Нещодавно "фішинг підпису" став найпоширенішим методом шахрайства серед хакерів Web3. Незважаючи на те, що експерти галузі постійно пропагують знання про запобігання, багато користувачів все ще потрапляють у пастку. Це в основному пов'язано з тим, що більшість людей не розуміють основні механізми взаємодії з гаманцем, і що для нетехнічних спеціалістів поріг навчання є досить високим.
Щоб допомогти більшій кількості людей зрозуміти це питання, ми детально пояснимо принципи підписного фішингу за допомогою ілюстрацій і намагатимемося викласти це простими і зрозумілими словами.
По-перше, нам потрібно зрозуміти, що операції з гаманцем в основному діляться на два типи: "підпис" і "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не вимагає сплати Gas-кошту; тоді як взаємодія відбувається в блокчейні (в ланцюгу) і вимагає сплати Gas-кошту.
Підпис зазвичай використовується для аутентифікації, наприклад, для входу в гаманець або підключення до децентралізованого застосунку (DApp). Цей процес не змінює жодних даних або стану в блокчейні, тому плата не стягується.
Взаємодія передбачає фактичні операції з блокчейном. Наприклад, коли ви хочете здійснити обмін токенів на певному DEX, вам спочатку потрібно надати дозвіл смарт-контракту DEX на використання ваших токенів (це називається операцією "approve"), а потім виконати фактичну операцію обміну. Обидва ці етапи потребують сплати Gas-кошту.
Після того, як ми ознайомилися з цими основними поняттями, давайте поглянемо на три поширені способи фішингу: фішинг через авторизацію, фішинг через підпис Permit та фішинг через підпис Permit2.
Авторизаційна рибалка:
Це класичний метод риболовлі. Хакери створюють сайт, що маскується під легальний проект, спонукаючи користувачів натискати кнопки "отримати аеродроп" та інші. Насправді, після натискання користувачам буде запропоновано надати дозвіл на передачу своїх токенів на адресу хакера. Оскільки така операція вимагає сплати Gas-кошту, зараз багато користувачів стають більш обережними, коли стикаються з операціями, за які потрібно платити, тому цей метод відносно легко запобігти.
Підробка підпису Permit:
Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам схвалювати інших для переміщення своїх токенів шляхом підписання. Цей спосіб не вимагає безпосередньої сплати Gas, тому користувачам легше розслабитися. Хакери можуть створити фішингові сайти, замінюючи звичайні операції входу на запит підпису Permit, таким чином отримуючи дозвіл на переміщення активів користувачів.
Фішинг підпису Permit2:
Permit2 – це функція, яку деякі DEX запровадили для поліпшення досвіду користувачів. Вона дозволяє користувачам одноразово авторизувати великі суми, після чого для проведення угоди потрібно лише підписати, що усуває клопіт з авторизацією перед кожною угодою. Однак це також надає хакерам нові можливості для атак. Якщо користувач колись користувався цим DEX і надав безкінечний ліміт, тоді хакеру потрібно лише обманом отримати один підпис, щоб перевести активи користувача.
Щоб запобігти цим фішинговим атакам, ми рекомендуємо:
Виховуйте усвідомлення безпеки, кожного разу, коли ви виконуєте операції з гаманцем, ретельно перевіряйте фактичні дії.
Розділіть великі кошти та гроші для щоденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формат підписів Permit та Permit2. Якщо ви бачите запит на підпис, що містить таку інформацію, будьте особливо обережні:
Інтерактивний(交互网址)
Власник(адреса уповноваженого)
Spender (адреса уповноваженої особи)
Значення(授权数量)
Нонс (випадкове число)
Крайній термін(过期时间)
Зрозумівши принципи цих фішингових технологій та методи запобігання, ми можемо краще захистити свою цифрову безпеку активів. У світі Web3 важливо залишатися пильними та постійно навчатися.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
4
Репост
Поділіться
Прокоментувати
0/400
BasementAlchemist
· 08-12 17:27
Ой, знову обдурили людей, як лохів.
Переглянути оригіналвідповісти на0
GasGuzzler
· 08-12 17:24
Підпис — це пастка.
Переглянути оригіналвідповісти на0
CountdownToBroke
· 08-12 17:21
Підпис? Згадав про те, як раніше обманули на 13u...
Принципи веб3-фішингу та поради щодо запобігання
Аналіз базової логіки фішингу підписів Web3
Нещодавно "фішинг підпису" став найпоширенішим методом шахрайства серед хакерів Web3. Незважаючи на те, що експерти галузі постійно пропагують знання про запобігання, багато користувачів все ще потрапляють у пастку. Це в основному пов'язано з тим, що більшість людей не розуміють основні механізми взаємодії з гаманцем, і що для нетехнічних спеціалістів поріг навчання є досить високим.
Щоб допомогти більшій кількості людей зрозуміти це питання, ми детально пояснимо принципи підписного фішингу за допомогою ілюстрацій і намагатимемося викласти це простими і зрозумілими словами.
По-перше, нам потрібно зрозуміти, що операції з гаманцем в основному діляться на два типи: "підпис" і "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не вимагає сплати Gas-кошту; тоді як взаємодія відбувається в блокчейні (в ланцюгу) і вимагає сплати Gas-кошту.
Підпис зазвичай використовується для аутентифікації, наприклад, для входу в гаманець або підключення до децентралізованого застосунку (DApp). Цей процес не змінює жодних даних або стану в блокчейні, тому плата не стягується.
Взаємодія передбачає фактичні операції з блокчейном. Наприклад, коли ви хочете здійснити обмін токенів на певному DEX, вам спочатку потрібно надати дозвіл смарт-контракту DEX на використання ваших токенів (це називається операцією "approve"), а потім виконати фактичну операцію обміну. Обидва ці етапи потребують сплати Gas-кошту.
Після того, як ми ознайомилися з цими основними поняттями, давайте поглянемо на три поширені способи фішингу: фішинг через авторизацію, фішинг через підпис Permit та фішинг через підпис Permit2.
Щоб запобігти цим фішинговим атакам, ми рекомендуємо:
Виховуйте усвідомлення безпеки, кожного разу, коли ви виконуєте операції з гаманцем, ретельно перевіряйте фактичні дії.
Розділіть великі кошти та гроші для щоденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формат підписів Permit та Permit2. Якщо ви бачите запит на підпис, що містить таку інформацію, будьте особливо обережні:
Зрозумівши принципи цих фішингових технологій та методи запобігання, ми можемо краще захистити свою цифрову безпеку активів. У світі Web3 важливо залишатися пильними та постійно навчатися.