Анализ принципа фишинга в Web3: различия между авторизацией, Permit и Permit2
В области Web3 "фишинг с помощью подписей" стал одним из самых распространенных методов атак хакеров. Несмотря на то, что эксперты по безопасности и компании по производству кошельков постоянно проводят просветительскую работу, ежедневно многие пользователи сталкиваются с потерями. Основная причина заключается в том, что большинство пользователей не понимают основную логику взаимодействия с кошельком, и для нетехнических специалистов порог для изучения этих знаний довольно высок.
Чтобы помочь большему числу людей понять эту проблему, мы объясним основную логику фишинга с помощью подписей в доступной и понятной форме, используя иллюстрации.
Во-первых, нам нужно понять, что при использовании кошелька есть два основных действия: "подпись" и "взаимодействие". Проще говоря, подпись - это действие, происходящее вне блокчейна, за которое не нужно платить Gas; в то время как взаимодействие - это действие, происходящее в блокчейне, за которое нужно платить Gas.
Подпись обычно используется для проверки личности, например, при входе в какое-либо децентрализованное приложение (DApp). Этот процесс не вносит никаких изменений в данные блокчейна, поэтому не нужно платить сборы. Напротив, взаимодействие включает в себя фактические операции на цепочке, такие как обмен токенов, которые требуют оплаты Gas.
Далее мы представим три распространенных способа фишинга: фишинг авторизации, фишинг подписей Permit и фишинг подписей Permit2.
Авторизация фишинга — это классический метод атаки, использующий механизм авторизации смарт-контрактов. Хакеры могут создать фишинговый сайт, маскирующийся под проект NFT, чтобы заманить пользователей нажать кнопку "Получить аирдроп". На самом деле эта операция предоставляет хакерам доступ к токенам пользователя. Тем не менее, поскольку этот метод требует оплаты Gas, пользователи обычно более бдительны и его относительно легко предотвратить.
Подделка подписей Permit и Permit2 является сейчас более сложной проблемой. Permit — это расширенная функция стандарта ERC-20, позволяющая пользователям одобрять другим возможность перемещения своих токенов через подпись. Такой подход не требует прямой оплаты Gas-издержек, поэтому пользователи могут ненароком разрешить хакерам управлять своими активами.
Permit2 - это функция, внедренная некоторыми DEX для улучшения пользовательского опыта. Она позволяет пользователям единовременно авторизовать крупные суммы, после чего для каждой последующей сделки требуется только подпись, без необходимости повторной авторизации. Однако это также предоставляет возможность для хакеров.
Чтобы предотвратить эти атаки, пользователи должны:
Развивайте осознание безопасности, внимательно проверяйте перед каждой операцией.
Отделите крупные суммы средств от кошелька для повседневного использования.
Научитесь распознавать форматы подписей Permit и Permit2, будьте внимательны к подписям, содержащим адреса сторон, предоставляющих разрешение, адреса уполномоченных лиц, количество разрешений и другую информацию.
Понимание этих принципов и принятие соответствующих мер предосторожности позволит пользователям лучше защищать безопасность своих цифровых активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Полный анализ фишинга с подписями в Web3: ловушки безопасности авторизаций, Permit и Permit2
Анализ принципа фишинга в Web3: различия между авторизацией, Permit и Permit2
В области Web3 "фишинг с помощью подписей" стал одним из самых распространенных методов атак хакеров. Несмотря на то, что эксперты по безопасности и компании по производству кошельков постоянно проводят просветительскую работу, ежедневно многие пользователи сталкиваются с потерями. Основная причина заключается в том, что большинство пользователей не понимают основную логику взаимодействия с кошельком, и для нетехнических специалистов порог для изучения этих знаний довольно высок.
Чтобы помочь большему числу людей понять эту проблему, мы объясним основную логику фишинга с помощью подписей в доступной и понятной форме, используя иллюстрации.
Во-первых, нам нужно понять, что при использовании кошелька есть два основных действия: "подпись" и "взаимодействие". Проще говоря, подпись - это действие, происходящее вне блокчейна, за которое не нужно платить Gas; в то время как взаимодействие - это действие, происходящее в блокчейне, за которое нужно платить Gas.
Подпись обычно используется для проверки личности, например, при входе в какое-либо децентрализованное приложение (DApp). Этот процесс не вносит никаких изменений в данные блокчейна, поэтому не нужно платить сборы. Напротив, взаимодействие включает в себя фактические операции на цепочке, такие как обмен токенов, которые требуют оплаты Gas.
Далее мы представим три распространенных способа фишинга: фишинг авторизации, фишинг подписей Permit и фишинг подписей Permit2.
Авторизация фишинга — это классический метод атаки, использующий механизм авторизации смарт-контрактов. Хакеры могут создать фишинговый сайт, маскирующийся под проект NFT, чтобы заманить пользователей нажать кнопку "Получить аирдроп". На самом деле эта операция предоставляет хакерам доступ к токенам пользователя. Тем не менее, поскольку этот метод требует оплаты Gas, пользователи обычно более бдительны и его относительно легко предотвратить.
Подделка подписей Permit и Permit2 является сейчас более сложной проблемой. Permit — это расширенная функция стандарта ERC-20, позволяющая пользователям одобрять другим возможность перемещения своих токенов через подпись. Такой подход не требует прямой оплаты Gas-издержек, поэтому пользователи могут ненароком разрешить хакерам управлять своими активами.
Permit2 - это функция, внедренная некоторыми DEX для улучшения пользовательского опыта. Она позволяет пользователям единовременно авторизовать крупные суммы, после чего для каждой последующей сделки требуется только подпись, без необходимости повторной авторизации. Однако это также предоставляет возможность для хакеров.
Чтобы предотвратить эти атаки, пользователи должны:
Понимание этих принципов и принятие соответствующих мер предосторожности позволит пользователям лучше защищать безопасность своих цифровых активов.