Lógica subyacente del phishing en Web3: Conocer el phishing de autorización, Permit y Permit2
En el ámbito de Web3, "phishing por firma" se ha convertido en una de las técnicas de fraude más utilizadas por los hackers. A pesar de que los expertos en seguridad y las empresas de billeteras continúan promoviendo información relacionada, cada día todavía hay muchos usuarios que caen en la trampa. Una de las razones importantes de esta situación es que la mayoría de las personas carecen de comprensión sobre los principios subyacentes de la interacción con billeteras, y para los no técnicos, la barrera de entrada para aprender sobre el tema es bastante alta.
Para ayudar a más personas a entender este problema, este artículo intentará explicar la lógica subyacente del phishing de firmas de una manera sencilla y comprensible.
Primero, necesitamos entender que al usar una billetera hay dos operaciones principales: "firmar" e "interactuar". En términos simples, la firma ocurre fuera de la cadena (off-chain) y no requiere el pago de tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere el pago de tarifas de Gas.
Un escenario típico de firma es la verificación de identidad, como iniciar sesión en una billetera o conectar una DApp. Por ejemplo, cuando deseas intercambiar tokens en un DEX, primero necesitas conectar tu billetera, y en ese momento se requiere una firma para demostrar que eres el propietario de esa billetera. Este proceso no tendrá ningún impacto en la blockchain, por lo que no es necesario pagar tarifas.
En comparación, la interacción implica operaciones reales en la cadena. Tomemos como ejemplo el intercambio de tokens en un DEX; primero necesitas pagar una tarifa para autorizar el contrato inteligente del DEX a mover tus tokens (llamado "autorización"). Luego, también necesitas pagar otra tarifa para ejecutar la operación de intercambio real.
Después de entender la diferencia entre firma e interacción, veamos algunos métodos comunes de phishing: phishing de autorización, phishing de firma Permit y phishing de firma Permit2.
La autorización de phishing es una técnica clásica de fraude que aprovecha el mecanismo de autorización (approve). Los hackers pueden crear un sitio web falso, disfrazándose de un proyecto NFT o una actividad de airdrop. Cuando los usuarios hacen clic en el botón "Reclamar Airdrop", en realidad están autorizando a la dirección del hacker a operar con sus tokens. Aunque este método requiere el pago de tarifas de Gas, todavía hay muchos usuarios que pueden caer en la trampa sin darse cuenta.
Las firmas de Permit y Permit2 son más engañosas y más difíciles de prevenir. Debido a que los usuarios están acostumbrados a firmar para iniciar sesión en sus billeteras antes de usar DApps, es fácil desarrollar un pensamiento habitual de "esta acción es segura". Además, como no se requiere pagar tarifas por las firmas, muchas personas no comprenden el significado detrás de cada firma, lo que brinda una oportunidad a los hackers.
Permit es una función extendida del estándar ERC-20 que permite a los usuarios autorizar a otros a mover sus tokens mediante una firma. En términos simples, es como firmar un "recibo" que permite a alguien mover tus tokens. La persona que posee este "recibo" puede demostrar al contrato inteligente que tiene permiso para mover tus tokens. Los hackers pueden aprovechar este mecanismo para inducir a los usuarios a firmar el Permit, obteniendo así la autorización para transferir tokens.
Permit2 es una función lanzada por algún DEX para mejorar la experiencia del usuario. Permite a los usuarios autorizar un gran monto a un contrato inteligente Permit2 de una sola vez, y luego, para cada transacción, solo necesitan firmar, sin necesidad de autorizar nuevamente. Aunque esto simplifica el proceso, también crea condiciones para el phishing. Si un usuario ha utilizado alguna vez ese DEX y ha autorizado un monto ilimitado al contrato Permit2 (que es la configuración predeterminada de ese DEX), entonces un hacker solo necesita inducir al usuario a firmar para poder transferir sus tokens.
En general, el phishing de autorización permite a los hackers mover tus tokens directamente, mientras que el phishing de firma te induce a firmar un "papel" que permite a otros mover tus activos. Permit es una función de extensión de autorización de ERC-20, Permit2 es una nueva función lanzada por un DEX, y ambas son actualmente zonas críticas para el phishing de firma.
Entonces, ¿cómo prevenir estos ataques de phishing?
Es crucial cultivar la conciencia de seguridad. Cada vez que realices una operación con la billetera, debes verificar cuidadosamente qué operación estás llevando a cabo.
Separa los fondos grandes de la billetera que usas diariamente para reducir las pérdidas potenciales.
Aprende a identificar los formatos de firma de Permit y Permit2. Debes estar especialmente alerta cuando veas solicitudes de firma que contengan la siguiente información:
Interactivo:sitio web interactivo
Propietario:Dirección del autorizador
Spender: dirección del autorizado
Valor:Cantidad autorizada
Nonce: número aleatorio
Deadline:fecha de vencimiento
Al comprender estas lógicas subyacentes y medidas de prevención, podemos proteger mejor nuestros activos digitales y evitar convertirnos en víctimas de phishing de firmas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
3
Compartir
Comentar
0/400
SignatureDenied
· 07-27 01:35
Ay, ya soy un tonto, todavía he caído varias veces.
Ver originalesResponder0
StablecoinArbitrageur
· 07-27 01:33
*ajusta gráficos* otro 10.3% del valor de la cartera perdido por explotaciones de permisos... ¿cuándo aprenderán a leer el bytecode?
Análisis de phishing de firma Web3: riesgos y prevención de autorización, Permiso y Permiso2
Lógica subyacente del phishing en Web3: Conocer el phishing de autorización, Permit y Permit2
En el ámbito de Web3, "phishing por firma" se ha convertido en una de las técnicas de fraude más utilizadas por los hackers. A pesar de que los expertos en seguridad y las empresas de billeteras continúan promoviendo información relacionada, cada día todavía hay muchos usuarios que caen en la trampa. Una de las razones importantes de esta situación es que la mayoría de las personas carecen de comprensión sobre los principios subyacentes de la interacción con billeteras, y para los no técnicos, la barrera de entrada para aprender sobre el tema es bastante alta.
Para ayudar a más personas a entender este problema, este artículo intentará explicar la lógica subyacente del phishing de firmas de una manera sencilla y comprensible.
Primero, necesitamos entender que al usar una billetera hay dos operaciones principales: "firmar" e "interactuar". En términos simples, la firma ocurre fuera de la cadena (off-chain) y no requiere el pago de tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere el pago de tarifas de Gas.
Un escenario típico de firma es la verificación de identidad, como iniciar sesión en una billetera o conectar una DApp. Por ejemplo, cuando deseas intercambiar tokens en un DEX, primero necesitas conectar tu billetera, y en ese momento se requiere una firma para demostrar que eres el propietario de esa billetera. Este proceso no tendrá ningún impacto en la blockchain, por lo que no es necesario pagar tarifas.
En comparación, la interacción implica operaciones reales en la cadena. Tomemos como ejemplo el intercambio de tokens en un DEX; primero necesitas pagar una tarifa para autorizar el contrato inteligente del DEX a mover tus tokens (llamado "autorización"). Luego, también necesitas pagar otra tarifa para ejecutar la operación de intercambio real.
Después de entender la diferencia entre firma e interacción, veamos algunos métodos comunes de phishing: phishing de autorización, phishing de firma Permit y phishing de firma Permit2.
La autorización de phishing es una técnica clásica de fraude que aprovecha el mecanismo de autorización (approve). Los hackers pueden crear un sitio web falso, disfrazándose de un proyecto NFT o una actividad de airdrop. Cuando los usuarios hacen clic en el botón "Reclamar Airdrop", en realidad están autorizando a la dirección del hacker a operar con sus tokens. Aunque este método requiere el pago de tarifas de Gas, todavía hay muchos usuarios que pueden caer en la trampa sin darse cuenta.
Las firmas de Permit y Permit2 son más engañosas y más difíciles de prevenir. Debido a que los usuarios están acostumbrados a firmar para iniciar sesión en sus billeteras antes de usar DApps, es fácil desarrollar un pensamiento habitual de "esta acción es segura". Además, como no se requiere pagar tarifas por las firmas, muchas personas no comprenden el significado detrás de cada firma, lo que brinda una oportunidad a los hackers.
Permit es una función extendida del estándar ERC-20 que permite a los usuarios autorizar a otros a mover sus tokens mediante una firma. En términos simples, es como firmar un "recibo" que permite a alguien mover tus tokens. La persona que posee este "recibo" puede demostrar al contrato inteligente que tiene permiso para mover tus tokens. Los hackers pueden aprovechar este mecanismo para inducir a los usuarios a firmar el Permit, obteniendo así la autorización para transferir tokens.
Permit2 es una función lanzada por algún DEX para mejorar la experiencia del usuario. Permite a los usuarios autorizar un gran monto a un contrato inteligente Permit2 de una sola vez, y luego, para cada transacción, solo necesitan firmar, sin necesidad de autorizar nuevamente. Aunque esto simplifica el proceso, también crea condiciones para el phishing. Si un usuario ha utilizado alguna vez ese DEX y ha autorizado un monto ilimitado al contrato Permit2 (que es la configuración predeterminada de ese DEX), entonces un hacker solo necesita inducir al usuario a firmar para poder transferir sus tokens.
En general, el phishing de autorización permite a los hackers mover tus tokens directamente, mientras que el phishing de firma te induce a firmar un "papel" que permite a otros mover tus activos. Permit es una función de extensión de autorización de ERC-20, Permit2 es una nueva función lanzada por un DEX, y ambas son actualmente zonas críticas para el phishing de firma.
Entonces, ¿cómo prevenir estos ataques de phishing?
Es crucial cultivar la conciencia de seguridad. Cada vez que realices una operación con la billetera, debes verificar cuidadosamente qué operación estás llevando a cabo.
Separa los fondos grandes de la billetera que usas diariamente para reducir las pérdidas potenciales.
Aprende a identificar los formatos de firma de Permit y Permit2. Debes estar especialmente alerta cuando veas solicitudes de firma que contengan la siguiente información:
Al comprender estas lógicas subyacentes y medidas de prevención, podemos proteger mejor nuestros activos digitales y evitar convertirnos en víctimas de phishing de firmas.