Análise do princípio de phishing de assinatura Web3: Diferenças entre autorização, Permit e Permit2
No campo do Web3, "phishing de assinatura" tornou-se uma das táticas de ataque mais comuns entre os hackers. Apesar de especialistas em segurança e empresas de carteiras estarem constantemente a educar o público, diariamente muitos usuários ainda sofrem perdas. A principal razão para isso é que a maioria dos usuários não compreende a lógica subjacente das interações com carteiras, e para não técnicos, a barreira de entrada para aprender esse conhecimento é bastante alta.
Para ajudar mais pessoas a compreender esta questão, vamos explicar a lógica subjacente à pesca de assinaturas através de diagramas, utilizando uma linguagem simples e acessível.
Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações: "assinatura" e "interação". Simplificando, a assinatura é uma operação que ocorre fora da blockchain, não necessitando do pagamento de taxas de Gas; enquanto a interação é uma operação que ocorre na blockchain, necessitando do pagamento de taxas de Gas.
As assinaturas são geralmente usadas para verificar a identidade, como ao fazer login em uma aplicação descentralizada (DApp). Este processo não causa qualquer alteração nos dados da blockchain, portanto não é necessário pagar taxas. Em contraste, as interações que envolvem operações reais na cadeia, como trocas de tokens, requerem o pagamento de taxas de Gas.
A seguir, vamos apresentar três métodos comuns de phishing: phishing de autorização, phishing de assinatura de Permissão e phishing de assinatura de Permissão2.
A autorização de phishing é uma técnica clássica de ataque que explora o mecanismo de autorização dos contratos inteligentes. Os hackers podem criar um site de phishing disfarçado de projeto NFT, induzindo os usuários a clicarem no botão "reclamar airdrop". Na verdade, essa operação autoriza os hackers a acessar os tokens dos usuários. No entanto, como esse método requer o pagamento de taxas de Gas, os usuários geralmente ficam mais atentos, tornando-se relativamente mais fáceis de prevenir.
A assinatura de phishing Permit e Permit2 é atualmente um problema mais complicado. Permit é uma função de extensão do padrão ERC-20 que permite aos usuários aprovar outras pessoas a mover seus tokens através de uma assinatura. Este método não requer o pagamento direto de taxas de Gas, portanto, os usuários podem inadvertidamente autorizar hackers a operar seus ativos.
Permit2 é uma funcionalidade introduzida por algumas DEXs para melhorar a experiência do usuário. Permite que os usuários autorizem uma quantia elevada de uma só vez, e depois, para cada transação, apenas precisam assinar, sem a necessidade de autorizações repetidas. No entanto, isso também oferece uma oportunidade para os hackers.
Para se proteger contra esses ataques, os usuários devem:
Cultivar a consciência de segurança, verificar cuidadosamente antes de cada operação.
Separe grandes quantias de dinheiro da carteira que usa diariamente.
Aprenda a reconhecer o formato de assinatura do Permit e Permit2, mantendo vigilância em relação às assinaturas que contêm informações como o endereço do autorizante, o endereço do autorizado e a quantidade autorizada.
Ao compreender estes princípios e tomar as devidas precauções, os utilizadores podem proteger melhor a segurança dos seus ativos digitais.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Análise completa da pesca por assinatura Web3: armadilhas de segurança de autorização, Permissão e Permissão2
Análise do princípio de phishing de assinatura Web3: Diferenças entre autorização, Permit e Permit2
No campo do Web3, "phishing de assinatura" tornou-se uma das táticas de ataque mais comuns entre os hackers. Apesar de especialistas em segurança e empresas de carteiras estarem constantemente a educar o público, diariamente muitos usuários ainda sofrem perdas. A principal razão para isso é que a maioria dos usuários não compreende a lógica subjacente das interações com carteiras, e para não técnicos, a barreira de entrada para aprender esse conhecimento é bastante alta.
Para ajudar mais pessoas a compreender esta questão, vamos explicar a lógica subjacente à pesca de assinaturas através de diagramas, utilizando uma linguagem simples e acessível.
Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações: "assinatura" e "interação". Simplificando, a assinatura é uma operação que ocorre fora da blockchain, não necessitando do pagamento de taxas de Gas; enquanto a interação é uma operação que ocorre na blockchain, necessitando do pagamento de taxas de Gas.
As assinaturas são geralmente usadas para verificar a identidade, como ao fazer login em uma aplicação descentralizada (DApp). Este processo não causa qualquer alteração nos dados da blockchain, portanto não é necessário pagar taxas. Em contraste, as interações que envolvem operações reais na cadeia, como trocas de tokens, requerem o pagamento de taxas de Gas.
A seguir, vamos apresentar três métodos comuns de phishing: phishing de autorização, phishing de assinatura de Permissão e phishing de assinatura de Permissão2.
A autorização de phishing é uma técnica clássica de ataque que explora o mecanismo de autorização dos contratos inteligentes. Os hackers podem criar um site de phishing disfarçado de projeto NFT, induzindo os usuários a clicarem no botão "reclamar airdrop". Na verdade, essa operação autoriza os hackers a acessar os tokens dos usuários. No entanto, como esse método requer o pagamento de taxas de Gas, os usuários geralmente ficam mais atentos, tornando-se relativamente mais fáceis de prevenir.
A assinatura de phishing Permit e Permit2 é atualmente um problema mais complicado. Permit é uma função de extensão do padrão ERC-20 que permite aos usuários aprovar outras pessoas a mover seus tokens através de uma assinatura. Este método não requer o pagamento direto de taxas de Gas, portanto, os usuários podem inadvertidamente autorizar hackers a operar seus ativos.
Permit2 é uma funcionalidade introduzida por algumas DEXs para melhorar a experiência do usuário. Permite que os usuários autorizem uma quantia elevada de uma só vez, e depois, para cada transação, apenas precisam assinar, sem a necessidade de autorizações repetidas. No entanto, isso também oferece uma oportunidade para os hackers.
Para se proteger contra esses ataques, os usuários devem:
Ao compreender estes princípios e tomar as devidas precauções, os utilizadores podem proteger melhor a segurança dos seus ativos digitais.