Analyse de la logique sous-jacente de l'hameçonnage par signature Web3
Récemment, le "phishing par signature" est devenu l'une des méthodes de fraude les plus couramment utilisées par les hackers Web3. Malgré les efforts constants des experts du secteur pour promouvoir des connaissances préventives, de nombreux utilisateurs tombent encore dans le piège. Cela est principalement dû au fait que la plupart des gens manquent de compréhension des mécanismes sous-jacents des interactions avec les portefeuilles, et que la barrière à l'apprentissage est relativement élevée pour les non-techniciens.
Pour aider un plus grand nombre de personnes à comprendre ce problème, nous expliquerons en détail le principe de l'hameçonnage par signature à l'aide d'illustrations, en essayant d'utiliser un langage simple et compréhensible.
Tout d'abord, nous devons comprendre que les opérations de portefeuille se divisent principalement en deux catégories : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne), sans nécessiter le paiement de frais de Gas ; tandis que l'interaction se produit sur la blockchain (sur chaîne), nécessitant le paiement de frais de Gas.
La signature est généralement utilisée pour l'authentification, par exemple pour se connecter à un portefeuille ou se connecter à une application décentralisée (DApp). Ce processus ne modifie aucune donnée ou état sur la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction implique des opérations réelles sur la blockchain. Par exemple, lorsque vous souhaitez échanger des jetons sur un DEX, vous devez d'abord autoriser le contrat intelligent du DEX à utiliser vos jetons (appelé opération "approve"), puis effectuer l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.
Après avoir compris ces concepts de base, examinons trois types courants de phishing : le phishing par autorisation, le phishing par signature de Permit et le phishing par signature de Permit2.
Phishing d'autorisation :
C'est une technique de phishing classique. Les hackers créent un site web déguisé en projet légitime, incitant les utilisateurs à cliquer sur des boutons tels que "Réclamer l'airdrop". En réalité, après avoir cliqué, les utilisateurs seront invités à autoriser leurs tokens à l'adresse du hacker. Étant donné que cette opération nécessite de payer des frais de Gas, de nombreux utilisateurs deviennent plus vigilants lorsqu'ils rencontrent des opérations qui nécessitent de dépenser de l'argent, rendant ainsi cette méthode relativement facile à prévenir.
Phishing par signature de permis :
Permit est une fonctionnalité étendue de la norme ERC-20 qui permet aux utilisateurs d'approuver d'autres personnes pour déplacer leurs jetons via une signature. Cette méthode ne nécessite pas de paiement direct des frais de Gas, rendant ainsi les utilisateurs plus susceptibles de baisser leur garde. Les hackers peuvent créer des sites de phishing, remplaçant les opérations de connexion normales par des requêtes de signature Permit, leur permettant d'obtenir les droits pour transférer les actifs des utilisateurs.
Phishing de signature Permit2 :
Permit2 est une fonctionnalité lancée par un certain DEX pour améliorer l'expérience utilisateur. Elle permet aux utilisateurs de donner une autorisation unique pour un montant élevé, après quoi il suffit de signer pour effectuer des transactions, évitant ainsi le tracas d'une autorisation avant chaque transaction. Cependant, cela offre également de nouvelles voies d'attaque aux hackers. Si un utilisateur a déjà utilisé ce DEX et a accordé un montant illimité, un hacker n'aura besoin que d'obtenir une signature pour transférer les actifs de l'utilisateur.
Pour prévenir ces attaques de phishing, nous recommandons :
Développez une conscience de la sécurité, vérifiez attentivement les opérations réelles à chaque fois que vous effectuez des opérations de portefeuille.
Séparez les fonds importants des portefeuilles utilisés au quotidien pour réduire les pertes potentielles.
Apprenez à identifier le format de signature de Permit et Permit2. Si vous voyez une demande de signature contenant les informations suivantes, soyez particulièrement vigilant :
Interactif(交互网址)
Propriétaire(adresse du donneur d'autorisation)
Spender (adresse du titulaire de l'autorisation)
Valeur(quantité autorisée)
Nonce (nombre aléatoire)
Date limite
En comprenant les principes et les méthodes de prévention de ces techniques de phishing, nous pouvons mieux protéger la sécurité de nos actifs numériques. Dans le monde du Web3, il est crucial de rester vigilant et d'apprendre en continu.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
4
Reposter
Partager
Commentaire
0/400
BasementAlchemist
· 08-12 17:27
Ah, je me suis encore fait prendre pour un con.
Voir l'originalRépondre0
GasGuzzler
· 08-12 17:24
La signature est un piège.
Voir l'originalRépondre0
CountdownToBroke
· 08-12 17:21
Signature ? Je pense à ce que j'ai perdu auparavant, 13u...
Principe des attaques de phishing par signature Web3 et guide de prévention
Analyse de la logique sous-jacente de l'hameçonnage par signature Web3
Récemment, le "phishing par signature" est devenu l'une des méthodes de fraude les plus couramment utilisées par les hackers Web3. Malgré les efforts constants des experts du secteur pour promouvoir des connaissances préventives, de nombreux utilisateurs tombent encore dans le piège. Cela est principalement dû au fait que la plupart des gens manquent de compréhension des mécanismes sous-jacents des interactions avec les portefeuilles, et que la barrière à l'apprentissage est relativement élevée pour les non-techniciens.
Pour aider un plus grand nombre de personnes à comprendre ce problème, nous expliquerons en détail le principe de l'hameçonnage par signature à l'aide d'illustrations, en essayant d'utiliser un langage simple et compréhensible.
Tout d'abord, nous devons comprendre que les opérations de portefeuille se divisent principalement en deux catégories : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne), sans nécessiter le paiement de frais de Gas ; tandis que l'interaction se produit sur la blockchain (sur chaîne), nécessitant le paiement de frais de Gas.
La signature est généralement utilisée pour l'authentification, par exemple pour se connecter à un portefeuille ou se connecter à une application décentralisée (DApp). Ce processus ne modifie aucune donnée ou état sur la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction implique des opérations réelles sur la blockchain. Par exemple, lorsque vous souhaitez échanger des jetons sur un DEX, vous devez d'abord autoriser le contrat intelligent du DEX à utiliser vos jetons (appelé opération "approve"), puis effectuer l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.
Après avoir compris ces concepts de base, examinons trois types courants de phishing : le phishing par autorisation, le phishing par signature de Permit et le phishing par signature de Permit2.
Pour prévenir ces attaques de phishing, nous recommandons :
Développez une conscience de la sécurité, vérifiez attentivement les opérations réelles à chaque fois que vous effectuez des opérations de portefeuille.
Séparez les fonds importants des portefeuilles utilisés au quotidien pour réduire les pertes potentielles.
Apprenez à identifier le format de signature de Permit et Permit2. Si vous voyez une demande de signature contenant les informations suivantes, soyez particulièrement vigilant :
En comprenant les principes et les méthodes de prévention de ces techniques de phishing, nous pouvons mieux protéger la sécurité de nos actifs numériques. Dans le monde du Web3, il est crucial de rester vigilant et d'apprendre en continu.