# Web3署名フィッシングの基本的な論理:認可フィッシング、PermitとPermit2Web3の分野では、「署名フィッシング」がハッカーによって最も一般的に使用される詐欺手段の1つとなっています。セキュリティ専門家やウォレット会社が関連知識を継続的に広めているにもかかわらず、毎日多くのユーザーが騙されています。この状況の重要な原因の1つは、ほとんどの人がウォレットのインタラクションの基礎原理について理解が不足しており、非技術者にとっては関連知識の学習障壁が高いことです。より多くの人々がこの問題を理解できるように、この記事では署名フィッシングの根本的な論理を分かりやすい方法で説明しようとします。まず、ウォレットを使用する際に主に2つの操作があることを理解する必要があります:"署名"と"インタラクション"。簡単に言うと、署名はブロックチェーンの外(オフチェーン)で行われ、Gas代は必要ありません。一方、インタラクションはブロックチェーン上(オンチェーン)で行われ、Gas代が必要です。署名の典型的なシーンは、認証です。例えば、ウォレットにログインしたり、DAppに接続したりする時です。例えば、あるDEXでトークンを交換したい場合、まずウォレットを接続する必要があり、その際にあなたがそのウォレットの所有者であることを証明するために署名が必要です。このプロセスはブロックチェーンに影響を与えないため、手数料を支払う必要はありません。対照的に、インタラクションは実際のチェーン上の操作を含みます。DEXでトークンを交換する例では、まず手数料を支払い、DEXのスマートコントラクトがあなたのトークンを移動できるように権限を与える必要があります(これを「権限付与」と呼びます)。次に、実際の交換操作を実行するために再度手数料を支払う必要があります。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-c0d8fb648e2a1c778bf4d6d452b831ba)署名とインタラクションの違いを理解した後、いくつかの一般的なフィッシング手法を見てみましょう:承認フィッシング、Permit署名フィッシング、Permit2署名フィッシング。承認フィッシングは、承認(approve)メカニズムを利用した古典的な詐欺手法です。ハッカーは、NFTプロジェクトやエアドロップ活動を装った偽のウェブサイトを作成する可能性があります。ユーザーが「エアドロップを受け取る」ボタンをクリックすると、実際にはハッカーのアドレスに自分のトークンを操作する権限を与えていることになります。この方法はGas代が必要ですが、それでも多くのユーザーがうっかり騙されてしまうことがあります。PermitとPermit2の署名フィッシングはさらに隠密で、防ぐのが難しいです。なぜなら、ユーザーはDAppを使用する前にウォレットに署名してログインすることに慣れているため、「この操作は安全である」という習慣的な思考を形成しやすいからです。さらに、署名には費用がかからないため、多くの人々は各署名の背後にある意味を理解していません。これがハッカーにとっての隙間を生み出しています。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-3b06429868156f2e7a86fabadf9b60bb)PermitはERC-20標準の一つの拡張機能で、ユーザーが署名を通じて他人に自分のトークンを移動させることを許可します。簡単に言うと、誰かに自分のトークンを移動させることを許可する"許可証"に署名するようなものです。この"許可証"を持っている人は、スマートコントラクトに対して自分がトークンを移動させる権限があることを証明できます。ハッカーはこのメカニズムを利用して、ユーザーにPermitに署名させることでトークンの移転権限を取得することができます。Permit2は、あるDEXがユーザー体験を向上させるために導入した機能です。これにより、ユーザーは一度に大きな額をPermit2スマートコントラクトに許可することができ、その後は各取引ごとに署名するだけで済み、再度の許可は不要になります。これは操作プロセスを簡素化しましたが、フィッシングの条件を生み出すことにもなります。もしユーザーが以前にそのDEXを使用し、Permit2コントラクトに無制限の額を許可していた場合(これはそのDEXのデフォルト設定です)、ハッカーはユーザーを誘惑して署名させることで、そのトークンを移転することができます。総じて、承認フィッシングはハッカーにあなたのトークンを直接移動させるための承認を与えることであり、署名フィッシングは他者にあなたの資産を移動させることを許可する「メモ」を署名させるように仕向けることです。PermitはERC-20の承認拡張機能であり、Permit2はあるDEXが導入した新機能であり、両者は現在の署名フィッシングの重災地です。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-6827d41535e9df00e1cade401b548d21)では、これらのフィッシング攻撃をどのように防ぐことができるのでしょうか?1. セキュリティ意識を育てることは非常に重要です。ウォレット操作を行うたびに、実行している操作が何であるかを注意深く確認してください。2. 大きな資金を日常使用の財布から分けて、潜在的な損失を減らします。3. PermitとPermit2の署名形式を識別できるようにしましょう。次の情報が含まれている署名リクエストを見た時は特に注意してください: - インタラクティブ:インタラクティブURL - オーナー:権限を与えたアドレス - スペンダー:権限を与えられたアドレス - 値:許可された数量 - ノンス:ランダム数 - Deadline:有効期限! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:許可されたフィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-57e4524b41cb7a5843654fa84ec8fe25)これらの基盤となる論理と防止策を理解することによって、私たちは自分のデジタル資産をより良く保護し、署名フィッシングの被害者になることを避けることができます。
Web3署名フィッシング解析:権限、PermitおよびPermit2のリスクと防止
Web3署名フィッシングの基本的な論理:認可フィッシング、PermitとPermit2
Web3の分野では、「署名フィッシング」がハッカーによって最も一般的に使用される詐欺手段の1つとなっています。セキュリティ専門家やウォレット会社が関連知識を継続的に広めているにもかかわらず、毎日多くのユーザーが騙されています。この状況の重要な原因の1つは、ほとんどの人がウォレットのインタラクションの基礎原理について理解が不足しており、非技術者にとっては関連知識の学習障壁が高いことです。
より多くの人々がこの問題を理解できるように、この記事では署名フィッシングの根本的な論理を分かりやすい方法で説明しようとします。
まず、ウォレットを使用する際に主に2つの操作があることを理解する必要があります:"署名"と"インタラクション"。簡単に言うと、署名はブロックチェーンの外(オフチェーン)で行われ、Gas代は必要ありません。一方、インタラクションはブロックチェーン上(オンチェーン)で行われ、Gas代が必要です。
署名の典型的なシーンは、認証です。例えば、ウォレットにログインしたり、DAppに接続したりする時です。例えば、あるDEXでトークンを交換したい場合、まずウォレットを接続する必要があり、その際にあなたがそのウォレットの所有者であることを証明するために署名が必要です。このプロセスはブロックチェーンに影響を与えないため、手数料を支払う必要はありません。
対照的に、インタラクションは実際のチェーン上の操作を含みます。DEXでトークンを交換する例では、まず手数料を支払い、DEXのスマートコントラクトがあなたのトークンを移動できるように権限を与える必要があります(これを「権限付与」と呼びます)。次に、実際の交換操作を実行するために再度手数料を支払う必要があります。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
署名とインタラクションの違いを理解した後、いくつかの一般的なフィッシング手法を見てみましょう:承認フィッシング、Permit署名フィッシング、Permit2署名フィッシング。
承認フィッシングは、承認(approve)メカニズムを利用した古典的な詐欺手法です。ハッカーは、NFTプロジェクトやエアドロップ活動を装った偽のウェブサイトを作成する可能性があります。ユーザーが「エアドロップを受け取る」ボタンをクリックすると、実際にはハッカーのアドレスに自分のトークンを操作する権限を与えていることになります。この方法はGas代が必要ですが、それでも多くのユーザーがうっかり騙されてしまうことがあります。
PermitとPermit2の署名フィッシングはさらに隠密で、防ぐのが難しいです。なぜなら、ユーザーはDAppを使用する前にウォレットに署名してログインすることに慣れているため、「この操作は安全である」という習慣的な思考を形成しやすいからです。さらに、署名には費用がかからないため、多くの人々は各署名の背後にある意味を理解していません。これがハッカーにとっての隙間を生み出しています。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
PermitはERC-20標準の一つの拡張機能で、ユーザーが署名を通じて他人に自分のトークンを移動させることを許可します。簡単に言うと、誰かに自分のトークンを移動させることを許可する"許可証"に署名するようなものです。この"許可証"を持っている人は、スマートコントラクトに対して自分がトークンを移動させる権限があることを証明できます。ハッカーはこのメカニズムを利用して、ユーザーにPermitに署名させることでトークンの移転権限を取得することができます。
Permit2は、あるDEXがユーザー体験を向上させるために導入した機能です。これにより、ユーザーは一度に大きな額をPermit2スマートコントラクトに許可することができ、その後は各取引ごとに署名するだけで済み、再度の許可は不要になります。これは操作プロセスを簡素化しましたが、フィッシングの条件を生み出すことにもなります。もしユーザーが以前にそのDEXを使用し、Permit2コントラクトに無制限の額を許可していた場合(これはそのDEXのデフォルト設定です)、ハッカーはユーザーを誘惑して署名させることで、そのトークンを移転することができます。
総じて、承認フィッシングはハッカーにあなたのトークンを直接移動させるための承認を与えることであり、署名フィッシングは他者にあなたの資産を移動させることを許可する「メモ」を署名させるように仕向けることです。PermitはERC-20の承認拡張機能であり、Permit2はあるDEXが導入した新機能であり、両者は現在の署名フィッシングの重災地です。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
では、これらのフィッシング攻撃をどのように防ぐことができるのでしょうか?
セキュリティ意識を育てることは非常に重要です。ウォレット操作を行うたびに、実行している操作が何であるかを注意深く確認してください。
大きな資金を日常使用の財布から分けて、潜在的な損失を減らします。
PermitとPermit2の署名形式を識別できるようにしましょう。次の情報が含まれている署名リクエストを見た時は特に注意してください:
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:許可されたフィッシング、Permit、Permit2の違い
これらの基盤となる論理と防止策を理解することによって、私たちは自分のデジタル資産をより良く保護し、署名フィッシングの被害者になることを避けることができます。