Análise de phishing com assinatura Web3: riscos e prevenção de Autorizações, Permit e Permit2

robot
Geração do resumo em andamento

A lógica subjacente da phishing de assinatura Web3: compreenda o phishing de autorização, Permit e Permit2

No domínio do Web3, "phishing por assinatura" tornou-se uma das táticas de fraude mais utilizadas pelos hackers. Apesar de especialistas em segurança e empresas de carteiras estarem constantemente a promover conhecimentos relacionados, ainda há muitos usuários a serem enganados todos os dias. Uma das razões principais para isso é que a maioria das pessoas carece de compreensão sobre os princípios subjacentes das interações com carteiras, e para os não técnicos, a barreira de entrada para aprender os conhecimentos relevantes é bastante alta.

Para ajudar mais pessoas a entender este problema, este artigo tentará explicar a lógica subjacente da pesca de assinatura de uma maneira simples e acessível.

Primeiro, precisamos entender que ao usar uma carteira, há duas operações principais: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain) e não requer o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (on-chain) e requer o pagamento de taxas de Gas.

Um cenário típico de assinatura é a autenticação, como ao fazer login na carteira ou conectar-se a um DApp. Por exemplo, quando você deseja trocar tokens em uma DEX, primeiro precisa conectar sua carteira, e nesse momento é necessário assinar para provar que você é o proprietário da carteira. Esse processo não terá qualquer impacto na blockchain, portanto não há necessidade de pagar taxas.

Em comparação, a interação envolve operações reais na cadeia. Tomando como exemplo a troca de tokens em uma DEX, você primeiro precisa pagar uma taxa para autorizar o contrato inteligente da DEX a mover seus tokens (chamado de "autorização"). Depois, você também precisa pagar uma taxa adicional para executar a operação de troca real.

Interpretação simples da lógica subjacente de phishing com assinatura Web3: phishing de autorização, diferença entre Permit e Permit2

Após entender a diferença entre assinatura e interação, vamos dar uma olhada em algumas formas comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.

A autorização de phishing é uma técnica clássica de fraude que aproveita o mecanismo de autorização (approve). Hackers podem criar um site falso, disfarçando-se como um projeto de NFT ou atividade de airdrop. Quando os usuários clicam no botão "Receber Airdrop", na verdade estão autorizando o endereço do hacker a operar seus tokens. Embora esse método exija o pagamento de taxas de Gas, ainda há muitos usuários que podem inadvertidamente cair na armadilha.

A assinatura Permit e Permit2 é mais discreta e difícil de prevenir. Como os usuários estão acostumados a assinar ao fazer login na carteira antes de usar DApps, é fácil desenvolver o pensamento habitual de "esta operação é segura". Além disso, como a assinatura não requer o pagamento de taxas, muitas pessoas não compreendem o significado por trás de cada assinatura, o que cria uma oportunidade para os hackers.

Interpretação simplificada da lógica subjacente à phishing de assinatura Web3: Diferença entre phishing de autorização, Permit e Permit2

O Permit é uma funcionalidade de extensão do padrão ERC-20, que permite aos usuários aprovar, por meio de assinatura, que outros movimentem seus tokens. Em termos simples, é como assinar um "bilhete" que permite que alguém mova seus tokens. A pessoa que possui este "bilhete" pode provar ao contrato inteligente que tem permissão para mover seus tokens. Hackers podem explorar esse mecanismo para induzir os usuários a assinar o Permit, obtendo assim a autorização para transferir tokens.

O Permit2 é uma funcionalidade lançada por um DEX para melhorar a experiência do usuário. Ele permite que os usuários autorizem uma grande quantia de uma só vez para o contrato inteligente Permit2, e depois, a cada transação, só é necessário assinar, sem a necessidade de nova autorização. Embora isso simplifique o processo, também cria condições para phishing. Se um usuário já utilizou esse DEX e autorizou um valor ilimitado para o contrato Permit2 (que é a configuração padrão desse DEX), então um hacker só precisa induzir o usuário a assinar para poder transferir seus tokens.

De um modo geral, o phishing de autorização permite que você autorize diretamente um hacker a mover seus tokens, enquanto o phishing de assinatura induz você a assinar um "bilhete" que permite a outros moverem seus ativos. O Permit é uma funcionalidade de extensão de autorização do ERC-20, e o Permit2 é uma nova funcionalidade lançada por um DEX, ambos sendo áreas críticas atuais para o phishing de assinatura.

Interpretação simplificada do Web3: lógica subjacente de phishing com assinatura: phishing de autorização, diferenças entre Permit e Permit2

Então, como prevenir esses ataques de phishing?

  1. É crucial cultivar a consciência de segurança. Sempre que realizar operações na carteira, deve verificar cuidadosamente qual é a operação que está a executar.

  2. Separe grandes quantias de dinheiro da carteira que você usa diariamente para reduzir perdas potenciais.

  3. Aprenda a reconhecer o formato de assinatura do Permit e Permit2. Quando você vir um pedido de assinatura que contenha as seguintes informações, fique especialmente alerta:

    • Interativo: URL de interação
    • Proprietário:endereço do autorizador
    • Spender: Endereço da parte autorizada
    • Valor:Quantidade autorizada
    • Nonce: número aleatório
    • Prazo: data de expiração

Interpretação simples da lógica subjacente à pesca de assinaturas Web3: diferença entre pesca de autorização, Permit e Permit2

Ao entender essas lógicas subjacentes e medidas de prevenção, podemos proteger melhor nossos ativos digitais e evitar nos tornarmos vítimas de phishing de assinatura.

DAPP-4.81%
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
  • Recompensa
  • 3
  • Compartilhar
Comentário
0/400
SignatureDeniedvip
· 19h atrás
Ai, já sou um idiota, ainda caí algumas vezes.
Ver originalResponder0
StablecoinArbitrageurvip
· 19h atrás
*ajusta os gráficos* mais 10,3% do valor do portfólio perdidos devido a explorações de permissões... quando aprenderão a ler o bytecode
Ver originalResponder0
ColdWalletGuardianvip
· 19h atrás
Quanto mais medo, mais se é fisgado.
Ver originalResponder0
  • Marcar
Faça trade de criptomoedas em qualquer lugar e a qualquer hora
qrCode
Escaneie o código para baixar o app da Gate
Comunidade
Português (Brasil)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)