Розшифрування фішингу підписів Web3: аналіз принципів та посібник з профілактики

robot
Генерація анотацій у процесі

Аналіз основної логіки фішингу підписів Web3

Багато користувачів стикаються з плутаниною під час взаємодії з гаманцем: "Я просто підписав, чому ж мої кошти зникли?" Цей "фішинг підпису" стає найулюбленішим методом шахрайства для хакерів Web3. Хоча експерти з безпеки та компанії-гаманці постійно нагадують користувачам бути пильними, щодня велика кількість користувачів потрапляє в пастку.

Однією з основних причин цієї ситуації є те, що більшість користувачів не розуміють основні механізми взаємодії з гаманцем, і для нетехнічних осіб поріг навчання є досить високим. Тому ми вирішили пояснити принципи підписного фішингу у вигляді ілюстрацій і намагатимемося використовувати зрозумілу мову, щоб звичайні користувачі також могли зрозуміти.

По-перше, нам потрібно зрозуміти, що при використанні гаманця є лише дві дії: "підпис" і "взаємодія". Найпростіше розуміння таке: підпис відбувається поза блокчейном (, тобто поза ланцюгом ), і не вимагає сплати Gas; тоді як взаємодія відбувається в блокчейні (, тобто на ланцюзі ), і вимагає сплати Gas.

Підпис зазвичай використовується для автентифікації, наприклад, під час входу в гаманець. Коли ви хочете обміняти токени на певному DEX, вам спочатку потрібно підключити гаманець, і в цей момент потрібен підпис, щоб підтвердити: "Я є власником цього гаманця". Цей процес не призводить до жодних змін у даних або стані блокчейну, тому витрати не потрібні.

А взаємодія - це коли ви насправді хочете обміняти токени на DEX, вам потрібно спочатку сплатити комісію, щоб повідомити смарт-контракт DEX: "Я хочу обміняти 100USDT на один токен, я уповноважую вас перемістити мої 100USDT". Цей крок називається авторизацією (approve). Потім вам також потрібно буде сплатити ще одну комісію, щоб повідомити смарт-контракт: "Я зараз хочу обміняти 100USDT на один токен, ви можете виконати операцію". Таким чином, ви завершили угоду з обміну 100USDT на один токен.

Просте пояснення основної логіки підпису Web3: різниця між авторизаційною фішинговою атакою, Permit та Permit2

Після того, як ми зрозуміли різницю між підписом і взаємодією, давайте розглянемо три поширених способи фішингу: фішинг через авторизацію, фішинг через підпис Permit і фішинг через підпис Permit2.

Авторизаційна риболовля є одним з найкласичніших методів риболовлі на ранньому етапі Web3. Хакери створюють підроблений веб-сайт, що маскується під NFT проект, на якому є помітна кнопка "Отримати аеродроп". Коли користувач натискає, інтерфейс, що з'являється в гаманці, насправді вимагає у користувача авторизувати передачу токенів на адресу хакера. Якщо користувач підтверджує цю операцію, хакер успішно завершує шахрайство.

Проте, авторизоване риболовство має один недолік: через необхідність сплачувати Gas-кошти, зараз багато користувачів стають більш обережними при виконанні операцій з коштами, і на незнайомих сайтах можна легко виявити аномалії.

Просте пояснення основної логіки фішингу підписів Web3: фішинг авторизації, різниця між Permit та Permit2

Далі йдеться про фішинг за допомогою підписів Permit і Permit2, що є критично небезпечним місцем для безпеки активів Web3. Важко запобігти цьому, оскільки перед використанням DApp потрібно підписати вхід до гаманця, і багато користувачів вже виробили звичку вважати, що "ця дія є безпечною". Додатково, оскільки не потрібно сплачувати комісію, а більшість людей не розуміє значення кожного підпису, цей спосіб фішингу є особливо небезпечним.

Permit - це розширена функція авторизації в стандарті ERC-20. Простими словами, це означає, що ви можете підписати дозвіл іншим переміщати ваші токени. На відміну від авторизації (Approve), яка вимагає від вас сплати зборів, Permit фактично є підписом на "документі", який дозволяє комусь переміщати ваші токени. Потім ця особа з "документом" йде до смарт-контракту, сплачує Gas-кошти і повідомляє контракту: "він дозволяє мені переміщати його токени". У цьому процесі ви лише підписалися, але фактично дозволили іншій особі викликати авторизацію та перемістити ваші токени.

Просте пояснення основної логіки фішингу підписів Web3: різниця між авторизаційним фішингом, Permit та Permit2

Permit2 не є функцією ERC-20, а є функцією, яку певна DEX запровадила для зручності користувачів. Його мета полягає в тому, щоб дозволити користувачам одноразово надати великі повноваження, після чого для кожної угоди потрібно лише підписати, без повторного надання повноважень. Таким чином, користувач платить за газ лише один раз за кожну угоду, і ця плата сплачується контрактом Permit2, який в підсумку буде вирахувано з обмінюваного токена.

Однак передумовою фішингу Permit2 є те, що користувач раніше користувався цим DEX і надав безмежний ліміт смарт-контракту Permit2. Оскільки на даний момент за замовчуванням операцією цього DEX є авторизація безмежного ліміту, то кількість користувачів, які відповідають цій умові, досить велика.

Підсумовуючи, суть авторизаційної фішингової атаки полягає в тому, що ви сплачуєте плату, щоб повідомити смарт-контракту: "Я дозволяю тобі перевести мої токени хакеру". Суть підписної фішингової атаки полягає в тому, що ви підписали "записку", яка дозволяє іншим переміщувати ваші активи, хакер потім сплачує плату, щоб повідомити смарт-контракту: "Я хочу перевести його токени до себе".

Отже, як можна запобігти цим фішинговим атакам?

  1. Важливо виховувати обізнаність щодо безпеки. Щоразу, коли ви виконуєте операції з гаманцем, уважно перевіряйте, що саме ви робите.

  2. Розділіть великі суми коштів і щоденний гаманець, таким чином, навіть якщо вас зловлять на фішинг, ви зможете зменшити втрати до мінімуму.

  3. Навчіться розпізнавати формати підписів Permit та Permit2. Якщо ви бачите підпис, що містить наступну інформацію, будьте обережні:

    • Interactive:інтерактивний сайт
    • Власник:адреса уповноваженої особи
    • Spender: адреса уповноваженого
    • Значення:Кількість дозволів
    • Nonce:випадкове число
    • Дедлайн:термін придатності

Просте пояснення основної логіки фішингу підписів Web3: фішинг авторизації, різниця між Permit та Permit2

Зрозумівши ці базові логіки та запобіжні заходи, користувачі можуть краще захистити свої цифрові активи, уникнувши того, щоб стати жертвами фішингу підписів.

GAS-1.36%
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • 6
  • Поділіться
Прокоментувати
0/400
PoetryOnChainvip
· 07-17 15:03
Знову невдахи були обкрадені, так?
Переглянути оригіналвідповісти на0
SchrodingerWalletvip
· 07-16 16:37
людський середній невдахи чекають на різку...
Переглянути оригіналвідповісти на0
PensionDestroyervip
· 07-14 18:57
Хто попався, підніміть лапу! Хто розуміє.
Переглянути оригіналвідповісти на0
RugDocScientistvip
· 07-14 18:54
Підпис підписує самотність
Переглянути оригіналвідповісти на0
GhostAddressMinervip
· 07-14 18:48
Знову одна хвиля грошей невдах буде відстежена мною
Переглянути оригіналвідповісти на0
GasGrillMastervip
· 07-14 18:37
Підписав кілька контрактів, а сліз немає.
Переглянути оригіналвідповісти на0
  • Закріпити