Análise da lógica subjacente ao phishing de assinaturas Web3
Recentemente, "phishing por assinatura" tornou-se um dos métodos de fraude mais comuns entre hackers do Web3. Apesar dos especialistas da indústria estarem constantemente promovendo conhecimentos de prevenção, muitos usuários ainda caem na armadilha. Isso se deve principalmente ao fato de que a maioria das pessoas tem uma falta de compreensão sobre os mecanismos subjacentes da interação com carteiras, e a barreira de aprendizagem é alta para pessoas não técnicas.
Para ajudar mais pessoas a entender este problema, iremos explicar detalhadamente o princípio da pesca de assinatura através de ilustrações e tentaremos usar uma linguagem simples e compreensível.
Primeiro, precisamos entender que as operações da carteira se dividem em duas categorias: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), não requerendo o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), exigindo o pagamento de taxas de Gas.
As assinaturas são normalmente usadas para autenticação, como fazer login em uma carteira ou conectar-se a uma aplicação descentralizada (DApp). Este processo não altera nenhum dado ou estado na blockchain, portanto, não é necessário pagar taxas.
A interação envolve operações reais na blockchain. Por exemplo, quando você deseja realizar uma troca de tokens em um determinado DEX, precisa primeiro autorizar o contrato inteligente do DEX a usar seus tokens (chamado de operação "approve"), e então realizar a operação de troca real. Ambas as etapas exigem o pagamento de taxas de Gas.
Depois de entender esses conceitos básicos, vamos dar uma olhada em três métodos comuns de phishing: phishing por autorização, phishing por assinatura de Permissão e phishing por assinatura de Permissão2.
Phishing autorizado:
Esta é uma técnica clássica de phishing. Os hackers criam um site disfarçado como um projeto legítimo, induzindo os usuários a clicar em botões como "receber airdrop". Na verdade, após clicar, os usuários são solicitados a autorizar seus tokens para o endereço do hacker. Como essa operação exige o pagamento de taxas de Gas, muitos usuários agora estão mais atentos quando encontram operações que exigem gastos, tornando esse método relativamente fácil de evitar.
Phishing de assinatura de Permit:
Permit é uma funcionalidade de extensão do padrão ERC-20 que permite aos usuários aprovar terceiros a movimentar seus tokens através de assinaturas. Esse método não requer o pagamento direto de taxas de Gas, tornando mais fácil para os usuários relaxarem a vigilância. Hackers podem criar sites de phishing que substituem a operação de login normal por um pedido de assinatura Permit, obtendo assim a permissão para transferir os ativos dos usuários.
Phishing com assinatura Permit2:
Permit2 é uma funcionalidade lançada por uma DEX para melhorar a experiência do usuário. Permite que os usuários autorizem um grande montante de uma só vez, depois basta assinar para realizar transações, poupando a complicação de autorizar a cada transação. No entanto, isso também oferece novas oportunidades de ataque para hackers. Se um usuário já utilizou essa DEX e concedeu um limite infinito, então o hacker só precisa enganar uma assinatura para transferir os ativos do usuário.
Para prevenir esses ataques de phishing, recomendamos:
Desenvolver a consciência de segurança, verificando cuidadosamente as operações reais a serem executadas sempre que realizar operações na carteira.
Separe os fundos de alto valor da carteira usada diariamente para reduzir perdas potenciais.
Aprenda a reconhecer o formato de assinatura do Permit e do Permit2. Se vir um pedido de assinatura que inclua as seguintes informações, deve estar especialmente atento:
Interativo(交互网址)
Proprietário (endereço do autorizado)
Spender (endereço autorizado)
Valor (quantidade autorizada)
Nonce (número aleatório)
Prazo (data de expiração)
Ao entender os princípios e métodos de prevenção dessas técnicas de phishing, podemos proteger melhor a segurança dos nossos ativos digitais. No mundo Web3, é crucial manter-se alerta e continuar aprendendo.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
14 gostos
Recompensa
14
4
Republicar
Partilhar
Comentar
0/400
BasementAlchemist
· 08-12 17:27
Ai, ainda fui enganado por idiotas.
Ver originalResponder0
GasGuzzler
· 08-12 17:24
A assinatura é uma armadilha.
Ver originalResponder0
CountdownToBroke
· 08-12 17:21
Assinatura? Lembrei-me dos 13u que fui enganado antes...
Princípios de ataques de phishing com assinatura Web3 e guia de prevenção
Análise da lógica subjacente ao phishing de assinaturas Web3
Recentemente, "phishing por assinatura" tornou-se um dos métodos de fraude mais comuns entre hackers do Web3. Apesar dos especialistas da indústria estarem constantemente promovendo conhecimentos de prevenção, muitos usuários ainda caem na armadilha. Isso se deve principalmente ao fato de que a maioria das pessoas tem uma falta de compreensão sobre os mecanismos subjacentes da interação com carteiras, e a barreira de aprendizagem é alta para pessoas não técnicas.
Para ajudar mais pessoas a entender este problema, iremos explicar detalhadamente o princípio da pesca de assinatura através de ilustrações e tentaremos usar uma linguagem simples e compreensível.
Primeiro, precisamos entender que as operações da carteira se dividem em duas categorias: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), não requerendo o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), exigindo o pagamento de taxas de Gas.
As assinaturas são normalmente usadas para autenticação, como fazer login em uma carteira ou conectar-se a uma aplicação descentralizada (DApp). Este processo não altera nenhum dado ou estado na blockchain, portanto, não é necessário pagar taxas.
A interação envolve operações reais na blockchain. Por exemplo, quando você deseja realizar uma troca de tokens em um determinado DEX, precisa primeiro autorizar o contrato inteligente do DEX a usar seus tokens (chamado de operação "approve"), e então realizar a operação de troca real. Ambas as etapas exigem o pagamento de taxas de Gas.
Depois de entender esses conceitos básicos, vamos dar uma olhada em três métodos comuns de phishing: phishing por autorização, phishing por assinatura de Permissão e phishing por assinatura de Permissão2.
Para prevenir esses ataques de phishing, recomendamos:
Desenvolver a consciência de segurança, verificando cuidadosamente as operações reais a serem executadas sempre que realizar operações na carteira.
Separe os fundos de alto valor da carteira usada diariamente para reduzir perdas potenciais.
Aprenda a reconhecer o formato de assinatura do Permit e do Permit2. Se vir um pedido de assinatura que inclua as seguintes informações, deve estar especialmente atento:
Ao entender os princípios e métodos de prevenção dessas técnicas de phishing, podemos proteger melhor a segurança dos nossos ativos digitais. No mundo Web3, é crucial manter-se alerta e continuar aprendendo.