Web3 İmza Phishing'in Temel Mantık Analizi

Birçok kullanıcı cüzdan etkileşimleri sırasında şu soruyla karşılaşıyor: "Sadece bir imza attım, neden param kayboldu?" Bu "imza oltalama" Web3 hackerlarının en çok tercih ettiği dolandırıcılık yöntemlerinden biri haline geliyor. Güvenlik uzmanları ve cüzdan şirketleri kullanıcıları dikkatli olmaya sürekli olarak uyarıyor olsalar da, her gün birçok kullanıcı tuzağa düşüyor.

Bu durumun başlıca nedenlerinden biri, çoğu kullanıcının cüzdan etkileşimlerinin temel mekanizmaları hakkında bilgi sahibi olmaması ve teknik olmayan kişiler için öğrenme eşiğinin yüksek olmasıdır. Bu nedenle, imza phishinginin prensibini açıklamak için grafiklerle bir yöntem kullanmaya ve sıradan kullanıcıların anlayabileceği basit ve anlaşılır bir dil kullanmaya karar verdik.

Öncelikle, cüzdan kullanırken yalnızca iki işlem olduğunu anlamamız gerekiyor: "imza" ve "etkileşim". En basit anlayış şu şekildedir: imza, blok zinciri dışında ( zincir altında ) gerçekleşir, Gas ücreti ödenmesi gerekmez; etkileşim ise blok zinciri üzerinde ( zincir üzerinde ) gerçekleşir ve Gas ücreti ödenmesi gerekir.

İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yaparken. Bir DEX'te token değiştirmek istediğinizde, önce cüzdanı bağlamanız gerekir, bu durumda "Ben bu cüzdanın sahibiyim" demek için imza gereklidir. Bu süreç, blockchain üzerinde herhangi bir veri veya durum değişikliği yaratmadığı için herhangi bir maliyet gerektirmez.

Ve etkileşim, DEX üzerinde token'ları gerçekten değiştirmek istediğinizde, önce DEX'in akıllı sözleşmesine bir ücret ödemeniz gerektiği anlamına gelir: "100USDT ile bir token değiştirmek istiyorum, 100USDT'mi hareket ettirmen için sana yetki veriyorum". Bu adım, (approve) olarak adlandırılır. Sonra, akıllı sözleşmeye "Şimdi 100USDT ile bir token değiştirmek istiyorum, işlemi gerçekleştirebilirsin" demek için bir ücret daha ödemelisiniz. Böylece 100USDT ile bir token değiştirme işlemini tamamlamış olursunuz.

İmza ve etkileşim arasındaki farkları anladıktan sonra, üç yaygın oltalama yöntemini tanıtalım: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.

Yetkilendirme Phishing, Web3'ün erken dönemindeki en klasik phishing yöntemlerinden biridir. Hackerlar, NFT projesi gibi görünen sahte bir web sitesi oluşturur ve burada dikkat çekici bir "Airdrop Al" butonu bulunur. Kullanıcı bu butona tıkladığında, cüzdanın açılan arayüzü aslında kullanıcının token'ları hacker'ın adresine transfer etmesini onaylamasını istemektedir. Kullanıcı bu işlemi onaylarsa, hacker başarılı bir dolandırıcılık gerçekleştirmiş olur.

Ancak, yetkilendirilmiş phishing'in bir dezavantajı var: Gas ücreti ödenmesi gerektiğinden, şimdi birçok kullanıcı fonlarla ilgili işlemler yaparken daha temkinli davranıyor, tanımadıkları sitelerde biraz dikkat göstererek anormallikleri fark edebiliyorlar.

Sonraki bölüm Permit ve Permit2 imza phishing'idir, bu şu anda Web3 varlık güvenliğinin en büyük sorunlarından biridir. Bunun önlenmesinin zor olmasının nedeni, her DApp kullanmadan önce cüzdanı imzalamak için oturum açmanız gerektiğidir. Birçok kullanıcı "bu işlem güvenlidir" düşüncesine alışmış durumda. Üstelik, herhangi bir ücret ödemek gerekmemesi ve çoğu insanın her imzanın arkasındaki anlamı anlamaması, bu tür phishing yöntemlerini özellikle tehlikeli hale getiriyor.

Permit, ERC-20 standardı altında yetkilendirilmiş bir genişletme işlevidir. Basitçe söylemek gerekirse, başkalarının tokenlerinizi hareket ettirmesi için imza ile onay verebilirsiniz. Yetkilendirme (Approve) için ödemeniz gereken ücretten farklı olarak, Permit, bir "kağıt" üzerine imza atmanız ve birinin tokenlerinizi hareket ettirmesine izin vermeniz gibidir. Daha sonra bu kişi, bu "kağıt" ile akıllı sözleşmeye gider, Gas ücretini öder ve sözleşmeye "Onun tokenlerini hareket ettirmeme izin verdi" der. Bu süreçte, sadece bir imza attınız, ancak aslında başkalarının yetkilendirmeyi çağırmasına ve tokenlerinizi aktarmasına izin verdiniz.

Permit2, ERC-20'nin bir işlevi değildir, bunun yerine bazı DEX'lerin kullanıcılar için geliştirdiği bir işlevdir. Amacı, kullanıcının bir seferde büyük bir miktarı yetkilendirmesini sağlamak ve ardından her işlemde yalnızca imza atmasını gerektirmektir, tekrar yetkilendirmeye gerek yoktur. Böylece kullanıcı her işlemde yalnızca bir kez Gas ücreti ödemek zorundadır ve bu ücret Permit2 sözleşmesi tarafından ödenir, nihayetinde takas edilen tokenlerden kesilecektir.

Ancak, Permit2'nin dolandırıcılığı için ön koşul, kullanıcının daha önce bu DEX'i kullanmış olması ve Permit2 akıllı sözleşmesine sınırsız yetki vermiş olmasıdır. Şu anda bu DEX'in varsayılan işlemi sınırsız yetki yetkilendirmesi olduğundan, bu koşulu karşılayan kullanıcı sayısı oldukça fazladır.

Özetle, yetkilendirme phishing'inin özü, bir akıllı sözleşmeye "Hacker'a token'larımı transfer etmesine izin veriyorum" demek için ücret ödemenizdir. İmza phishing'inin özü ise, hacker'a varlıklarınızı hareket ettirmesine izin veren bir "belge" imzalamanızdır; hacker daha sonra bir akıllı sözleşmeye "Onun token'larını kendime transfer etmek istiyorum" demek için ücret öder.

Peki, bu oltalama saldırılarına karşı nasıl önlem alabiliriz?

1. Güvenlik bilincini geliştirmek son derece önemlidir. Cüzdan işlemlerini her gerçekleştirdiğinizde, yaptığınız işlemi dikkatlice kontrol edin.

2. Büyük miktardaki parayı ve günlük kullanım cüzdanını ayırın, böylece oltalama durumunda kayıplarınızı en aza indirebilirsiniz.

3. Permit ve Permit2'nin imza formatını tanımayı öğrenin. Aşağıdaki bilgileri içeren bir imza gördüğünüzde dikkatli olun:

   • Etkileşimli：etkileşimli web sitesi
   • Sahip：Yetki Veren Adres
   • Harcayan: Yetkilendirilmiş taraf adresi
   • Değer：Yetkilendirilmiş miktar
   • Nonce: rastgele sayı
   • Son Tarih：geçerlilik süresi

Bu temel mantıkları ve önlemleri anlamak suretiyle, kullanıcılar dijital varlıklarını daha iyi koruyabilir ve imza dolandırıcılığının kurbanı olmaktan kaçınabilirler.