Анализ основной логики фишинга с использованием Web3 подписей
В последнее время "подделка подписи" стала одним из самых распространенных методов мошенничества среди хакеров Web3. Несмотря на то, что эксперты в отрасли постоянно распространяют информацию о мерах предосторожности, многие пользователи все равно попадают в ловушки. Это в основном связано с тем, что большинство людей не понимают основного механизма взаимодействия с кошельками, и для нетехнических специалистов порог вхождения довольно высок.
Чтобы помочь большему числу людей понять эту проблему, мы подробно объясним принципы фишинга с помощью иллюстраций и постараемся изложить информацию на простом и понятном языке.
Во-первых, нам нужно понять, что операции с кошельком в основном делятся на две категории: "подпись" и "взаимодействие". Проще говоря, подпись происходит вне блокчейна (вне цепочки) и не требует оплаты Gas; тогда как взаимодействие происходит в блокчейне (в цепочке) и требует оплаты Gas.
Подпись обычно используется для аутентификации, например, для входа в кошелек или подключения к какому-либо децентрализованному приложению (DApp). Этот процесс не изменяет никаких данных или состояния в блокчейне, поэтому плата не требуется.
Интерактивность включает в себя фактические операции с блокчейном. Например, когда вы хотите обменять токены на каком-либо DEX, вам сначала необходимо разрешить смарт-контракту DEX использовать ваши токены (это называется операцией "approve"), а затем выполнить фактическую операцию обмена. Обе эти процедуры требуют оплаты Gas.
Поняв эти основные концепции, давайте рассмотрим три распространенных метода фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Авторизованный фишинг:
Это классический метод фишинга. Хакеры создают сайт, маскирующийся под законный проект, чтобы соблазнить пользователей нажать на кнопки, такие как "Получить аирдроп". На самом деле, после нажатия пользователю будет предложено разрешить перевод своих токенов на адрес хакера. Поскольку такая операция требует оплаты Gas, сейчас многие пользователи становятся более осторожными, когда сталкиваются с операциями, требующими затрат, поэтому этот метод относительно легко предотвратить.
Подпись на разрешение Фишинг:
Permit — это расширенная функция стандарта ERC-20, позволяющая пользователям утверждать перемещение своих токенов другими пользователями через подпись. Этот способ не требует прямой оплаты Gas, поэтому пользователи становятся менее осторожными. Хакеры могут создать фишинговый сайт, заменив нормальную процедуру входа на запрос подписи Permit, тем самым получая разрешение на перемещение активов пользователей.
Фишинг с помощью подписи Permit2:
Permit2 — это функция, внедренная некоторыми DEX для улучшения пользовательского опыта. Она позволяет пользователям единовременно авторизовать крупные суммы, после чего для проведения сделок требуется только подпись, что избавляет от необходимости авторизовывать каждую сделку. Однако это также предоставляет хакерам новые возможности для атак. Если пользователь когда-либо использовал этот DEX и предоставил неограниченные полномочия, то хакеру достаточно обманом получить одну подпись, чтобы переместить активы пользователя.
Чтобы предотвратить эти фишинговые атаки, мы рекомендуем:
Развивайте осознание безопасности, каждый раз при выполнении операций с кошельком тщательно проверяйте фактически выполняемые действия.
Разделите крупные средства и деньги для повседневного использования, чтобы уменьшить потенциальные потери.
Научитесь распознавать форматы подписей Permit и Permit2. Если вы видите запрос на подпись, содержащий следующую информацию, будьте особенно осторожны:
Интерактивный(交互网址)
Владелец(адрес уполномоченной стороны)
Спендер (адрес уполномоченного лица)
Значение(授权数量)
Нонсе (случайное число)
Срок (дата истечения)
Понимая принципы и методы предотвращения этих техник фишинга, мы можем лучше защитить свою цифровую безопасность активов. В мире Web3 крайне важно сохранять бдительность и постоянно учиться.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Принципы веб3-фишинга и руководство по его предотвращению
Анализ основной логики фишинга с использованием Web3 подписей
В последнее время "подделка подписи" стала одним из самых распространенных методов мошенничества среди хакеров Web3. Несмотря на то, что эксперты в отрасли постоянно распространяют информацию о мерах предосторожности, многие пользователи все равно попадают в ловушки. Это в основном связано с тем, что большинство людей не понимают основного механизма взаимодействия с кошельками, и для нетехнических специалистов порог вхождения довольно высок.
Чтобы помочь большему числу людей понять эту проблему, мы подробно объясним принципы фишинга с помощью иллюстраций и постараемся изложить информацию на простом и понятном языке.
Во-первых, нам нужно понять, что операции с кошельком в основном делятся на две категории: "подпись" и "взаимодействие". Проще говоря, подпись происходит вне блокчейна (вне цепочки) и не требует оплаты Gas; тогда как взаимодействие происходит в блокчейне (в цепочке) и требует оплаты Gas.
Подпись обычно используется для аутентификации, например, для входа в кошелек или подключения к какому-либо децентрализованному приложению (DApp). Этот процесс не изменяет никаких данных или состояния в блокчейне, поэтому плата не требуется.
Интерактивность включает в себя фактические операции с блокчейном. Например, когда вы хотите обменять токены на каком-либо DEX, вам сначала необходимо разрешить смарт-контракту DEX использовать ваши токены (это называется операцией "approve"), а затем выполнить фактическую операцию обмена. Обе эти процедуры требуют оплаты Gas.
Поняв эти основные концепции, давайте рассмотрим три распространенных метода фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Чтобы предотвратить эти фишинговые атаки, мы рекомендуем:
Развивайте осознание безопасности, каждый раз при выполнении операций с кошельком тщательно проверяйте фактически выполняемые действия.
Разделите крупные средства и деньги для повседневного использования, чтобы уменьшить потенциальные потери.
Научитесь распознавать форматы подписей Permit и Permit2. Если вы видите запрос на подпись, содержащий следующую информацию, будьте особенно осторожны:
Понимая принципы и методы предотвращения этих техник фишинга, мы можем лучше защитить свою цифровую безопасность активов. В мире Web3 крайне важно сохранять бдительность и постоянно учиться.