Web3 İmza Phishing Prensibi Analizi: Yetki, Permit ve Permit2 Arasındaki Farklar
Web3 alanında, "imza oltası" hackerların en yaygın saldırı yöntemlerinden biri haline geldi. Güvenlik uzmanları ve cüzdan şirketleri sürekli olarak farkındalık yaratmaya çalışsalar da, her gün birçok kullanıcı kayıp yaşıyor. Bunun başlıca nedeni, çoğu kullanıcının cüzdan etkileşimlerinin temel mantığını anlamaması ve teknik olmayan kişiler için bu bilgilerin öğrenim eşiğinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, imza oltalaması ile ilgili temel mantığı basit ve anlaşılır bir dille açıklamak için grafikler kullanacağız.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imza" ve "etkileşim". Kısacası, imza, blok zincirinin dışında gerçekleşen bir işlemdir ve Gas ücreti ödemez; etkileşim ise blok zincirinde gerçekleşen bir işlemdir ve Gas ücreti ödenmesi gerekir.
İmza genellikle kimliği doğrulamak için kullanılır, örneğin bir merkeziyetsiz uygulamaya (DApp) giriş yaparken. Bu süreç, blok zinciri verilerinde herhangi bir değişiklik yapmadığı için ücret ödenmesi gerekmez. Bununla birlikte, etkileşim, token değişimi gibi gerçek zincir üzerindeki işlemleri içerir ve Gas ücretleri ödenmesi gerekir.
Sonraki bölümde, üç yaygın oltalama yöntemini tanıtacağız: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.
Yetkilendirme dolandırıcılığı, akıllı sözleşmelerin yetkilendirme mekanizmasını kullanarak gerçekleştirilen klasik bir saldırı yöntemidir. Hackerlar, kullanıcıları "Hava düğmesi al" butonuna tıklamaya ikna etmek için NFT projesi gibi görünen sahte bir dolandırıcılık web sitesi oluşturabilir. Ancak, bu işlem hackerların kullanıcıların token'larına erişim izni vermesi anlamına gelir. Bununla birlikte, bu yöntem Gas ücreti ödemeyi gerektirdiğinden, kullanıcılar genellikle daha dikkatli olur ve bu nedenle daha kolay önlenebilir.
Permit ve Permit2 imza dolandırıcılığı şu anda daha zor bir sorun. Permit, kullanıcıların imza ile başkalarının kendi tokenlerini hareket ettirmesine izin veren ERC-20 standardının bir genişletme özelliğidir. Bu yöntem doğrudan Gas ücreti ödemeyi gerektirmediği için, kullanıcılar farkında olmadan hackerların kendi varlıklarını kontrol etmesine yetki verebilir.
Permit2, kullanıcı deneyimini artırmak amacıyla belirli bir DEX tarafından sunulan bir özelliktir. Kullanıcının büyük bir yetkiyi tek seferde vermesine olanak tanır, böylece her işlemde sadece imza atmak yeterlidir, tekrar yetki vermek gerekmez. Ancak bu, hackerlar için bir fırsat sunmaktadır.
Bu saldırılardan korunmak için kullanıcılar şunları yapmalıdır:
Güvenlik bilincini geliştirin, her işlemden önce dikkatlice kontrol edin.
Büyük miktardaki fonları günlük kullanılan cüzdanlardan ayırın.
Permit ve Permit2'nin imza formatlarını tanımayı öğrenin, yetki veren adres, yetki alan adres, yetki miktarı gibi bilgileri içeren imzalara dikkat edin.
Bu prensipleri anlayarak ve gerekli önlemleri alarak, kullanıcılar dijital varlıklarının güvenliğini daha iyi koruyabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Web3 imza oltacılığının tam analizi: Yetkilendirme, Permit ve Permit2'nin güvenlik tuzakları
Web3 İmza Phishing Prensibi Analizi: Yetki, Permit ve Permit2 Arasındaki Farklar
Web3 alanında, "imza oltası" hackerların en yaygın saldırı yöntemlerinden biri haline geldi. Güvenlik uzmanları ve cüzdan şirketleri sürekli olarak farkındalık yaratmaya çalışsalar da, her gün birçok kullanıcı kayıp yaşıyor. Bunun başlıca nedeni, çoğu kullanıcının cüzdan etkileşimlerinin temel mantığını anlamaması ve teknik olmayan kişiler için bu bilgilerin öğrenim eşiğinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, imza oltalaması ile ilgili temel mantığı basit ve anlaşılır bir dille açıklamak için grafikler kullanacağız.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imza" ve "etkileşim". Kısacası, imza, blok zincirinin dışında gerçekleşen bir işlemdir ve Gas ücreti ödemez; etkileşim ise blok zincirinde gerçekleşen bir işlemdir ve Gas ücreti ödenmesi gerekir.
İmza genellikle kimliği doğrulamak için kullanılır, örneğin bir merkeziyetsiz uygulamaya (DApp) giriş yaparken. Bu süreç, blok zinciri verilerinde herhangi bir değişiklik yapmadığı için ücret ödenmesi gerekmez. Bununla birlikte, etkileşim, token değişimi gibi gerçek zincir üzerindeki işlemleri içerir ve Gas ücretleri ödenmesi gerekir.
Sonraki bölümde, üç yaygın oltalama yöntemini tanıtacağız: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.
Yetkilendirme dolandırıcılığı, akıllı sözleşmelerin yetkilendirme mekanizmasını kullanarak gerçekleştirilen klasik bir saldırı yöntemidir. Hackerlar, kullanıcıları "Hava düğmesi al" butonuna tıklamaya ikna etmek için NFT projesi gibi görünen sahte bir dolandırıcılık web sitesi oluşturabilir. Ancak, bu işlem hackerların kullanıcıların token'larına erişim izni vermesi anlamına gelir. Bununla birlikte, bu yöntem Gas ücreti ödemeyi gerektirdiğinden, kullanıcılar genellikle daha dikkatli olur ve bu nedenle daha kolay önlenebilir.
Permit ve Permit2 imza dolandırıcılığı şu anda daha zor bir sorun. Permit, kullanıcıların imza ile başkalarının kendi tokenlerini hareket ettirmesine izin veren ERC-20 standardının bir genişletme özelliğidir. Bu yöntem doğrudan Gas ücreti ödemeyi gerektirmediği için, kullanıcılar farkında olmadan hackerların kendi varlıklarını kontrol etmesine yetki verebilir.
Permit2, kullanıcı deneyimini artırmak amacıyla belirli bir DEX tarafından sunulan bir özelliktir. Kullanıcının büyük bir yetkiyi tek seferde vermesine olanak tanır, böylece her işlemde sadece imza atmak yeterlidir, tekrar yetki vermek gerekmez. Ancak bu, hackerlar için bir fırsat sunmaktadır.
Bu saldırılardan korunmak için kullanıcılar şunları yapmalıdır:
Bu prensipleri anlayarak ve gerekli önlemleri alarak, kullanıcılar dijital varlıklarının güvenliğini daha iyi koruyabilir.