Web3 İmza Phishing'in Temel Mantığı Analizi

Son zamanlarda, "imza oltalama" Web3 korsanlarının en sık kullandığı dolandırıcılık yöntemlerinden biri haline geldi. Sektör uzmanları sürekli olarak önleme bilgilerini yaymasına rağmen, birçok kullanıcı hala tuzağa düşüyor. Bunun başlıca nedeni, çoğu kişinin cüzdan etkileşimlerinin temel mekanizmalarını anlamaması ve teknik olmayan kişiler için öğrenme bariyerinin yüksek olmasıdır.

Bu sorunun daha fazla kişi tarafından anlaşılmasına yardımcı olmak için, imza phishinginin prensibini detaylı bir şekilde grafiksel olarak açıklayacağız ve mümkün olduğunca anlaşılır bir dil kullanmaya çalışacağız.

Öncelikle, cüzdan işlemlerinin iki ana kategoriye ayrıldığını anlamalıyız: "imza" ve "etkileşim". Kısacası, imza blok zincirinin dışında (off-chain) gerçekleşir ve Gas ücreti ödemez; etkileşim ise blok zincirinin içinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekir.

İmza genellikle kimlik doğrulama için kullanılır, örneğin bir cüzdana giriş yapmak veya bir merkeziyetsiz uygulamaya (DApp) bağlanmak için. Bu süreç, blok zincirindeki herhangi bir veri veya durumu değiştirmediği için ücret ödemeniz gerekmez.

İnteraksiyon, gerçek blockchain işlemlerini içerir. Örneğin, bir DEX'te token takası yapmak istediğinizde, önce DEX'in akıllı sözleşmesine token'larınızı kullanması için yetki vermeniz gerekir (bu "approve" işlemi olarak adlandırılır), ardından gerçek takas işlemini gerçekleştirirsiniz. Bu iki adım da Gas ücreti ödemeyi gerektirir.

Bu temel kavramları anladıktan sonra, üç yaygın oltalama yöntemine bakalım: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.

1. Yetkilendirilmiş Phishing: Bu, klasik bir balıkçılık yöntemidir. Hackerlar, kullanıcıları "airdropped almak" gibi butonlara tıklamaya ikna eden, yasal projeye benzeyen bir web sitesi oluşturur. Aslında, kullanıcı tıkladığında, token'larını hacker adresine yetkilendirmeleri istenir. Bu işlem Gas ücreti ödemeyi gerektirdiğinden, birçok kullanıcı artık para harcaması gereken işlemlerle karşılaştıklarında daha dikkatli oluyor, bu nedenle bu yöntem nispeten kolayca önlenebilir.

2. Permit imza phishing: Permit, ERC-20 standardının bir genişletme özelliğidir ve kullanıcıların imza ile başkalarına kendi token'larını hareket ettirmeleri için izin vermesine olanak tanır. Bu yöntem, doğrudan Gas ücreti ödemeyi gerektirmediği için kullanıcıların dikkatini dağıtmasını kolaylaştırır. Hackerlar, normal giriş işlemlerini Permit imza talebi ile değiştiren sahte web siteleri oluşturabilir ve böylece kullanıcı varlıklarını transfer etme yetkisi kazanabilir.

3. Permit2 imza oltacı: Permit2, kullanıcı deneyimini artırmak amacıyla bazı DEX'ler tarafından sunulan bir özelliktir. Kullanıcıların tek seferde yüksek bir yetki vermesine olanak tanır, ardından sadece imzalamaları gerekir, her işlemden önce yetki verme zahmetini ortadan kaldırır. Ancak bu, hackerlar için yeni bir saldırı yolu sağlar. Kullanıcı daha önce bu DEX'i kullanmış ve sınırsız bir yetki vermişse, hacker sadece bir imza almakla kullanıcı varlıklarını transfer edebilir.

Bu phishing saldırılarını önlemek için öneriyoruz:

1. Güvenlik bilincini geliştirin, cüzdan işlemlerini her yaptığınızda gerçekleştirilen işlemi dikkatlice kontrol edin.

2. Büyük miktarda fonları günlük kullanımdaki cüzdanlardan ayırarak potansiyel kayıpları azaltın.

3. Permit ve Permit2'nin imza formatlarını tanımayı öğrenin. Aşağıdaki bilgileri içeren bir imza isteği görüyorsanız, özellikle dikkatli olun:

   • Etkileşimli（交互网址）
   • Sahip（Yetki veren adres）
   • Harcayan (Yetkilendirilmiş tarafın adresi)
   • Değer (Yetkilendirilmiş Miktar)
   • Nonce (Rastgele Sayı)
   • Son tarih（过期时间）

Bu oltalama tekniklerinin prensiplerini ve önleme yöntemlerini anlamakla, dijital varlıklarımızın güvenliğini daha iyi koruyabiliriz. Web3 dünyasında, dikkatli olmak ve sürekli öğrenmek son derece önemlidir.