Анализ основной логики фишинга с использованием подписей Web3
В последнее время "фишинг с подписями" стал одним из самых популярных методов мошенничества среди хакеров в Web3. Несмотря на то, что специалисты по безопасности и компании по производству кошельков постоянно распространяют информацию по этой теме, каждый день множество пользователей продолжают попадаться на уловки. Одной из основных причин этого является то, что большинство людей не понимает основных принципов взаимодействия с кошельками, и для нетехнических специалистов порог вхождения слишком высок.
Чтобы помочь большему числу людей понять эту проблему, в статье будет глубоко исследована основная логика подписного фишинга в виде иллюстраций, и постарается объяснить на простом и понятном языке.
Прежде всего, нам нужно понять, что при использовании кошелька существует две основные операции: "подписание" и "взаимодействие". Проще говоря, подписание происходит вне блокчейна (вне цепочки) и не требует оплаты Gas; в то время как взаимодействие происходит в блокчейне (в цепочке) и требует оплаты Gas.
Подпись обычно используется для проверки подлинности, например, при входе в кошелек. Когда вы хотите обменять токены на каком-либо DEX, вам необходимо сначала подключить кошелек, и в этот момент требуется подпись, чтобы доказать, что вы являетесь владельцем этого кошелька. Этот процесс не приведет к созданию каких-либо данных или изменений состояния в блокчейне, поэтому не требуется платить сборы.
Взаимодействие происходит во время фактического выполнения операций. Например, когда вы хотите обменять токены на DEX, вам сначала нужно заплатить сбор, сообщив смарт-контракту: "Я разрешаю вам использовать мои 100USDT", этот этап называется авторизацией (approve). Затем вам также нужно заплатить еще один сбор, сообщив смарт-контракту: "Теперь начните выполнять операцию обмена", после чего вы завершите сделку по обмену 100USDT на другие токены.
После того как мы поняли разницу между подписью и взаимодействием, давайте рассмотрим три распространенных метода фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Авторизация на фишинг является одним из самых классических методов мошенничества в Web3. Хакеры создают поддельный сайт, маскирующийся под проект NFT, с яркой кнопкой "Получить аирдроп" в центре страницы. Когда пользователь нажимает на кнопку, интерфейс, возникающий в кошельке, на самом деле требует от пользователя разрешения на перевод токенов на адрес хакера. Если пользователь подтверждает операцию, хакер успешно получает активы пользователя.
Однако у авторизованного фишинга есть слабое место: из-за необходимости платитьGas-ставки многие пользователи становятся более осторожными при выполнении финансовых операций, и при небольшом внимании они могут заметить аномалии, что относительно легко предотвратить.
Подписи Permit и Permit2 являются текущей горячей точкой безопасности активов Web3. Эта методика трудна для предотвращения, так как пользователи всегда должны подписывать вход в кошелек перед использованием DApp. Многие уже привыкли к мысли "это действие безопасно", и, добавив отсутствие необходимости платить сборы, а также то, что большинство людей не понимают значения каждой подписи, делает этот метод фишинга особенно опасным.
Механизм Permit является расширением функции авторизации в стандарте ERC-20. Проще говоря, он позволяет вам подписывать разрешение другим перемещать ваши токены. В отличие от традиционной авторизации, Permit — это когда вы подписываете «документ», позволяя кому-то перемещать ваши токены. Держатель этого «документа» может заплатить Gas за смарт-контракту, уведомляя контракт: «он разрешает мне перемещать его токены», что позволяет осуществлять перемещение активов. В этом процессе пользователь просто подписал имя, но на самом деле разрешил другим вызывать авторизацию и перемещать токены. Хакеры могут создать фишинговый сайт, заменив кнопку входа в кошелек на фишинг Permit, легко получая активы пользователя.
Permit2 не является функцией ERC-20, а представляет собой функцию, внедренную некоторыми DEX для улучшения пользовательского опыта. Она позволяет пользователям единовременно предоставить большой лимит DEX, после чего для каждой сделки требуется только подпись, а Gas-расходы оплачиваются контрактом Permit2 (вычитаются из окончательно обменянного токена). Однако, чтобы стать жертвой фишинга Permit2, необходимо, чтобы пользователь ранее использовал этот DEX и предоставил неограниченный лимит контракту Permit2. Поскольку в настоящее время по умолчанию DEX оперирует с неограниченными лимитами, количество пользователей, соответствующих этому критерию, довольно значительное.
В общем, авторизационная фишинг-схема по сути заключается в том, что пользователь платит деньги, чтобы сообщить смарт-контракту: "Я согласен, чтобы ты передал мои токены хакеру". Подписной фишинг же заключается в том, что пользователь подписывает "удостоверение", позволяющее другим перемещать активы, и передает его хакеру, который затем платит деньги, чтобы сообщить смарт-контракту: "Я хочу передать его токены себе". Permit и Permit2 в настоящее время являются высокоактивными зонами подписного фишинга. Permit является расширенной функцией авторизации для ERC-20, а Permit2 - это новая функция, выпущенная некоторой DEX.
Итак, как предотвратить эти фишинговые атаки?
Важно развивать осознание безопасности. Каждый раз, когда вы выполняете операции с кошельком, внимательно проверяйте, что именно вы делаете.
Разделите крупные суммы денег и повседневный кошелек, чтобы уменьшить возможные потери.
Научитесь распознавать формат подписей Permit и Permit2. Будьте особенно осторожны, когда видите подпись, содержащую следующую информацию:
Interactive:интерактивный веб-сайт
Владелец:адрес уполномоченного лица
Spender: адрес уполномоченной стороны
Значение:количество разрешений
Нонс: случайное число
Срок: время истечения
Понимая эти основные принципы и принимая соответствующие меры предосторожности, мы можем лучше защитить безопасность своих Web3 активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
6
Поделиться
комментарий
0/400
MemeCurator
· 7ч назад
Снова неудачники попались на крючок
Посмотреть ОригиналОтветить0
AlgoAlchemist
· 7ч назад
Новички все знают о защите от мошенничества, неудачники все равно попадаются.
Посмотреть ОригиналОтветить0
MEVHunterZhang
· 7ч назад
Снова кто-то утащил несколько десятков тысяч.
Посмотреть ОригиналОтветить0
WalletDetective
· 7ч назад
Снова украли? Неудивительно, что не внимательно смотрели на содержание подписи.
Посмотреть ОригиналОтветить0
OnchainArchaeologist
· 7ч назад
又被 разыгрывайте людей как лохов啦 根本学不会
Посмотреть ОригиналОтветить0
SolidityNewbie
· 7ч назад
Разыгрывайте людей как лохов один раз, чтобы запомнить.
Глубинный анализ фишинга подписей Web3: идентификация рисков и стратегии предотвращения
Анализ основной логики фишинга с использованием подписей Web3
В последнее время "фишинг с подписями" стал одним из самых популярных методов мошенничества среди хакеров в Web3. Несмотря на то, что специалисты по безопасности и компании по производству кошельков постоянно распространяют информацию по этой теме, каждый день множество пользователей продолжают попадаться на уловки. Одной из основных причин этого является то, что большинство людей не понимает основных принципов взаимодействия с кошельками, и для нетехнических специалистов порог вхождения слишком высок.
Чтобы помочь большему числу людей понять эту проблему, в статье будет глубоко исследована основная логика подписного фишинга в виде иллюстраций, и постарается объяснить на простом и понятном языке.
Прежде всего, нам нужно понять, что при использовании кошелька существует две основные операции: "подписание" и "взаимодействие". Проще говоря, подписание происходит вне блокчейна (вне цепочки) и не требует оплаты Gas; в то время как взаимодействие происходит в блокчейне (в цепочке) и требует оплаты Gas.
Подпись обычно используется для проверки подлинности, например, при входе в кошелек. Когда вы хотите обменять токены на каком-либо DEX, вам необходимо сначала подключить кошелек, и в этот момент требуется подпись, чтобы доказать, что вы являетесь владельцем этого кошелька. Этот процесс не приведет к созданию каких-либо данных или изменений состояния в блокчейне, поэтому не требуется платить сборы.
Взаимодействие происходит во время фактического выполнения операций. Например, когда вы хотите обменять токены на DEX, вам сначала нужно заплатить сбор, сообщив смарт-контракту: "Я разрешаю вам использовать мои 100USDT", этот этап называется авторизацией (approve). Затем вам также нужно заплатить еще один сбор, сообщив смарт-контракту: "Теперь начните выполнять операцию обмена", после чего вы завершите сделку по обмену 100USDT на другие токены.
После того как мы поняли разницу между подписью и взаимодействием, давайте рассмотрим три распространенных метода фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Авторизация на фишинг является одним из самых классических методов мошенничества в Web3. Хакеры создают поддельный сайт, маскирующийся под проект NFT, с яркой кнопкой "Получить аирдроп" в центре страницы. Когда пользователь нажимает на кнопку, интерфейс, возникающий в кошельке, на самом деле требует от пользователя разрешения на перевод токенов на адрес хакера. Если пользователь подтверждает операцию, хакер успешно получает активы пользователя.
Однако у авторизованного фишинга есть слабое место: из-за необходимости платитьGas-ставки многие пользователи становятся более осторожными при выполнении финансовых операций, и при небольшом внимании они могут заметить аномалии, что относительно легко предотвратить.
Подписи Permit и Permit2 являются текущей горячей точкой безопасности активов Web3. Эта методика трудна для предотвращения, так как пользователи всегда должны подписывать вход в кошелек перед использованием DApp. Многие уже привыкли к мысли "это действие безопасно", и, добавив отсутствие необходимости платить сборы, а также то, что большинство людей не понимают значения каждой подписи, делает этот метод фишинга особенно опасным.
Механизм Permit является расширением функции авторизации в стандарте ERC-20. Проще говоря, он позволяет вам подписывать разрешение другим перемещать ваши токены. В отличие от традиционной авторизации, Permit — это когда вы подписываете «документ», позволяя кому-то перемещать ваши токены. Держатель этого «документа» может заплатить Gas за смарт-контракту, уведомляя контракт: «он разрешает мне перемещать его токены», что позволяет осуществлять перемещение активов. В этом процессе пользователь просто подписал имя, но на самом деле разрешил другим вызывать авторизацию и перемещать токены. Хакеры могут создать фишинговый сайт, заменив кнопку входа в кошелек на фишинг Permit, легко получая активы пользователя.
Permit2 не является функцией ERC-20, а представляет собой функцию, внедренную некоторыми DEX для улучшения пользовательского опыта. Она позволяет пользователям единовременно предоставить большой лимит DEX, после чего для каждой сделки требуется только подпись, а Gas-расходы оплачиваются контрактом Permit2 (вычитаются из окончательно обменянного токена). Однако, чтобы стать жертвой фишинга Permit2, необходимо, чтобы пользователь ранее использовал этот DEX и предоставил неограниченный лимит контракту Permit2. Поскольку в настоящее время по умолчанию DEX оперирует с неограниченными лимитами, количество пользователей, соответствующих этому критерию, довольно значительное.
В общем, авторизационная фишинг-схема по сути заключается в том, что пользователь платит деньги, чтобы сообщить смарт-контракту: "Я согласен, чтобы ты передал мои токены хакеру". Подписной фишинг же заключается в том, что пользователь подписывает "удостоверение", позволяющее другим перемещать активы, и передает его хакеру, который затем платит деньги, чтобы сообщить смарт-контракту: "Я хочу передать его токены себе". Permit и Permit2 в настоящее время являются высокоактивными зонами подписного фишинга. Permit является расширенной функцией авторизации для ERC-20, а Permit2 - это новая функция, выпущенная некоторой DEX.
Итак, как предотвратить эти фишинговые атаки?
Важно развивать осознание безопасности. Каждый раз, когда вы выполняете операции с кошельком, внимательно проверяйте, что именно вы делаете.
Разделите крупные суммы денег и повседневный кошелек, чтобы уменьшить возможные потери.
Научитесь распознавать формат подписей Permit и Permit2. Будьте особенно осторожны, когда видите подпись, содержащую следующую информацию:
Понимая эти основные принципы и принимая соответствующие меры предосторожности, мы можем лучше защитить безопасность своих Web3 активов.