Web3署名フィッシングの解読:原理の分析と防止ガイド

robot
概要作成中

Web3サインフィッシングの基礎論理解析

多くのユーザーがウォレットのやり取りを行う際に困惑しています。「私はただ署名しただけなのに、なぜ私の資金が消えてしまったのか?」この「署名フィッシング」はWeb3ハッカーに最も好まれる詐欺手法となっています。セキュリティ専門家やウォレット会社がユーザーに警戒を促し続けているにもかかわらず、毎日多くのユーザーが罠にかかっています。

この状況の主な原因の一つは、ほとんどのユーザーがウォレットのインタラクションの基盤となるメカニズムについて理解が不足しており、非技術者にとっては学習のハードルが高いことです。したがって、私たちは図解を用いて署名フィッシングの原理を説明し、できるだけ分かりやすい言葉で一般ユーザーにも理解できるように努めることにしました。

まず、ウォレットを使用する際には "署名 "と "インタラクション "の2つの操作しかないことを理解する必要があります。最も簡単な理解は、署名はブロックチェーンの外(チェーン外)で発生し、Gas代を支払う必要がないことです。一方、インタラクションはブロックチェーン上(チェーン上)で発生し、Gas代を支払う必要があります。

署名は通常、認証に使用されます。例えば、ウォレットにログインする際です。DEXでトークンを交換したいときは、まずウォレットを接続する必要があり、その際に「私はこのウォレットの所有者です」と証明するために署名が必要です。このプロセスでは、ブロックチェーンにデータや状態の変更は発生しないため、費用はかかりません。

そして、インタラクションは、DEXでトークンを交換したいときに、最初にDEXのスマートコントラクトに費用を支払う必要があることを意味します:"私は100USDTを使って1つのトークンと交換したい、あなたに私の100USDTを移動することを許可します"。このステップを承認(approve)と呼びます。次に、スマートコントラクトに費用を再度支払う必要があります:"私は今100USDTを使って1つのトークンと交換したい、あなたは操作を実行できます"。これで、100USDTを使って1つのトークンとの交換が完了しました。

! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い

署名とインタラクションの違いを理解した後、3つの一般的なフィッシング手法を紹介します: 認可フィッシング、Permit署名フィッシング、Permit2署名フィッシング。

権限のフィッシングは、Web3の初期における最も古典的なフィッシング手法の一つです。ハッカーはNFTプロジェクトを装った偽のウェブサイトを作成し、そこに目立つ「エアドロップを受け取る」ボタンがあります。ユーザーがクリックすると、ウォレットがポップアップし、実際にはユーザーにトークンをハッカーのアドレスに転送する権限を要求しています。ユーザーがこの操作を確認すると、ハッカーは詐欺を成功させたことになります。

しかし、承認フィッシングには欠点があります。ガス代を支払う必要があるため、多くのユーザーは資金に関わる操作を行う際により慎重になり、知らないウェブサイトで少し注意を払うだけで異常を発見できるようになります。

! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い

次に、PermitとPermit2の署名フィッシングについてです。これは現在Web3資産のセキュリティにおける大きな問題です。防ぐのが難しい理由は、DAppを使用するたびにウォレットに署名してログインする必要があり、多くのユーザーが「この操作は安全だ」という慣性思考を形成しているからです。さらに、手数料を支払う必要がなく、ほとんどの人が各署名の背後にある意味を理解していないため、このフィッシング手法は特に危険です。

PermitはERC-20標準下での承認の拡張機能です。簡単に言うと、あなたは署名を通じて他の人にあなたのトークンを移動させることを承認できます。(Approve)のように承認には費用が必要ですが、Permitはあなたが"メモ"に署名することで、誰かにあなたのトークンを移動させることを許可することに相当します。そしてその人はこの"メモ"を持ってスマートコントラクトに行き、Gas代を支払い、コントラクトに"彼は私が彼のトークンを移動させることを許可しています"と伝えます。このプロセスでは、あなたはただ署名しただけですが、実際には他の人に承認を呼び出し、あなたのトークンを移動させることを許可しています。

! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い

Permit2はERC-20の機能ではなく、特定のDEXがユーザーの利便性のために導入した機能です。目的は、ユーザーが一度に大きな額を許可できるようにし、その後は毎回の取引でサインのみで済むようにすることです。これにより、ユーザーは毎回の取引でガス代を一度だけ支払えばよく、この費用はPermit2契約によって支払われ、最終的には交換されたトークンから差し引かれます。

しかし、Permit2フィッシングの前提は、ユーザーが以前にそのDEXを使用し、Permit2スマートコントラクトに無制限の額を付与していることです。現在、そのDEXのデフォルト操作は無制限の額の承認であるため、この条件を満たすユーザーの数は非常に多いです。

要約すると、認可フィッシングの本質は、あなたが料金を支払ってスマートコントラクトに「私はあなたに私のトークンをハッカーに送ることを許可します」と伝えることです。署名フィッシングの本質は、あなたがハッカーに他人の資産を移動させる「メモ」を署名したことで、ハッカーが料金を支払ってスマートコントラクトに「私は彼のトークンを自分に送ります」と伝えることです。

では、これらのフィッシング攻撃を防ぐにはどうすればよいですか?

  1. セキュリティ意識を育てることは非常に重要です。ウォレット操作を行うたびに、実行している操作が何であるかを慎重に確認してください。

  2. 大きな資金と普段使う財布を分けておくことで、フィッシングに遭っても損失を最小限に抑えることができます。

  3. PermitとPermit2の署名形式を識別することを学びましょう。以下の情報を含む署名を見た場合は、警戒を高める必要があります。

    • インタラクティブ:インタラクティブウェブサイト
    • 所有者:権限を与えた者のアドレス
    • Spender:承認されたアドレス
    • 値:許可された数量
    • ノンス:ランダム数
    • Deadline:有効期限

! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:許可されたフィッシング、Permit、Permit2の違い

これらの基本的な論理と防止策を理解することで、ユーザーは自分のデジタル資産をより良く保護し、署名フィッシングの犠牲者になるのを避けることができます。

GAS3.88%
原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については免責事項をご覧ください。
  • 報酬
  • 6
  • 共有
コメント
0/400
PoetryOnChainvip
· 07-17 15:03
また初心者が搾取されたのか。
原文表示返信0
SchrodingerWalletvip
· 07-16 16:37
一人当たりのネギが屠殺される...
原文表示返信0
PensionDestroyervip
· 07-14 18:57
騙されたことがある人、手を挙げて!誰が理解している?
原文表示返信0
RugDocScientistvip
· 07-14 18:54
サインは孤独を感じるためのものです
原文表示返信0
GhostAddressMinervip
· 07-14 18:48
また一波初心者の資金流入を追跡することになった。
原文表示返信0
GasGrillMastervip
· 07-14 18:37
契約をいくつか結んだが、泣くことさえできない。
原文表示返信0
いつでもどこでも暗号資産取引
qrCode
スキャンしてGateアプリをダウンロード
コミュニティ
日本語
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)