Analyse des principes de phishing de signature Web3 : différences entre Autorisation, Permit et Permit2
Dans le domaine du Web3, la "phishing par signature" est devenue l'une des méthodes d'attaque les plus couramment utilisées par les hackers. Malgré les efforts des experts en sécurité et des entreprises de portefeuilles pour sensibiliser le public, de nombreux utilisateurs subissent encore des pertes chaque jour. La principale raison en est que la plupart des utilisateurs manquent de compréhension de la logique sous-jacente des interactions avec les portefeuilles, et pour les non-techniciens, le seuil d'apprentissage de ces connaissances est relativement élevé.
Pour aider davantage de personnes à comprendre ce problème, nous expliquerons la logique sous-jacente du phishing par signature de manière graphique et dans un langage simple.
Tout d'abord, nous devons comprendre qu'il y a principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature est une opération qui se produit en dehors de la blockchain et ne nécessite pas de frais de Gas ; tandis que l'interaction est une opération qui se produit sur la blockchain et nécessite des frais de Gas.
La signature est généralement utilisée pour vérifier l'identité, par exemple lors de la connexion à une application décentralisée (DApp). Ce processus n'entraîne aucun changement des données de la blockchain, il n'est donc pas nécessaire de payer des frais. En revanche, les interactions impliquent des opérations effectives sur la chaîne, telles que l'échange de jetons, qui nécessitent le paiement de frais de gaz.
Ensuite, nous allons présenter trois méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing autorisé est une méthode d'attaque classique qui utilise le mécanisme d'autorisation des contrats intelligents. Les hackers peuvent créer un site de phishing déguisé en projet NFT, incitant les utilisateurs à cliquer sur le bouton "Recevoir l'airdrop". En réalité, cette opération autorise les hackers à accéder aux tokens des utilisateurs. Cependant, comme cette méthode nécessite de payer des frais de Gas, les utilisateurs sont généralement plus vigilants et il est relativement plus facile de s'en protéger.
La signature de phishing Permit et Permit2 est actuellement un problème plus délicat. Permit est une fonction d'extension de la norme ERC-20 qui permet aux utilisateurs d'approuver d'autres personnes pour déplacer leurs jetons via une signature. Cette méthode ne nécessite pas de paiement direct de frais de Gas, ce qui signifie que les utilisateurs peuvent involontairement autoriser des hackers à manipuler leurs actifs.
Permit2 est une fonctionnalité lancée par certains DEX pour améliorer l'expérience utilisateur. Elle permet aux utilisateurs de donner une autorisation unique pour un montant élevé, après quoi chaque transaction ne nécessite qu'une signature, sans avoir besoin de réautoriser. Cependant, cela offre également une opportunité aux hackers.
Pour se protéger contre ces attaques, les utilisateurs devraient :
Développer une conscience de la sécurité, vérifiez soigneusement avant chaque opération.
Séparez les fonds importants de votre portefeuille utilisé au quotidien.
Apprenez à reconnaître le format de signature de Permit et Permit2, et restez vigilant quant aux signatures contenant des informations telles que l'adresse du donneur d'autorisation, l'adresse du bénéficiaire et le montant autorisé.
En comprenant ces principes et en prenant des mesures préventives appropriées, les utilisateurs peuvent mieux protéger la sécurité de leurs actifs numériques.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Analyse complète du phishing par signature Web3 : les pièges de sécurité de l'autorisation, du Permit et du Permit2.
Analyse des principes de phishing de signature Web3 : différences entre Autorisation, Permit et Permit2
Dans le domaine du Web3, la "phishing par signature" est devenue l'une des méthodes d'attaque les plus couramment utilisées par les hackers. Malgré les efforts des experts en sécurité et des entreprises de portefeuilles pour sensibiliser le public, de nombreux utilisateurs subissent encore des pertes chaque jour. La principale raison en est que la plupart des utilisateurs manquent de compréhension de la logique sous-jacente des interactions avec les portefeuilles, et pour les non-techniciens, le seuil d'apprentissage de ces connaissances est relativement élevé.
Pour aider davantage de personnes à comprendre ce problème, nous expliquerons la logique sous-jacente du phishing par signature de manière graphique et dans un langage simple.
Tout d'abord, nous devons comprendre qu'il y a principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature est une opération qui se produit en dehors de la blockchain et ne nécessite pas de frais de Gas ; tandis que l'interaction est une opération qui se produit sur la blockchain et nécessite des frais de Gas.
La signature est généralement utilisée pour vérifier l'identité, par exemple lors de la connexion à une application décentralisée (DApp). Ce processus n'entraîne aucun changement des données de la blockchain, il n'est donc pas nécessaire de payer des frais. En revanche, les interactions impliquent des opérations effectives sur la chaîne, telles que l'échange de jetons, qui nécessitent le paiement de frais de gaz.
Ensuite, nous allons présenter trois méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing autorisé est une méthode d'attaque classique qui utilise le mécanisme d'autorisation des contrats intelligents. Les hackers peuvent créer un site de phishing déguisé en projet NFT, incitant les utilisateurs à cliquer sur le bouton "Recevoir l'airdrop". En réalité, cette opération autorise les hackers à accéder aux tokens des utilisateurs. Cependant, comme cette méthode nécessite de payer des frais de Gas, les utilisateurs sont généralement plus vigilants et il est relativement plus facile de s'en protéger.
La signature de phishing Permit et Permit2 est actuellement un problème plus délicat. Permit est une fonction d'extension de la norme ERC-20 qui permet aux utilisateurs d'approuver d'autres personnes pour déplacer leurs jetons via une signature. Cette méthode ne nécessite pas de paiement direct de frais de Gas, ce qui signifie que les utilisateurs peuvent involontairement autoriser des hackers à manipuler leurs actifs.
Permit2 est une fonctionnalité lancée par certains DEX pour améliorer l'expérience utilisateur. Elle permet aux utilisateurs de donner une autorisation unique pour un montant élevé, après quoi chaque transaction ne nécessite qu'une signature, sans avoir besoin de réautoriser. Cependant, cela offre également une opportunité aux hackers.
Pour se protéger contre ces attaques, les utilisateurs devraient :
En comprenant ces principes et en prenant des mesures préventives appropriées, les utilisateurs peuvent mieux protéger la sécurité de leurs actifs numériques.