Основная логика фишинга в Web3: понимание фишинга на основе разрешений, Permit и Permit2
В области Web3 "фишинг с подписями" стал одним из самых популярных методов мошенничества среди хакеров. Несмотря на то, что специалисты по безопасности и компании, занимающиеся кошельками, постоянно распространяют соответствующие знания, каждый день множество пользователей становятся жертвами мошенников. Одной из важных причин этого является то, что большинство людей не понимает основных принципов взаимодействия с кошельками, а для нетехнических специалистов порог для изучения соответствующих знаний довольно высок.
Чтобы помочь большему количеству людей понять эту проблему, в этой статье будет сделана попытка объяснить основную логику фишинга с подписями простым и доступным языком.
Во-первых, нам нужно понять, что при использовании кошелька существуют две основные операции: "подписание" и "взаимодействие". Проще говоря, подписание происходит вне блокчейна (вне цепи) и не требует оплаты комиссии за газ; тогда как взаимодействие происходит в блокчейне (в цепи) и требует оплаты комиссии за газ.
Типичный сценарий подписи - это проверка личности, например, при входе в кошелек или подключении к DApp. Например, когда вы хотите обменять токены на каком-либо DEX, вам сначала нужно подключить кошелек, и в этот момент потребуется подпись, чтобы доказать, что вы являетесь владельцем этого кошелька. Этот процесс не окажет никакого влияния на блокчейн, поэтому не нужно платить никаких сборов.
В отличие от этого, взаимодействие включает в себя фактические операции на блокчейне. Например, для обмена токенов на DEX вам сначала нужно уплатить комиссию, чтобы разрешить смарт-контракту DEX перемещать ваши токены (это называется "разрешение"). Затем вам также нужно будет уплатить еще одну комиссию для выполнения фактической операции обмена.
Поняв разницу между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Фишинг с авторизацией — это классическая мошенническая схема, использующая механизм авторизации (approve). Хакеры могут создать поддельный сайт, притворяясь проектом NFT или мероприятием по раздаче токенов. Когда пользователи нажимают кнопку "Получить раздачу", они на самом деле авторизуют адрес хакера для операций со своими токенами. Хотя этот метод требует оплаты Gas-услуг, все равно немало пользователей могут случайно попасться на удочку.
Подделка подписей Permit и Permit2 является более скрытной и трудной для предотвращения. Пользователи привыкли подписывать вход в кошелек перед использованием DApp, что легко создает инерционное мышление "это действие безопасно". Кроме того, поскольку за подпись не нужно платить, многие не понимают смысл каждой подписи, что создает возможности для хакеров.
Permit — это расширенная функция стандарта ERC-20, позволяющая пользователям подписывать разрешение на перемещение своих токенов другим лицом. Проще говоря, это похоже на то, как если бы вы подписали "записку", позволяя кому-то перемещать ваши токены. Человек, имеющий эту "записку", может доказать смарт-контракту, что у него есть право перемещать ваши токены. Хакеры могут использовать этот механизм, чтобы заставить пользователей подписать Permit, тем самым получая право на перевод токенов.
Permit2 - это функция, которую некоторые DEX внедрили для улучшения пользовательского опыта. Она позволяет пользователям единовременно предоставить большие полномочия смарт-контракту Permit2, после чего для каждой сделки требуется только подпись, без необходимости повторного предоставления полномочий. Хотя это упрощает процесс, это также создает условия для фишинга. Если пользователь когда-либо использовал этот DEX и предоставил неограниченные полномочия смарт-контракту Permit2 (это настройка по умолчанию для этого DEX), то хакеру достаточно убедить пользователя подписать, чтобы перенести его токены.
В целом, авторизационная фишинг-атака позволяет хакерам напрямую перемещать ваши токены, в то время как фишинг на подпись побуждает вас подписать "записку", позволяющую другим перемещать ваши активы. Permit — это расширенная функция авторизации для ERC-20, а Permit2 — это новая функция, представленная некоторыми DEX, обе из которых являются основными целями текущего фишинга на подпись.
Итак, как предотвратить эти фишинговые атаки?
Важно развивать осведомленность о безопасности. Каждый раз, выполняя операции с кошельком, внимательно проверяйте, что именно вы делаете.
Разделите крупные суммы средств и деньги для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать формат подписи Permit и Permit2. Будьте особенно осторожны, когда вы видите запрос на подпись, содержащий следующую информацию:
Interactive:интерактивный сайт
Владелец:адрес уполномоченного лица
Spender: адрес уполномоченного лица
Значение:Авторизованное количество
Nonce: случайное число
Срок: время истечения
Понимая эти основные логики и меры предосторожности, мы можем лучше защитить свои цифровые активы и избежать того, чтобы стать жертвами фишинга с использованием подписей.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
19 Лайков
Награда
19
5
Поделиться
комментарий
0/400
CommunityJanitor
· 14ч назад
Если вы не понимаете, что такое подпись, не играйте в web3.
Посмотреть ОригиналОтветить0
BitcoinDaddy
· 21ч назад
Перед подписанием, братва, будьте внимательны.
Посмотреть ОригиналОтветить0
SignatureDenied
· 07-27 01:35
Эх, я уже неудачник, всё равно несколько раз попался.
Посмотреть ОригиналОтветить0
StablecoinArbitrageur
· 07-27 01:33
*настраивает графики* еще 10.3% стоимости портфеля потеряно из-за эксплуатации разрешений... когда они научатся читать bytecode
Посмотреть ОригиналОтветить0
ColdWalletGuardian
· 07-27 01:29
Чем больше боишься, тем больше попадаешься на удочку.
Анализ фишинга в Web3: риски и меры предосторожности авторизации, Permit и Permit2
Основная логика фишинга в Web3: понимание фишинга на основе разрешений, Permit и Permit2
В области Web3 "фишинг с подписями" стал одним из самых популярных методов мошенничества среди хакеров. Несмотря на то, что специалисты по безопасности и компании, занимающиеся кошельками, постоянно распространяют соответствующие знания, каждый день множество пользователей становятся жертвами мошенников. Одной из важных причин этого является то, что большинство людей не понимает основных принципов взаимодействия с кошельками, а для нетехнических специалистов порог для изучения соответствующих знаний довольно высок.
Чтобы помочь большему количеству людей понять эту проблему, в этой статье будет сделана попытка объяснить основную логику фишинга с подписями простым и доступным языком.
Во-первых, нам нужно понять, что при использовании кошелька существуют две основные операции: "подписание" и "взаимодействие". Проще говоря, подписание происходит вне блокчейна (вне цепи) и не требует оплаты комиссии за газ; тогда как взаимодействие происходит в блокчейне (в цепи) и требует оплаты комиссии за газ.
Типичный сценарий подписи - это проверка личности, например, при входе в кошелек или подключении к DApp. Например, когда вы хотите обменять токены на каком-либо DEX, вам сначала нужно подключить кошелек, и в этот момент потребуется подпись, чтобы доказать, что вы являетесь владельцем этого кошелька. Этот процесс не окажет никакого влияния на блокчейн, поэтому не нужно платить никаких сборов.
В отличие от этого, взаимодействие включает в себя фактические операции на блокчейне. Например, для обмена токенов на DEX вам сначала нужно уплатить комиссию, чтобы разрешить смарт-контракту DEX перемещать ваши токены (это называется "разрешение"). Затем вам также нужно будет уплатить еще одну комиссию для выполнения фактической операции обмена.
Поняв разницу между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Фишинг с авторизацией — это классическая мошенническая схема, использующая механизм авторизации (approve). Хакеры могут создать поддельный сайт, притворяясь проектом NFT или мероприятием по раздаче токенов. Когда пользователи нажимают кнопку "Получить раздачу", они на самом деле авторизуют адрес хакера для операций со своими токенами. Хотя этот метод требует оплаты Gas-услуг, все равно немало пользователей могут случайно попасться на удочку.
Подделка подписей Permit и Permit2 является более скрытной и трудной для предотвращения. Пользователи привыкли подписывать вход в кошелек перед использованием DApp, что легко создает инерционное мышление "это действие безопасно". Кроме того, поскольку за подпись не нужно платить, многие не понимают смысл каждой подписи, что создает возможности для хакеров.
Permit — это расширенная функция стандарта ERC-20, позволяющая пользователям подписывать разрешение на перемещение своих токенов другим лицом. Проще говоря, это похоже на то, как если бы вы подписали "записку", позволяя кому-то перемещать ваши токены. Человек, имеющий эту "записку", может доказать смарт-контракту, что у него есть право перемещать ваши токены. Хакеры могут использовать этот механизм, чтобы заставить пользователей подписать Permit, тем самым получая право на перевод токенов.
Permit2 - это функция, которую некоторые DEX внедрили для улучшения пользовательского опыта. Она позволяет пользователям единовременно предоставить большие полномочия смарт-контракту Permit2, после чего для каждой сделки требуется только подпись, без необходимости повторного предоставления полномочий. Хотя это упрощает процесс, это также создает условия для фишинга. Если пользователь когда-либо использовал этот DEX и предоставил неограниченные полномочия смарт-контракту Permit2 (это настройка по умолчанию для этого DEX), то хакеру достаточно убедить пользователя подписать, чтобы перенести его токены.
В целом, авторизационная фишинг-атака позволяет хакерам напрямую перемещать ваши токены, в то время как фишинг на подпись побуждает вас подписать "записку", позволяющую другим перемещать ваши активы. Permit — это расширенная функция авторизации для ERC-20, а Permit2 — это новая функция, представленная некоторыми DEX, обе из которых являются основными целями текущего фишинга на подпись.
Итак, как предотвратить эти фишинговые атаки?
Важно развивать осведомленность о безопасности. Каждый раз, выполняя операции с кошельком, внимательно проверяйте, что именно вы делаете.
Разделите крупные суммы средств и деньги для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать формат подписи Permit и Permit2. Будьте особенно осторожны, когда вы видите запрос на подпись, содержащий следующую информацию:
Понимая эти основные логики и меры предосторожности, мы можем лучше защитить свои цифровые активы и избежать того, чтобы стать жертвами фишинга с использованием подписей.