Son zamanlarda, "imza phishing" Web3 hackerlarının en çok tercih ettiği dolandırıcılık yöntemi haline geldi. Güvenlik uzmanları ve cüzdan şirketleri sürekli olarak ilgili bilgileri yaymasına rağmen, her gün birçok kullanıcı tuzağa düşüyor. Bu durumun başlıca nedenlerinden biri, çoğu insanın cüzdan etkileşimlerinin temel prensiplerini anlamaması ve teknik olmayan kişiler için öğrenme engelinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, bu makalede imza phishing'in temel mantığını grafiklerle derinlemesine inceleyecek ve mümkün olduğunca anlaşılır bir dil kullanarak açıklama yapacaktır.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imza" ve "etkileşim". Kısacası, imza blok zinciri dışında (off-chain) gerçekleşir ve Gas ücreti ödemez; etkileşim ise blok zinciri üzerinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekir.
İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yaparken. Bir DEX'te token takası yapmak istediğinizde, önce cüzdanı bağlamanız gerekir, bu aşamada cüzdanın sahibi olduğunuzu kanıtlamak için imza gerekir. Bu işlem blok zincirinde herhangi bir veri veya durum değişikliği yaratmaz, bu nedenle ücret ödenmesine gerek yoktur.
Etkileşim, işlemleri gerçekleştirme sırasında gerçekleşir. Örneğin, bir DEX'te token değiştirmek istediğinizde, önce bir ücret ödemeniz gerekir ve akıllı sözleşmeye "100USDT'mi kullanmanıza izin veriyorum" demeniz gerekir. Bu adım onaylama (approve) olarak adlandırılır. Ardından, akıllı sözleşmeye "Şimdi takas işlemini gerçekleştirmeye başlayın" demek için bir ücret daha ödemeniz gerekir; ardından 100USDT ile diğer tokenleri değiştirme işlemini tamamlamış olursunuz.
İmza ve etkileşim arasındaki farkı anladıktan sonra, üç yaygın oltalama yöntemini tanıtalım: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.
Yetkilendirme oltalama, Web3'teki en klasik dolandırıcılık yöntemlerinden biridir. Hackerlar, bir NFT projesi gibi görünen sahte bir web sitesi oluştururlar; sayfanın ortasında genellikle dikkat çekici bir "Hava Dolaşımını Al" butonu bulunur. Kullanıcı bu butona tıkladığında, cüzdanın açılan arayüzü aslında kullanıcının token'ları hackerın adresine aktarmayı yetkilendirmesini istemektedir. Kullanıcı işlemi onaylarsa, hacker kullanıcının varlıklarına başarıyla erişebilir.
Ancak, yetkilendirilmiş oltalama işleminin bir zayıf noktası var: Gas ücreti ödemek gerektiği için, birçok kullanıcı para işlemleri söz konusu olduğunda daha dikkatli olur ve biraz dikkat göstererek anormallikleri fark edebilir, bu nedenle önlenmesi görece daha kolaydır.
Permit ve Permit2 imza oltalama, şu anda Web3 varlık güvenliğinin en büyük problemlerinden biridir. Bu yöntemin önlenmesinin zor olmasının sebebi, kullanıcıların DApp'i kullanmadan önce her zaman cüzdanlarına imza atmak zorunda olmalarıdır. Birçok kişi "bu işlem güvenlidir" düşüncesine alışık hale gelmiş olup, ek olarak herhangi bir ücret ödememek ve çoğu kişinin her bir imzanın arkasındaki anlamı anlamaması, bu tür oltalama yöntemini özellikle tehlikeli kılmaktadır.
Permit mekanizması, ERC-20 standardı altında yetkilendirme işlevinin bir uzantısıdır. Kısacası, başkalarının token'larınızı hareket ettirmesine izin vermek için imza ile onay vermenizi sağlar. Geleneksel yetkilendirmeden farklı olarak, Permit, bir "belge" üzerinde imza atarak birinin token'larınızı hareket ettirmesine izin vermenizi sağlar. Bu "belgeye" sahip olan kişi, akıllı sözleşmeye Gas ücreti ödeyebilir ve sözleşmeye: "O, benim token'larımı hareket ettirmeme izin veriyor" diyerek varlık transferini gerçekleştirebilir. Bu süreçte, kullanıcı sadece bir imza atmış olur, ancak aslında başkalarının yetkilendirmeyi çağırmasına ve token'ları transfer etmesine izin vermiş olur. Hackerlar, giriş cüzdanı butonunu Permit oltalama ile değiştirmek için oltalama siteleri oluşturabilir ve kullanıcı varlıklarını kolayca ele geçirebilir.
Permit2, ERC-20'nin bir işlevi değil, kullanıcı deneyimini artırmak için belirli bir DEX tarafından sunulan bir işlevdir. Kullanıcılara DEX'e büyük bir miktarı bir kerede yetkilendirme imkanı tanır, ardından her işlemde sadece imza atmak yeterlidir; Permit2 akıllı sözleşmesi Gas ücretini öder (sonunda takas edilen tokenlerden düşülür). Ancak, Permit2 oltalama kurbanı olabilmek için, kullanıcının daha önce bu DEX'i kullanmış olması ve Permit2 akıllı sözleşmesine sınırsız yetki vermiş olması gerekir. Şu anda bu DEX'in varsayılan işlemi sınırsız yetki vermektir, bu koşulu karşılayan kullanıcı sayısı oldukça fazladır.
Özetle, yetkilendirme dolandırıcılığı temelde kullanıcının bir ücret ödeyerek akıllı sözleşmeye "Hacker'a tokenlarımı transfer etmeyi kabul ediyorum" demesidir. İmza dolandırıcılığı ise kullanıcının varlıkların başkaları tarafından taşınmasına izin veren bir "belge"yi hackere imzalamasıdır; hacker daha sonra bir ücret ödeyerek akıllı sözleşmeye "Onun tokenlarını kendime transfer etmek istiyorum" der. Permit ve Permit2, şu anda imza dolandırıcılığının yoğun olduğu alanlardır; Permit, ERC-20'nin yetkilendirme genişletme özelliğidir, Permit2 ise belirli bir DEX tarafından sunulan yeni bir özelliktir.
Peki, bu kimlik avı saldırılarına karşı nasıl önlem alabiliriz?
Güvenlik bilincini geliştirmek son derece önemlidir. Cüzdan işlemlerini her yaptığınızda, gerçekleştirdiğiniz işlemin ne olduğunu dikkatlice kontrol edin.
Büyük miktardaki fonları ve günlük kullanım cüzdanını ayırarak olası kayıpları azaltın.
Permit ve Permit2'nin imza formatını tanımayı öğrenin. Aşağıdaki bilgileri içeren bir imza gördüğünüzde dikkatli olun:
Etkileşimli:etkileşimli web sitesi
Sahip:Yetki veren adres
Spender: Yetkilendirilmiş taraf adresi
Değer: Yetkilendirme Miktarı
Nonce:Rastgele sayı
Son Tarih:geçerlilik süresi
Bu temel prensimleri anlamak ve uygun önlemleri alarak, Web3 varlıklarımızın güvenliğini daha iyi koruyabiliriz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 Likes
Reward
12
6
Share
Comment
0/400
MemeCurator
· 14h ago
Yine enayiler avlandı.
View OriginalReply0
AlgoAlchemist
· 14h ago
Acemi herkes dolandırıcılığa karşı dikkatli olmalı, enayiler yine de tuzağa düşüyor.
View OriginalReply0
MEVHunterZhang
· 14h ago
Yine birileri tarafından birkaç on bin lira daha kaptırdım.
View OriginalReply0
WalletDetective
· 14h ago
Yine mi çalındı? Şaşırmamalı, imza içeriğine dikkat etmezsen.
View OriginalReply0
OnchainArchaeologist
· 14h ago
Yine insanları enayi yerine koymak! Asla öğrenemeyeceğim.
View OriginalReply0
SolidityNewbie
· 14h ago
insanları enayi yerine koymak bir kez daha akıllanmak
Derinlik analizi Web3 imza phishing: Risk tanıma ve önleme stratejileri
Web3 İmza Phishing'in Temel Mantığı Analizi
Son zamanlarda, "imza phishing" Web3 hackerlarının en çok tercih ettiği dolandırıcılık yöntemi haline geldi. Güvenlik uzmanları ve cüzdan şirketleri sürekli olarak ilgili bilgileri yaymasına rağmen, her gün birçok kullanıcı tuzağa düşüyor. Bu durumun başlıca nedenlerinden biri, çoğu insanın cüzdan etkileşimlerinin temel prensiplerini anlamaması ve teknik olmayan kişiler için öğrenme engelinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, bu makalede imza phishing'in temel mantığını grafiklerle derinlemesine inceleyecek ve mümkün olduğunca anlaşılır bir dil kullanarak açıklama yapacaktır.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imza" ve "etkileşim". Kısacası, imza blok zinciri dışında (off-chain) gerçekleşir ve Gas ücreti ödemez; etkileşim ise blok zinciri üzerinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekir.
İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yaparken. Bir DEX'te token takası yapmak istediğinizde, önce cüzdanı bağlamanız gerekir, bu aşamada cüzdanın sahibi olduğunuzu kanıtlamak için imza gerekir. Bu işlem blok zincirinde herhangi bir veri veya durum değişikliği yaratmaz, bu nedenle ücret ödenmesine gerek yoktur.
Etkileşim, işlemleri gerçekleştirme sırasında gerçekleşir. Örneğin, bir DEX'te token değiştirmek istediğinizde, önce bir ücret ödemeniz gerekir ve akıllı sözleşmeye "100USDT'mi kullanmanıza izin veriyorum" demeniz gerekir. Bu adım onaylama (approve) olarak adlandırılır. Ardından, akıllı sözleşmeye "Şimdi takas işlemini gerçekleştirmeye başlayın" demek için bir ücret daha ödemeniz gerekir; ardından 100USDT ile diğer tokenleri değiştirme işlemini tamamlamış olursunuz.
İmza ve etkileşim arasındaki farkı anladıktan sonra, üç yaygın oltalama yöntemini tanıtalım: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.
Yetkilendirme oltalama, Web3'teki en klasik dolandırıcılık yöntemlerinden biridir. Hackerlar, bir NFT projesi gibi görünen sahte bir web sitesi oluştururlar; sayfanın ortasında genellikle dikkat çekici bir "Hava Dolaşımını Al" butonu bulunur. Kullanıcı bu butona tıkladığında, cüzdanın açılan arayüzü aslında kullanıcının token'ları hackerın adresine aktarmayı yetkilendirmesini istemektedir. Kullanıcı işlemi onaylarsa, hacker kullanıcının varlıklarına başarıyla erişebilir.
Ancak, yetkilendirilmiş oltalama işleminin bir zayıf noktası var: Gas ücreti ödemek gerektiği için, birçok kullanıcı para işlemleri söz konusu olduğunda daha dikkatli olur ve biraz dikkat göstererek anormallikleri fark edebilir, bu nedenle önlenmesi görece daha kolaydır.
Permit ve Permit2 imza oltalama, şu anda Web3 varlık güvenliğinin en büyük problemlerinden biridir. Bu yöntemin önlenmesinin zor olmasının sebebi, kullanıcıların DApp'i kullanmadan önce her zaman cüzdanlarına imza atmak zorunda olmalarıdır. Birçok kişi "bu işlem güvenlidir" düşüncesine alışık hale gelmiş olup, ek olarak herhangi bir ücret ödememek ve çoğu kişinin her bir imzanın arkasındaki anlamı anlamaması, bu tür oltalama yöntemini özellikle tehlikeli kılmaktadır.
Permit mekanizması, ERC-20 standardı altında yetkilendirme işlevinin bir uzantısıdır. Kısacası, başkalarının token'larınızı hareket ettirmesine izin vermek için imza ile onay vermenizi sağlar. Geleneksel yetkilendirmeden farklı olarak, Permit, bir "belge" üzerinde imza atarak birinin token'larınızı hareket ettirmesine izin vermenizi sağlar. Bu "belgeye" sahip olan kişi, akıllı sözleşmeye Gas ücreti ödeyebilir ve sözleşmeye: "O, benim token'larımı hareket ettirmeme izin veriyor" diyerek varlık transferini gerçekleştirebilir. Bu süreçte, kullanıcı sadece bir imza atmış olur, ancak aslında başkalarının yetkilendirmeyi çağırmasına ve token'ları transfer etmesine izin vermiş olur. Hackerlar, giriş cüzdanı butonunu Permit oltalama ile değiştirmek için oltalama siteleri oluşturabilir ve kullanıcı varlıklarını kolayca ele geçirebilir.
Permit2, ERC-20'nin bir işlevi değil, kullanıcı deneyimini artırmak için belirli bir DEX tarafından sunulan bir işlevdir. Kullanıcılara DEX'e büyük bir miktarı bir kerede yetkilendirme imkanı tanır, ardından her işlemde sadece imza atmak yeterlidir; Permit2 akıllı sözleşmesi Gas ücretini öder (sonunda takas edilen tokenlerden düşülür). Ancak, Permit2 oltalama kurbanı olabilmek için, kullanıcının daha önce bu DEX'i kullanmış olması ve Permit2 akıllı sözleşmesine sınırsız yetki vermiş olması gerekir. Şu anda bu DEX'in varsayılan işlemi sınırsız yetki vermektir, bu koşulu karşılayan kullanıcı sayısı oldukça fazladır.
Özetle, yetkilendirme dolandırıcılığı temelde kullanıcının bir ücret ödeyerek akıllı sözleşmeye "Hacker'a tokenlarımı transfer etmeyi kabul ediyorum" demesidir. İmza dolandırıcılığı ise kullanıcının varlıkların başkaları tarafından taşınmasına izin veren bir "belge"yi hackere imzalamasıdır; hacker daha sonra bir ücret ödeyerek akıllı sözleşmeye "Onun tokenlarını kendime transfer etmek istiyorum" der. Permit ve Permit2, şu anda imza dolandırıcılığının yoğun olduğu alanlardır; Permit, ERC-20'nin yetkilendirme genişletme özelliğidir, Permit2 ise belirli bir DEX tarafından sunulan yeni bir özelliktir.
Peki, bu kimlik avı saldırılarına karşı nasıl önlem alabiliriz?
Güvenlik bilincini geliştirmek son derece önemlidir. Cüzdan işlemlerini her yaptığınızda, gerçekleştirdiğiniz işlemin ne olduğunu dikkatlice kontrol edin.
Büyük miktardaki fonları ve günlük kullanım cüzdanını ayırarak olası kayıpları azaltın.
Permit ve Permit2'nin imza formatını tanımayı öğrenin. Aşağıdaki bilgileri içeren bir imza gördüğünüzde dikkatli olun:
Bu temel prensimleri anlamak ve uygun önlemleri alarak, Web3 varlıklarımızın güvenliğini daha iyi koruyabiliriz.