca de firmas de manera ilustrativa y tratará de explicar en un lenguaje sencillo y comprensible.
Primero, necesitamos entender que hay dos operaciones principales al usar una billetera: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena (off-chain) y no requiere el pago de tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere el pago de tarifas de Gas.
La firma se utiliza comúnmente para la verificación de identidad, como al iniciar sesión en una billetera. Cuando deseas realizar un intercambio de tokens en un DEX, primero necesitas conectar tu billetera, y en ese momento se requiere una firma para demostrar que eres el propietario de esa billetera. Este proceso no genera ningún dato o cambio de estado en la blockchain, por lo que no es necesario pagar ninguna tarifa.
La interacción ocurre en el momento en que se ejecutan las operaciones. Por ejemplo, cuando deseas intercambiar tokens en un DEX, primero necesitas pagar una tarifa, informando al contrato inteligente: "Te autorizo a usar mis 100USDT", este paso se llama autorización (approve). Luego, también necesitas pagar otra tarifa, informando al contrato inteligente: "Ahora comienza a ejecutar la operación de intercambio", después de lo cual habrás completado la transacción de cambiar 100USDT por otros tokens.
Después de entender la diferencia entre firmas e interacciones, vamos a presentar tres formas comunes de phishing: phishing de autorización, phishing de firma Permit y phishing de firma Permit2.
La autorización de phishing es una de las técnicas de estafa más clásicas en Web3. Los hackers crean un sitio web falso que se disfraza como un proyecto de NFT, y en el centro de la página suele haber un llamativo botón de "Reclamar airdrop". Cuando el usuario hace clic, la interfaz que aparece en la billetera en realidad está pidiendo al usuario que autorice la transferencia de tokens a la dirección del hacker. Si el usuario confirma la operación, el hacker podrá obtener con éxito los activos del usuario.
Sin embargo, la pesca autorizada tiene una debilidad: debido a que se requieren tarifas de Gas, muchos usuarios son más cautelosos al realizar operaciones monetarias, y con un poco de atención se pueden detectar anomalías, lo que la hace relativamente fácil de prevenir.
La firma de Permit y Permit2 es actualmente una zona de desastre para la seguridad de los activos Web3. La razón por la que es difícil prevenir este método es que los usuarios siempre necesitan firmar para iniciar sesión en su billetera antes de usar una DApp. Muchas personas han desarrollado un pensamiento habitual de "esta operación es segura", además de que no se requieren tarifas y la mayoría de las personas no entienden el significado detrás de cada firma, lo que hace que este tipo de phishing sea especialmente peligroso.
El mecanismo Permit es una expansión de la función de autorización bajo el estándar ERC-20. En términos simples, permite que apruebes a otras personas para mover tus tokens mediante una firma. A diferencia de la autorización tradicional, el Permit es una firma en un "certificado" que permite a alguien mover tus tokens. La persona que posee este "certificado" puede pagar la tarifa de Gas al contrato inteligente, informando al contrato: "él me permite mover sus tokens", lo que permite la transferencia de activos. En este proceso, el usuario solo firma, pero en realidad permite que otros invoquen la autorización y transfieran tokens. Los hackers pueden crear sitios web de phishing, reemplazando el botón de inicio de sesión de la billetera por un phishing de Permit, obteniendo fácilmente los activos del usuario.
Permit2 no es una funcionalidad de ERC-20, sino una característica lanzada por ciertos DEX para mejorar la experiencia del usuario. Permite a los usuarios autorizar una gran cantidad de forma única al DEX, después de lo cual solo se necesita firmar para cada transacción, y el contrato Permit2 paga la tarifa de Gas (deducida de los tokens intercambiados al final). Sin embargo, para convertirse en una víctima de phishing de Permit2, el requisito previo es que el usuario haya utilizado previamente ese DEX y haya autorizado un monto ilimitado al contrato inteligente Permit2. Debido a que actualmente la operación predeterminada de ese DEX es la autorización de monto ilimitado, el número de usuarios que cumplen con este requisito es bastante considerable.
En resumen, la autorización de phishing es esencialmente cuando el usuario paga una tarifa para informar al contrato inteligente: "Estoy de acuerdo en que transfieras mis tokens al hacker". El phishing de firma implica que el usuario firma un "certificado" que permite a otros mover activos al hacker, quien luego paga una tarifa para informar al contrato inteligente: "Quiero transferir sus tokens a mí mismo". Permit y Permit2 son actualmente áreas de alta incidencia de phishing por firma; Permit es una función de extensión de autorización de ERC-20, mientras que Permit2 es una nueva función lanzada por un DEX.
Entonces, ¿cómo prevenir estos ataques de phishing?
Es crucial cultivar la conciencia de seguridad. Cada vez que realices una operación con la billetera, debes verificar cuidadosamente qué operación estás llevando a cabo.
Separa los fondos grandes de la cartera que usas diariamente para reducir las posibles pérdidas.
Aprenda a reconocer el formato de firma de Permit y Permit2. Cuando vea una firma que contenga la siguiente información, debe estar especialmente alerta:
Al comprender estos principios fundamentales y tomar las medidas de prevención adecuadas, podemos proteger mejor la seguridad de nuestros activos Web3.