Análise da lógica subjacente à pesca de sinais Web3
Recentemente, "phishing por assinatura" tornou-se um dos métodos de fraude mais favorecidos por hackers Web3. Apesar de especialistas em segurança e empresas de carteiras promoverem continuamente informações relacionadas, muitos usuários ainda caem em armadilhas todos os dias. Uma das principais razões para isso é que a maioria das pessoas carece de compreensão dos princípios subjacentes às interações com carteiras, e para não-técnicos, a barreira de aprendizagem é alta.
Para ajudar mais pessoas a entender este problema, este artigo irá explorar em profundidade a lógica subjacente ao phishing de assinatura de forma ilustrativa, e tentará explicar com uma linguagem simples e acessível.
Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), sem a necessidade de pagar taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento de taxas de Gas.
A assinatura é normalmente utilizada para autenticação, como por exemplo, ao fazer login na carteira. Quando você deseja realizar uma troca de tokens em alguma DEX, precisa primeiro conectar a carteira, e nesse momento, é necessária uma assinatura para provar que você é o proprietário daquela carteira. Este processo não gera quaisquer dados ou mudanças de estado na blockchain, portanto, não há necessidade de pagar taxas.
A interação ocorre quando uma operação é executada na prática. Por exemplo, quando você deseja trocar tokens em um DEX, primeiro precisa pagar uma taxa para informar ao contrato inteligente: "Eu autorizo você a usar meus 100USDT", este passo é chamado de autorização (approve). Em seguida, você também precisa pagar uma taxa para informar ao contrato inteligente: "Agora comece a executar a operação de troca", depois disso você terá completado a troca de 100USDT por outros tokens.
Após entender a diferença entre assinatura e interação, vamos apresentar três tipos comuns de phishing: phishing por autorização, phishing por assinatura Permit e phishing por assinatura Permit2.
A autorização de phishing é uma das técnicas de fraude mais clássicas no Web3. Os hackers criam um site falso disfarçado de projeto NFT, que geralmente tem um botão chamativo "Reclamar airdrop" no centro da página. Quando o usuário clica, a interface que aparece na carteira na verdade solicita ao usuário que autorize a transferência de tokens para o endereço do hacker. Se o usuário confirmar a operação, o hacker consegue obter com sucesso os ativos do usuário.
No entanto, a pesca com autorização tem uma fraqueza: devido à necessidade de pagar taxas de Gas, muitos usuários tornam-se mais cautelosos ao realizar operações financeiras, e com um pouco de atenção conseguem detectar anomalias, sendo relativamente fácil de prevenir.
As assinaturas Permit e Permit2 são atualmente uma grande ameaça à segurança dos ativos Web3. A razão pela qual esse método é difícil de prevenir é que os usuários sempre precisam assinar para entrar em suas carteiras antes de usar DApps. Muitas pessoas já formaram o pensamento habitual de "esta operação é segura", além de não precisarem pagar taxas, e a maioria das pessoas não compreender o significado por trás de cada assinatura, o que torna esse método de phishing particularmente perigoso.
O mecanismo Permit é uma extensão da funcionalidade de autorização sob o padrão ERC-20. Simplificando, ele permite que você aprove outras pessoas a moverem seus tokens através de uma assinatura. Ao contrário da autorização tradicional, o Permit é uma assinatura em um "comprovante" que permite que alguém mova seus tokens. Quem possui esse "comprovante" pode pagar a taxa de Gas ao contrato inteligente, informando ao contrato: "ele me permite mover seus tokens", possibilitando assim a transferência de ativos. Neste processo, o usuário apenas assinou, mas na verdade permitiu que outros chamassem a autorização e transferissem tokens. Hackers podem criar sites de phishing, substituindo o botão de login da carteira por um phishing de Permit, obtendo facilmente os ativos dos usuários.
Permit2 não é uma funcionalidade do ERC-20, mas sim uma funcionalidade lançada por um DEX para melhorar a experiência do usuário. Ele permite que os usuários autorizem uma grande quantia de uma só vez ao DEX, e, em seguida, para cada transação, apenas uma assinatura é necessária, com a taxa de Gas sendo paga pelo contrato Permit2 (deduzida dos tokens trocados no final). No entanto, para se tornar uma vítima de phishing do Permit2, é necessário que o usuário tenha utilizado esse DEX anteriormente e autorizado um limite infinito ao contrato inteligente Permit2. Como atualmente a operação padrão desse DEX é a autorização de limite infinito, o número de usuários que atendem a essa condição é bastante considerável.
Resumindo, a phishing por autorização é essencialmente quando o usuário paga uma taxa para informar ao contrato inteligente: "Eu concordo que você transfira meus tokens para o hacker". A phishing por assinatura ocorre quando o usuário assina um "comprovante" que permite que outros movimentem ativos para o hacker, que então paga uma taxa para informar ao contrato inteligente: "Eu quero transferir os tokens dele para mim". Permit e Permit2 são atualmente áreas de alta incidência de phishing por assinatura, onde Permit é uma funcionalidade de extensão de autorização do ERC-20, e Permit2 é uma nova funcionalidade lançada por uma DEX.
Então, como prevenir esses ataques de phishing?
É fundamental cultivar a consciência de segurança. Antes de realizar qualquer operação na carteira, verifique cuidadosamente qual é a operação que você está prestes a executar.
Separe grandes quantias de dinheiro da carteira usada no dia a dia para reduzir possíveis perdas.
Aprenda a identificar o formato de assinatura do Permit e Permit2. Quando você vir uma assinatura que contenha as seguintes informações, fique especialmente atento:
Interativo: URL de interação
Proprietário:Endereço do autorizador
Spender: Endereço autorizado
Valor:Quantidade autorizada
Nonce: número aleatório
Deadline: Prazo de validade
Ao entender estes princípios subjacentes e tomar as precauções adequadas, podemos proteger melhor a segurança dos nossos ativos Web3.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
12 gostos
Recompensa
12
6
Partilhar
Comentar
0/400
MemeCurator
· 14h atrás
又有idiotas被钓了
Ver originalResponder0
AlgoAlchemist
· 14h atrás
Os novatos sabem como se proteger de fraudes, mas os idiotas ainda caem na armadilha.
Ver originalResponder0
MEVHunterZhang
· 14h atrás
Então, foram-se mais algumas dezenas de w.
Ver originalResponder0
WalletDetective
· 14h atrás
Foi roubado novamente? Não é de admirar, não olhei atentamente o conteúdo da assinatura.
Ver originalResponder0
OnchainArchaeologist
· 14h atrás
fazer as pessoas de parvas啦 根本学不会
Ver originalResponder0
SolidityNewbie
· 14h atrás
fazer as pessoas de parvas uma vez, aprende-se uma lição
Profundidade análise de phishing de assinatura Web3: identificação de riscos e estratégias de prevenção
Análise da lógica subjacente à pesca de sinais Web3
Recentemente, "phishing por assinatura" tornou-se um dos métodos de fraude mais favorecidos por hackers Web3. Apesar de especialistas em segurança e empresas de carteiras promoverem continuamente informações relacionadas, muitos usuários ainda caem em armadilhas todos os dias. Uma das principais razões para isso é que a maioria das pessoas carece de compreensão dos princípios subjacentes às interações com carteiras, e para não-técnicos, a barreira de aprendizagem é alta.
Para ajudar mais pessoas a entender este problema, este artigo irá explorar em profundidade a lógica subjacente ao phishing de assinatura de forma ilustrativa, e tentará explicar com uma linguagem simples e acessível.
Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), sem a necessidade de pagar taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento de taxas de Gas.
A assinatura é normalmente utilizada para autenticação, como por exemplo, ao fazer login na carteira. Quando você deseja realizar uma troca de tokens em alguma DEX, precisa primeiro conectar a carteira, e nesse momento, é necessária uma assinatura para provar que você é o proprietário daquela carteira. Este processo não gera quaisquer dados ou mudanças de estado na blockchain, portanto, não há necessidade de pagar taxas.
A interação ocorre quando uma operação é executada na prática. Por exemplo, quando você deseja trocar tokens em um DEX, primeiro precisa pagar uma taxa para informar ao contrato inteligente: "Eu autorizo você a usar meus 100USDT", este passo é chamado de autorização (approve). Em seguida, você também precisa pagar uma taxa para informar ao contrato inteligente: "Agora comece a executar a operação de troca", depois disso você terá completado a troca de 100USDT por outros tokens.
Após entender a diferença entre assinatura e interação, vamos apresentar três tipos comuns de phishing: phishing por autorização, phishing por assinatura Permit e phishing por assinatura Permit2.
A autorização de phishing é uma das técnicas de fraude mais clássicas no Web3. Os hackers criam um site falso disfarçado de projeto NFT, que geralmente tem um botão chamativo "Reclamar airdrop" no centro da página. Quando o usuário clica, a interface que aparece na carteira na verdade solicita ao usuário que autorize a transferência de tokens para o endereço do hacker. Se o usuário confirmar a operação, o hacker consegue obter com sucesso os ativos do usuário.
No entanto, a pesca com autorização tem uma fraqueza: devido à necessidade de pagar taxas de Gas, muitos usuários tornam-se mais cautelosos ao realizar operações financeiras, e com um pouco de atenção conseguem detectar anomalias, sendo relativamente fácil de prevenir.
As assinaturas Permit e Permit2 são atualmente uma grande ameaça à segurança dos ativos Web3. A razão pela qual esse método é difícil de prevenir é que os usuários sempre precisam assinar para entrar em suas carteiras antes de usar DApps. Muitas pessoas já formaram o pensamento habitual de "esta operação é segura", além de não precisarem pagar taxas, e a maioria das pessoas não compreender o significado por trás de cada assinatura, o que torna esse método de phishing particularmente perigoso.
O mecanismo Permit é uma extensão da funcionalidade de autorização sob o padrão ERC-20. Simplificando, ele permite que você aprove outras pessoas a moverem seus tokens através de uma assinatura. Ao contrário da autorização tradicional, o Permit é uma assinatura em um "comprovante" que permite que alguém mova seus tokens. Quem possui esse "comprovante" pode pagar a taxa de Gas ao contrato inteligente, informando ao contrato: "ele me permite mover seus tokens", possibilitando assim a transferência de ativos. Neste processo, o usuário apenas assinou, mas na verdade permitiu que outros chamassem a autorização e transferissem tokens. Hackers podem criar sites de phishing, substituindo o botão de login da carteira por um phishing de Permit, obtendo facilmente os ativos dos usuários.
Permit2 não é uma funcionalidade do ERC-20, mas sim uma funcionalidade lançada por um DEX para melhorar a experiência do usuário. Ele permite que os usuários autorizem uma grande quantia de uma só vez ao DEX, e, em seguida, para cada transação, apenas uma assinatura é necessária, com a taxa de Gas sendo paga pelo contrato Permit2 (deduzida dos tokens trocados no final). No entanto, para se tornar uma vítima de phishing do Permit2, é necessário que o usuário tenha utilizado esse DEX anteriormente e autorizado um limite infinito ao contrato inteligente Permit2. Como atualmente a operação padrão desse DEX é a autorização de limite infinito, o número de usuários que atendem a essa condição é bastante considerável.
Resumindo, a phishing por autorização é essencialmente quando o usuário paga uma taxa para informar ao contrato inteligente: "Eu concordo que você transfira meus tokens para o hacker". A phishing por assinatura ocorre quando o usuário assina um "comprovante" que permite que outros movimentem ativos para o hacker, que então paga uma taxa para informar ao contrato inteligente: "Eu quero transferir os tokens dele para mim". Permit e Permit2 são atualmente áreas de alta incidência de phishing por assinatura, onde Permit é uma funcionalidade de extensão de autorização do ERC-20, e Permit2 é uma nova funcionalidade lançada por uma DEX.
Então, como prevenir esses ataques de phishing?
É fundamental cultivar a consciência de segurança. Antes de realizar qualquer operação na carteira, verifique cuidadosamente qual é a operação que você está prestes a executar.
Separe grandes quantias de dinheiro da carteira usada no dia a dia para reduzir possíveis perdas.
Aprenda a identificar o formato de assinatura do Permit e Permit2. Quando você vir uma assinatura que contenha as seguintes informações, fique especialmente atento:
Ao entender estes princípios subjacentes e tomar as precauções adequadas, podemos proteger melhor a segurança dos nossos ativos Web3.