Аналіз принципу фішингу підписів Web3: відмінності між авторизацією, Permit та Permit2
У сфері Web3 "фішинг підписів" став одним із найпоширеніших методів атаки зловмисників. Незважаючи на те, що експерти з безпеки та компанії з виробництва гаманців постійно проводять освітні кампанії, щодня багато користувачів зазнають втрат. Основна причина цього полягає в тому, що більшість користувачів не розуміють основну логіку взаємодії з гаманцями, а для нетехнічних фахівців цей процес навчання має високу бар'єр.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, ми пояснимо підґрунтя фішингу підписів у простій та зрозумілій формі через ілюстрації.
По-перше, нам потрібно зрозуміти, що при використанні гаманця є дві основні операції: "підпис" і "взаємодія". Простими словами, підпис є операцією, яка відбувається поза межами блокчейну і не потребує сплати Gas-кошту; тоді як взаємодія є операцією, що відбувається в межах блокчейну і потребує сплати Gas-кошту.
Підпис зазвичай використовується для перевірки особи, наприклад, при вході до певного децентралізованого додатку (DApp). Цей процес не викликає жодних змін у даних блокчейну, тому плата не потрібна. На відміну від цього, взаємодія передбачає фактичні операції на ланцюгу, такі як обмін токенів, що вимагає сплати газових зборів.
Далі ми розглянемо три поширені способи фішингу: фішинг на основі авторизації, фішинг з підписом Permit та фішинг з підписом Permit2.
Авторизаційна фішинг-атака є класичним методом нападу, що використовує механізм авторизації смарт-контрактів. Хакери можуть створити фішинг-сайт, що маскується під NFT проект, щоб спонукати користувачів натиснути кнопку "Отримати аірдроп". Насправді ця дія надає хакерам доступ до токенів користувача. Однак, оскільки цей метод вимагає сплати Gas-кошту, користувачі зазвичай будуть більш обережні і його відносно легко запобігти.
Підробка підписів Permit та Permit2 є наразі більш складною проблемою. Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам схвалювати інших для переміщення своїх токенів за допомогою підпису. Цей спосіб не потребує безпосередньої оплати комісії за газ, тому користувачі можуть ненавмисно надати хакерам можливість керувати своїми активами.
Permit2 – це функція, яку деякий DEX впровадив для покращення користувацького досвіду. Вона дозволяє користувачам одноразово авторизувати великі суми, після чого для кожної транзакції потрібно лише підписати, без повторної авторизації. Однак це також створює можливості для хакерів.
Щоб запобігти цим атакам, користувачі повинні:
Розвивайте свідомість безпеки, уважно перевіряйте перед кожною операцією.
Розділіть великі суми коштів та гроші для повсякденного використання.
Навчіться розпізнавати формат підпису Permit і Permit2, будьте обережні з підписами, які містять адресу уповноваженої особи, адресу особи, якій надано повноваження, кількість дозволу тощо.
Зрозумівши ці принципи та вживаючи відповідних запобіжних заходів, користувачі можуть краще захистити безпеку своїх цифрових активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Всі аспекти фішингу підписів Web3: пастки безпеки авторизації, Permit та Permit2
Аналіз принципу фішингу підписів Web3: відмінності між авторизацією, Permit та Permit2
У сфері Web3 "фішинг підписів" став одним із найпоширеніших методів атаки зловмисників. Незважаючи на те, що експерти з безпеки та компанії з виробництва гаманців постійно проводять освітні кампанії, щодня багато користувачів зазнають втрат. Основна причина цього полягає в тому, що більшість користувачів не розуміють основну логіку взаємодії з гаманцями, а для нетехнічних фахівців цей процес навчання має високу бар'єр.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, ми пояснимо підґрунтя фішингу підписів у простій та зрозумілій формі через ілюстрації.
По-перше, нам потрібно зрозуміти, що при використанні гаманця є дві основні операції: "підпис" і "взаємодія". Простими словами, підпис є операцією, яка відбувається поза межами блокчейну і не потребує сплати Gas-кошту; тоді як взаємодія є операцією, що відбувається в межах блокчейну і потребує сплати Gas-кошту.
Підпис зазвичай використовується для перевірки особи, наприклад, при вході до певного децентралізованого додатку (DApp). Цей процес не викликає жодних змін у даних блокчейну, тому плата не потрібна. На відміну від цього, взаємодія передбачає фактичні операції на ланцюгу, такі як обмін токенів, що вимагає сплати газових зборів.
Далі ми розглянемо три поширені способи фішингу: фішинг на основі авторизації, фішинг з підписом Permit та фішинг з підписом Permit2.
Авторизаційна фішинг-атака є класичним методом нападу, що використовує механізм авторизації смарт-контрактів. Хакери можуть створити фішинг-сайт, що маскується під NFT проект, щоб спонукати користувачів натиснути кнопку "Отримати аірдроп". Насправді ця дія надає хакерам доступ до токенів користувача. Однак, оскільки цей метод вимагає сплати Gas-кошту, користувачі зазвичай будуть більш обережні і його відносно легко запобігти.
Підробка підписів Permit та Permit2 є наразі більш складною проблемою. Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам схвалювати інших для переміщення своїх токенів за допомогою підпису. Цей спосіб не потребує безпосередньої оплати комісії за газ, тому користувачі можуть ненавмисно надати хакерам можливість керувати своїми активами.
Permit2 – це функція, яку деякий DEX впровадив для покращення користувацького досвіду. Вона дозволяє користувачам одноразово авторизувати великі суми, після чого для кожної транзакції потрібно лише підписати, без повторної авторизації. Однак це також створює можливості для хакерів.
Щоб запобігти цим атакам, користувачі повинні:
Зрозумівши ці принципи та вживаючи відповідних запобіжних заходів, користувачі можуть краще захистити безпеку своїх цифрових активів.