Análisis de los principios de phishing de firmas Web3: diferencias entre autorización, Permit y Permit2
En el ámbito de Web3, "phishing por firma" se ha convertido en una de las técnicas de ataque más comunes utilizadas por los hackers. A pesar de que los expertos en seguridad y las empresas de billeteras continúan educando al público, cada día siguen habiendo muchos usuarios que sufren pérdidas. La razón principal es que la mayoría de los usuarios carecen de comprensión sobre la lógica subyacente de las interacciones con las billeteras, y para las personas no técnicas, la barrera de entrada para aprender este conocimiento es bastante alta.
Para ayudar a más personas a entender este problema, explicaremos la lógica subyacente de la suplantación de firma de manera gráfica y con un lenguaje claro y accesible.
Primero, necesitamos entender que al usar una billetera hay principalmente dos operaciones: "firma" e "interacción". En términos simples, la firma es una operación que ocurre fuera de la cadena de bloques, y no requiere el pago de tarifas de Gas; mientras que la interacción es una operación que ocurre en la cadena de bloques, y requiere el pago de tarifas de Gas.
Las firmas se utilizan comúnmente para verificar la identidad, como al iniciar sesión en una aplicación descentralizada (DApp). Este proceso no produce ningún cambio en los datos de la cadena de bloques, por lo que no es necesario pagar ninguna tarifa. En cambio, las interacciones que implican operaciones en la cadena, como el intercambio de tokens, requieren el pago de tarifas de Gas.
A continuación, presentaremos tres métodos comunes de phishing: phishing de autorización, phishing de firma de Permit y phishing de firma de Permit2.
La autorización de phishing es una técnica de ataque clásica que aprovecha el mecanismo de autorización de los contratos inteligentes. Los hackers pueden crear un sitio web de phishing disfrazado de un proyecto de NFT, inducir a los usuarios a hacer clic en el botón "Reclamar airdrop". Sin embargo, esta acción autoriza a los hackers a acceder a los tokens del usuario. No obstante, dado que este método requiere el pago de tarifas de Gas, los usuarios suelen estar más alerta y es relativamente fácil de prevenir.
El phishing de firmas Permit y Permit2 es actualmente un problema más complicado. Permit es una función extendida del estándar ERC-20 que permite a los usuarios aprobar a otros para mover sus propios tokens mediante una firma. Este método no requiere el pago directo de tarifas de Gas, por lo que los usuarios podrían, sin querer, autorizar a los hackers a operar con sus activos.
Permit2 es una función lanzada por ciertos DEX para mejorar la experiencia del usuario. Permite a los usuarios autorizar una gran cantidad de forma única, y luego para cada transacción solo es necesario firmar, sin necesidad de autorizar repetidamente. Sin embargo, esto también ofrece una oportunidad para los hackers.
Para prevenir estos ataques, los usuarios deben:
Fomentar la conciencia de seguridad, revisar cuidadosamente antes de cada operación.
Mantén separados los fondos grandes de la billetera que usas a diario.
Aprende a reconocer el formato de firma de Permit y Permit2, y mantén precaución con las firmas que contienen información como la dirección del autorizante, la dirección del autorizado, la cantidad autorizada, etc.
Al comprender estos principios y tomar las medidas preventivas adecuadas, los usuarios pueden proteger mejor la seguridad de sus activos digitales.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Análisis completo del phishing de firma Web3: trampas de seguridad en autorización, Permit y Permit2
Análisis de los principios de phishing de firmas Web3: diferencias entre autorización, Permit y Permit2
En el ámbito de Web3, "phishing por firma" se ha convertido en una de las técnicas de ataque más comunes utilizadas por los hackers. A pesar de que los expertos en seguridad y las empresas de billeteras continúan educando al público, cada día siguen habiendo muchos usuarios que sufren pérdidas. La razón principal es que la mayoría de los usuarios carecen de comprensión sobre la lógica subyacente de las interacciones con las billeteras, y para las personas no técnicas, la barrera de entrada para aprender este conocimiento es bastante alta.
Para ayudar a más personas a entender este problema, explicaremos la lógica subyacente de la suplantación de firma de manera gráfica y con un lenguaje claro y accesible.
Primero, necesitamos entender que al usar una billetera hay principalmente dos operaciones: "firma" e "interacción". En términos simples, la firma es una operación que ocurre fuera de la cadena de bloques, y no requiere el pago de tarifas de Gas; mientras que la interacción es una operación que ocurre en la cadena de bloques, y requiere el pago de tarifas de Gas.
Las firmas se utilizan comúnmente para verificar la identidad, como al iniciar sesión en una aplicación descentralizada (DApp). Este proceso no produce ningún cambio en los datos de la cadena de bloques, por lo que no es necesario pagar ninguna tarifa. En cambio, las interacciones que implican operaciones en la cadena, como el intercambio de tokens, requieren el pago de tarifas de Gas.
A continuación, presentaremos tres métodos comunes de phishing: phishing de autorización, phishing de firma de Permit y phishing de firma de Permit2.
La autorización de phishing es una técnica de ataque clásica que aprovecha el mecanismo de autorización de los contratos inteligentes. Los hackers pueden crear un sitio web de phishing disfrazado de un proyecto de NFT, inducir a los usuarios a hacer clic en el botón "Reclamar airdrop". Sin embargo, esta acción autoriza a los hackers a acceder a los tokens del usuario. No obstante, dado que este método requiere el pago de tarifas de Gas, los usuarios suelen estar más alerta y es relativamente fácil de prevenir.
El phishing de firmas Permit y Permit2 es actualmente un problema más complicado. Permit es una función extendida del estándar ERC-20 que permite a los usuarios aprobar a otros para mover sus propios tokens mediante una firma. Este método no requiere el pago directo de tarifas de Gas, por lo que los usuarios podrían, sin querer, autorizar a los hackers a operar con sus activos.
Permit2 es una función lanzada por ciertos DEX para mejorar la experiencia del usuario. Permite a los usuarios autorizar una gran cantidad de forma única, y luego para cada transacción solo es necesario firmar, sin necesidad de autorizar repetidamente. Sin embargo, esto también ofrece una oportunidad para los hackers.
Para prevenir estos ataques, los usuarios deben:
Al comprender estos principios y tomar las medidas preventivas adecuadas, los usuarios pueden proteger mejor la seguridad de sus activos digitales.