Web3 imza oltacılığının temel mantığı: Yetkilendirme oltacılığını, Permit ve Permit2'yi tanımak
Web3 alanında, "imza oltası" artık hackerların en yaygın dolandırıcılık yöntemlerinden biri haline geldi. Güvenlik uzmanları ve cüzdan şirketleri sürekli olarak ilgili bilgileri duyursalar da, her gün birçok kullanıcı hala kandırılmaya devam ediyor. Bu durumun önemli bir nedeni, çoğu insanın cüzdan etkileşimlerinin temel prensipleri hakkında bilgiye sahip olmaması ve teknik olmayan kişiler için ilgili bilgilerin öğrenme eşiğinin yüksek olmasıdır.
Bu makale, daha fazla insanın bu konuyu anlamasına yardımcı olmak için, imza phishing'in temel mantığını anlaşılır bir şekilde açıklamaya çalışacaktır.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imza" ve "etkileşim". Basitçe söylemek gerekirse, imza blok zincirinin dışında (off-chain) gerçekleşir, Gas ücreti ödenmesine gerek yoktur; etkileşim ise blok zincirinin üzerinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekir.
İmza atmanın tipik bir sahnesi kimlik doğrulama, örneğin cüzdana giriş veya DApp'e bağlanmadır. Örneğin, belirli bir DEX'te token değiştirmek istediğinizde, önce cüzdanınızı bağlamanız gerekir, bu noktada cüzdanın sahibi olduğunuzu kanıtlamak için imza atmanız gerekir. Bu süreç blok zincirinde herhangi bir etki yaratmaz, bu nedenle ücret ödemeniz gerekmez.
Buna karşılık, etkileşim gerçek zincir üzerindeki işlemleri içerir. DEX'te token değişimi yapmak için öncelikle bir ücret ödemeniz gerekir, DEX'in akıllı sözleşmesine token'larınızı hareket ettirme yetkisi vermeniz gerekir (bu "yetkilendirme" olarak adlandırılır). Ardından, gerçek değişim işlemini gerçekleştirmek için bir ücret daha ödemeniz gerekecektir.
İmza ve etkileşim arasındaki farkı anladıktan sonra, birkaç yaygın oltalama yöntemine bakalım: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.
Yetkilendirme oltalama, yetkilendirme (approve) mekanizmasını kullanan klasik bir dolandırıcılık yöntemidir. Hackerlar, bir NFT projesi veya airdrop etkinliği gibi davranan sahte bir web sitesi oluşturabilirler. Kullanıcılar "Airdrop'u al" butonuna tıkladıklarında, aslında hacker adresine kendi token'larını yönetme yetkisi vermiş olurlar. Bu yöntem Gas ücreti ödemeyi gerektirse de, pek çok kullanıcı dikkatsizce tuzağa düşebilir.
Permit ve Permit2 imza phishing'i daha gizli ve önlenmesi daha zor hale getiriyor. Çünkü kullanıcılar DApp kullanmadan önce cüzdanlarını imzalamaya alıştılar, bu da "bu işlem güvenli" düşüncesinin alışkanlık haline gelmesine yol açıyor. Ayrıca imza için ücret ödenmesi gerekmemesi, birçok kişinin her imzanın arkasındaki anlamı anlamamasına neden oluyor; bu da hackerlar için bir fırsat yaratıyor.
Permit, ERC-20 standardının bir genişletme özelliğidir ve kullanıcıların imza ile başkalarının kendi jetonlarını hareket ettirmesine izin vermesine olanak tanır. Basitçe söylemek gerekirse, bu, birinin sizin jetonlarınızı hareket ettirmesine izin veren bir "kağıt" üzerinde imza atmak gibidir. Bu "kağıdı" elinde bulunduran kişi, akıllı sözleşmeye jetonlarınızı hareket ettirme yetkisine sahip olduğunu kanıtlayabilir. Hackerlar bu mekanizmayı kullanarak kullanıcıları Permit imzalamaya ikna edebilir ve böylece jetonların transferi için yetki elde edebilir.
Permit2, kullanıcı deneyimini artırmak için bir DEX tarafından sunulan bir özelliktir. Kullanıcılara bir kez Permit2 akıllı sözleşmesine yüksek bir yetki vermelerine olanak tanır, ardından her işlem için yalnızca imza atmak yeterlidir, tekrar yetkilendirme gerektirmez. Bu işlem sürecini basitleştirmiş olsa da, oltalama için de koşullar yaratmaktadır. Kullanıcı, bu DEX'i daha önce kullanmış ve Permit2 sözleşmesine sınırsız yetki vermişse (bu, DEX'in varsayılan ayarıdır), o zaman hacker, kullanıcıyı imza atmaya kandırarak tokenlerini transfer edebilir.
Genel olarak, yetkilendirme oltası, bir hacker'ın tokenlerinizi hareket ettirmesine doğrudan izin vermenizdir, oysa imza oltası, başkalarının varlıklarınızı hareket ettirmesine izin veren bir "belge" imzalamanız için sizi kandırmaktır. Permit, ERC-20'nin yetkilendirme genişletme işlevidir, Permit2 ise belirli bir DEX'in sunduğu yeni bir özelliktir; her ikisi de şu anda imza oltalarının yoğun olduğu alanlardır.
Peki, bu phishing saldırılarına karşı nasıl önlem alabiliriz?
Güvenlik bilincini geliştirmek son derece önemlidir. Cüzdan işlemleri yaparken, gerçekleştirdiğiniz işlemin tam olarak ne olduğunu dikkatlice kontrol etmelisiniz.
Büyük miktardaki fonları günlük kullanılan cüzdanlardan ayırarak potansiyel kayıpları azaltın.
Permit ve Permit2'nin imza formatlarını tanımayı öğrenin. Aşağıdaki bilgileri içeren bir imza isteği gördüğünüzde, özellikle dikkatli olun:
Etkileşimli:etkileşimli web sitesi
Sahibi:Yetki veren adres
Harcayan: Yetkilendirilmiş tarafın adresi
Değer: Yetki verilen miktar
Nonce:rastgele sayı
Son Tarih:geçerlilik süresi
Bu temel mantıkları ve önleyici tedbirleri anlayarak, dijital varlıklarımızı daha iyi koruyabilir ve imza phishing kurbanı olmaktan kaçınabiliriz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
3
Share
Comment
0/400
SignatureDenied
· 07-27 01:35
Ah, eski enayiler oldum, yine birkaç kez kandım.
View OriginalReply0
StablecoinArbitrageur
· 07-27 01:33
*grafikleri ayarlıyor* portföy değerinin bir kez daha %10.3'ü izin istismarlarına kaybedildi... ne zaman bytecode'u okumayı öğrenecekler
Web3 imza dolandırıcılığı analizi: Yetkilendirme, Permit ve Permit2'nin riskleri ve önleme yöntemleri
Web3 imza oltacılığının temel mantığı: Yetkilendirme oltacılığını, Permit ve Permit2'yi tanımak
Web3 alanında, "imza oltası" artık hackerların en yaygın dolandırıcılık yöntemlerinden biri haline geldi. Güvenlik uzmanları ve cüzdan şirketleri sürekli olarak ilgili bilgileri duyursalar da, her gün birçok kullanıcı hala kandırılmaya devam ediyor. Bu durumun önemli bir nedeni, çoğu insanın cüzdan etkileşimlerinin temel prensipleri hakkında bilgiye sahip olmaması ve teknik olmayan kişiler için ilgili bilgilerin öğrenme eşiğinin yüksek olmasıdır.
Bu makale, daha fazla insanın bu konuyu anlamasına yardımcı olmak için, imza phishing'in temel mantığını anlaşılır bir şekilde açıklamaya çalışacaktır.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imza" ve "etkileşim". Basitçe söylemek gerekirse, imza blok zincirinin dışında (off-chain) gerçekleşir, Gas ücreti ödenmesine gerek yoktur; etkileşim ise blok zincirinin üzerinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekir.
İmza atmanın tipik bir sahnesi kimlik doğrulama, örneğin cüzdana giriş veya DApp'e bağlanmadır. Örneğin, belirli bir DEX'te token değiştirmek istediğinizde, önce cüzdanınızı bağlamanız gerekir, bu noktada cüzdanın sahibi olduğunuzu kanıtlamak için imza atmanız gerekir. Bu süreç blok zincirinde herhangi bir etki yaratmaz, bu nedenle ücret ödemeniz gerekmez.
Buna karşılık, etkileşim gerçek zincir üzerindeki işlemleri içerir. DEX'te token değişimi yapmak için öncelikle bir ücret ödemeniz gerekir, DEX'in akıllı sözleşmesine token'larınızı hareket ettirme yetkisi vermeniz gerekir (bu "yetkilendirme" olarak adlandırılır). Ardından, gerçek değişim işlemini gerçekleştirmek için bir ücret daha ödemeniz gerekecektir.
İmza ve etkileşim arasındaki farkı anladıktan sonra, birkaç yaygın oltalama yöntemine bakalım: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.
Yetkilendirme oltalama, yetkilendirme (approve) mekanizmasını kullanan klasik bir dolandırıcılık yöntemidir. Hackerlar, bir NFT projesi veya airdrop etkinliği gibi davranan sahte bir web sitesi oluşturabilirler. Kullanıcılar "Airdrop'u al" butonuna tıkladıklarında, aslında hacker adresine kendi token'larını yönetme yetkisi vermiş olurlar. Bu yöntem Gas ücreti ödemeyi gerektirse de, pek çok kullanıcı dikkatsizce tuzağa düşebilir.
Permit ve Permit2 imza phishing'i daha gizli ve önlenmesi daha zor hale getiriyor. Çünkü kullanıcılar DApp kullanmadan önce cüzdanlarını imzalamaya alıştılar, bu da "bu işlem güvenli" düşüncesinin alışkanlık haline gelmesine yol açıyor. Ayrıca imza için ücret ödenmesi gerekmemesi, birçok kişinin her imzanın arkasındaki anlamı anlamamasına neden oluyor; bu da hackerlar için bir fırsat yaratıyor.
Permit, ERC-20 standardının bir genişletme özelliğidir ve kullanıcıların imza ile başkalarının kendi jetonlarını hareket ettirmesine izin vermesine olanak tanır. Basitçe söylemek gerekirse, bu, birinin sizin jetonlarınızı hareket ettirmesine izin veren bir "kağıt" üzerinde imza atmak gibidir. Bu "kağıdı" elinde bulunduran kişi, akıllı sözleşmeye jetonlarınızı hareket ettirme yetkisine sahip olduğunu kanıtlayabilir. Hackerlar bu mekanizmayı kullanarak kullanıcıları Permit imzalamaya ikna edebilir ve böylece jetonların transferi için yetki elde edebilir.
Permit2, kullanıcı deneyimini artırmak için bir DEX tarafından sunulan bir özelliktir. Kullanıcılara bir kez Permit2 akıllı sözleşmesine yüksek bir yetki vermelerine olanak tanır, ardından her işlem için yalnızca imza atmak yeterlidir, tekrar yetkilendirme gerektirmez. Bu işlem sürecini basitleştirmiş olsa da, oltalama için de koşullar yaratmaktadır. Kullanıcı, bu DEX'i daha önce kullanmış ve Permit2 sözleşmesine sınırsız yetki vermişse (bu, DEX'in varsayılan ayarıdır), o zaman hacker, kullanıcıyı imza atmaya kandırarak tokenlerini transfer edebilir.
Genel olarak, yetkilendirme oltası, bir hacker'ın tokenlerinizi hareket ettirmesine doğrudan izin vermenizdir, oysa imza oltası, başkalarının varlıklarınızı hareket ettirmesine izin veren bir "belge" imzalamanız için sizi kandırmaktır. Permit, ERC-20'nin yetkilendirme genişletme işlevidir, Permit2 ise belirli bir DEX'in sunduğu yeni bir özelliktir; her ikisi de şu anda imza oltalarının yoğun olduğu alanlardır.
Peki, bu phishing saldırılarına karşı nasıl önlem alabiliriz?
Güvenlik bilincini geliştirmek son derece önemlidir. Cüzdan işlemleri yaparken, gerçekleştirdiğiniz işlemin tam olarak ne olduğunu dikkatlice kontrol etmelisiniz.
Büyük miktardaki fonları günlük kullanılan cüzdanlardan ayırarak potansiyel kayıpları azaltın.
Permit ve Permit2'nin imza formatlarını tanımayı öğrenin. Aşağıdaki bilgileri içeren bir imza isteği gördüğünüzde, özellikle dikkatli olun:
Bu temel mantıkları ve önleyici tedbirleri anlayarak, dijital varlıklarımızı daha iyi koruyabilir ve imza phishing kurbanı olmaktan kaçınabiliriz.