Análisis de la lógica subyacente del phishing por firma en Web3
Recientemente, el "phishing por firma" se ha convertido en la técnica de fraude más común entre los hackers de Web3. A pesar de que los expertos de la industria continúan promoviendo el conocimiento sobre prevención, muchos usuarios aún caen en la trampa. Esto se debe principalmente a que la mayoría de las personas carecen de comprensión sobre los mecanismos subyacentes de la interacción con las billeteras, y el umbral de aprendizaje es bastante alto para quienes no son técnicos.
Para ayudar a más personas a entender este problema, explicaremos en detalle el principio de la pesca de firmas a través de diagramas, y trataremos de utilizar un lenguaje sencillo y comprensible.
Primero, necesitamos entender que las operaciones de la billetera se dividen principalmente en dos categorías: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena (off-chain) y no requiere pagar tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere pagar tarifas de Gas.
Las firmas se utilizan comúnmente para la autenticación, como iniciar sesión en una billetera o conectarse a una aplicación descentralizada (DApp). Este proceso no altera ningún dato o estado en la cadena de bloques, por lo que no es necesario pagar ninguna tarifa.
La interacción implica operaciones reales en la blockchain. Por ejemplo, cuando deseas realizar un intercambio de tokens en un DEX, primero necesitas autorizar el contrato inteligente del DEX para usar tus tokens (llamado operación "approve"), y luego ejecutar la operación de intercambio real. Ambas etapas requieren el pago de tarifas de Gas.
Después de comprender estos conceptos básicos, veamos tres tipos comunes de phishing: phishing de autorización, phishing de firma de Permiso y phishing de firma de Permiso2.
Phishing autorizado:
Esta es una técnica clásica de phishing. Los hackers crean un sitio web que se disfraza de un proyecto legítimo, induciendo a los usuarios a hacer clic en botones como "reclamar airdrop". En realidad, después de hacer clic, se les pedirá a los usuarios que autoricen sus tokens a la dirección del hacker. Dado que esta operación requiere pagar tarifas de Gas, muchos usuarios ahora son más cautelosos cuando se encuentran con operaciones que requieren gastar dinero, por lo que este método es relativamente fácil de prevenir.
Permiso de firma de phishing:
Permit es una función extendida del estándar ERC-20 que permite a los usuarios aprobar a otros para mover sus tokens mediante una firma. Este método no requiere el pago directo de tarifas de Gas, lo que facilita que los usuarios bajen la guardia. Los hackers pueden crear sitios web de phishing que reemplazan la operación normal de inicio de sesión con una solicitud de firma de Permit, obteniendo así la autorización para transferir los activos del usuario.
Phishing de firma Permit2:
Permit2 es una función lanzada por un DEX para mejorar la experiencia del usuario. Permite a los usuarios autorizar una gran cantidad de forma única, después solo necesitan firmar para realizar transacciones, eliminando la molestia de autorizar antes de cada transacción. Sin embargo, esto también proporciona nuevas vías de ataque para los hackers. Si un usuario ha utilizado previamente este DEX y ha otorgado un límite ilimitado, entonces un hacker solo necesita engañar a la víctima para obtener una firma y puede transferir los activos del usuario.
Para prevenir estos ataques de phishing, recomendamos:
Fomentar la conciencia de seguridad, cada vez que realice operaciones con la billetera, debe verificar cuidadosamente las operaciones que se están ejecutando.
Separar los fondos grandes de la billetera que se usa a diario para reducir las pérdidas potenciales.
Aprende a reconocer el formato de firma de Permit y Permit2. Si ves una solicitud de firma que contenga la siguiente información, debes estar especialmente alerta:
Interactivo(交互网址)
Propietario (dirección del autorizador)
Spender (dirección autorizada)
Valor(授权数量)
Nonce (número aleatorio)
Fecha límite
Al comprender los principios de estas técnicas de phishing y los métodos de prevención, podemos proteger mejor la seguridad de nuestros activos digitales. En el mundo de Web3, es crucial mantenerse alerta y seguir aprendiendo.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
4
Republicar
Compartir
Comentar
0/400
BasementAlchemist
· 08-12 17:27
Ay, todavía fui tomado por tontos.
Ver originalesResponder0
GasGuzzler
· 08-12 17:24
La firma es una trampa.
Ver originalesResponder0
CountdownToBroke
· 08-12 17:21
¿Firma? Pensando en los 13u que me estafaron antes...
Principios de ataques de phishing con firma Web3 y guía de prevención
Análisis de la lógica subyacente del phishing por firma en Web3
Recientemente, el "phishing por firma" se ha convertido en la técnica de fraude más común entre los hackers de Web3. A pesar de que los expertos de la industria continúan promoviendo el conocimiento sobre prevención, muchos usuarios aún caen en la trampa. Esto se debe principalmente a que la mayoría de las personas carecen de comprensión sobre los mecanismos subyacentes de la interacción con las billeteras, y el umbral de aprendizaje es bastante alto para quienes no son técnicos.
Para ayudar a más personas a entender este problema, explicaremos en detalle el principio de la pesca de firmas a través de diagramas, y trataremos de utilizar un lenguaje sencillo y comprensible.
Primero, necesitamos entender que las operaciones de la billetera se dividen principalmente en dos categorías: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena (off-chain) y no requiere pagar tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere pagar tarifas de Gas.
Las firmas se utilizan comúnmente para la autenticación, como iniciar sesión en una billetera o conectarse a una aplicación descentralizada (DApp). Este proceso no altera ningún dato o estado en la cadena de bloques, por lo que no es necesario pagar ninguna tarifa.
La interacción implica operaciones reales en la blockchain. Por ejemplo, cuando deseas realizar un intercambio de tokens en un DEX, primero necesitas autorizar el contrato inteligente del DEX para usar tus tokens (llamado operación "approve"), y luego ejecutar la operación de intercambio real. Ambas etapas requieren el pago de tarifas de Gas.
Después de comprender estos conceptos básicos, veamos tres tipos comunes de phishing: phishing de autorización, phishing de firma de Permiso y phishing de firma de Permiso2.
Para prevenir estos ataques de phishing, recomendamos:
Fomentar la conciencia de seguridad, cada vez que realice operaciones con la billetera, debe verificar cuidadosamente las operaciones que se están ejecutando.
Separar los fondos grandes de la billetera que se usa a diario para reducir las pérdidas potenciales.
Aprende a reconocer el formato de firma de Permit y Permit2. Si ves una solicitud de firma que contenga la siguiente información, debes estar especialmente alerta:
Al comprender los principios de estas técnicas de phishing y los métodos de prevención, podemos proteger mejor la seguridad de nuestros activos digitales. En el mundo de Web3, es crucial mantenerse alerta y seguir aprendiendo.