Основна логіка фішингу підписів Web3: розуміння авторизаційного фішингу, Permit та Permit2
У сфері Web3 "фішинг через підпис" став одним із найпоширеніших шахрайських методів серед хакерів. Незважаючи на те, що експерти з безпеки та компанії-гаманці постійно пропагують відповідні знання, кожного дня багато користувачів потрапляють у пастку. Однією з важливих причин цього є те, що більшість людей не розуміють основні принципи взаємодії з гаманцями, а для не технічних спеціалістів навчання відповідним знанням є досить складним.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, у цій статті буде спроба пояснити підґрунтя логіки підписного фішингу зрозумілою мовою.
По-перше, нам потрібно зрозуміти, що під час використання гаманця існує два основні типи операцій: "підпис" та "взаємодія". Простими словами, підпис відбувається поза блокчейном (офлайн), не вимагаючи сплати Gas-кошту; тоді як взаємодія відбувається в межах блокчейну (онлайн) і вимагає сплати Gas-кошту.
Типовий сценарій підпису – це перевірка особи, наприклад, під час входу до гаманця або підключення до DApp. Наприклад, коли ви хочете обміняти токени на певному DEX, спочатку потрібно підключити гаманець, і в цей момент необхідно підписати, щоб підтвердити, що ви є власником цього гаманця. Цей процес не вплине на блокчейн, тому не потрібно платити комісію.
У порівнянні, взаємодія включає фактичні операції на ланцюзі. Наприклад, щоб обміняти токени на DEX, спочатку потрібно сплатити комісію, щоб уповноважити смарт-контракт DEX переміщувати ваші токени (так зване "уповноваження"). Потім вам також потрібно буде сплатити ще одну комісію для виконання фактичної операції обміну.
Зрозумівши різницю між підписом та взаємодією, розглянемо кілька поширених способів фішингу: фішинг на авторизацію, фішинг на підпис Permit та фішинг на підпис Permit2.
Авторизаційна риболовля - це класичний метод шахрайства, який використовує механізм авторизації (approve). Хакери можуть створити підроблений веб-сайт, маскуючись під NFT проект або аірдроп. Коли користувач натискає кнопку "Отримати аірдроп", він насправді авторизує адресу хакера для керування своїми токенами. Хоча цей метод вимагає сплати Gas-кошту, все ж чимало користувачів можуть ненароком потрапити в пастку.
Підписування Permit та Permit2 є більш прихованими і важче піддається запобіганню. Оскільки користувачі звикли підписувати вхід до гаманця перед використанням DApp, легко виникає звичка думати, що "ця дія є безпечною". Додатково, оскільки підпис не вимагає сплати комісії, багато хто не розуміє значення кожного підпису, що створює можливості для хакерів.
Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам затверджувати інших для переміщення своїх токенів через підпис. Простими словами, це як підписати «дозвіл» на аркуші паперу, що дозволяє комусь переміщувати ваші токени. Той, хто має цей «дозвіл», може довести смарт-контракту, що має право переміщувати ваші токени. Хакери можуть скористатися цим механізмом, спонукаючи користувачів підписати Permit, щоб отримати право на передачу токенів.
Permit2 - це функція, яку певний DEX впровадив для покращення користувацького досвіду. Вона дозволяє користувачам одноразово авторизувати велику суму для смарт-контракту Permit2, після чого кожна угода потребує лише підпису, без необхідності повторної авторизації. Хоча це спрощує процес, це також створює умови для фішингу. Якщо користувач колись користувався цим DEX і авторизував безмежну суму для контракту Permit2 (це налаштування за замовчуванням для цього DEX), то хакер лише повинен спонукати користувача підписати, щоб перемістити його токени.
В цілому, авторизаційна фішинг є дозволом хакерам переміщувати ваші токени, тоді як підписний фішинг спонукає вас підписати "запис", який дозволяє іншим переміщати ваші активи. Permit – це розширена функція авторизації ERC-20, Permit2 – це нова функція, випущена певним DEX, обидві є актуальними зонами ризику підписного фішингу.
Отже, як можна запобігти цим фішинговим атакам?
Важливо виховувати усвідомлення безпеки. Кожного разу, коли ви виконуєте операції з гаманцем, ретельно перевіряйте, що саме ви робите.
Відокремте великі суми грошей від кошельків для щоденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підпису Permit і Permit2. Коли ви бачите запит на підпис, що містить таку інформацію, будьте особливо обережні:
Interactive:інтерактивний веб-сайт
Власник:Адреса уповноваженого
Spender: адреса уповноваженої особи
Значення:Кількість авторизації
Nonce: випадкове число
Deadline:термін дії
Зрозумівши ці базові логіки та запобіжні заходи, ми можемо краще захистити свої цифрові активи та уникнути того, щоб стати жертвою фішингу підписів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
3
Поділіться
Прокоментувати
0/400
SignatureDenied
· 07-27 01:35
Ай, вже невдаха, знову попався кілька разів.
Переглянути оригіналвідповісти на0
StablecoinArbitrageur
· 07-27 01:33
*налаштовує графіки* ще 10,3% вартості портфоліо втрачено через експлойти дозволів... коли вони навчаться читати байт-код
Переглянути оригіналвідповісти на0
ColdWalletGuardian
· 07-27 01:29
Чим більше боїшся, тим більше попадаєшся на гачок.
Аналіз фішингу підписів Web3: ризики та запобігання авторизації, Permit та Permit2
Основна логіка фішингу підписів Web3: розуміння авторизаційного фішингу, Permit та Permit2
У сфері Web3 "фішинг через підпис" став одним із найпоширеніших шахрайських методів серед хакерів. Незважаючи на те, що експерти з безпеки та компанії-гаманці постійно пропагують відповідні знання, кожного дня багато користувачів потрапляють у пастку. Однією з важливих причин цього є те, що більшість людей не розуміють основні принципи взаємодії з гаманцями, а для не технічних спеціалістів навчання відповідним знанням є досить складним.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, у цій статті буде спроба пояснити підґрунтя логіки підписного фішингу зрозумілою мовою.
По-перше, нам потрібно зрозуміти, що під час використання гаманця існує два основні типи операцій: "підпис" та "взаємодія". Простими словами, підпис відбувається поза блокчейном (офлайн), не вимагаючи сплати Gas-кошту; тоді як взаємодія відбувається в межах блокчейну (онлайн) і вимагає сплати Gas-кошту.
Типовий сценарій підпису – це перевірка особи, наприклад, під час входу до гаманця або підключення до DApp. Наприклад, коли ви хочете обміняти токени на певному DEX, спочатку потрібно підключити гаманець, і в цей момент необхідно підписати, щоб підтвердити, що ви є власником цього гаманця. Цей процес не вплине на блокчейн, тому не потрібно платити комісію.
У порівнянні, взаємодія включає фактичні операції на ланцюзі. Наприклад, щоб обміняти токени на DEX, спочатку потрібно сплатити комісію, щоб уповноважити смарт-контракт DEX переміщувати ваші токени (так зване "уповноваження"). Потім вам також потрібно буде сплатити ще одну комісію для виконання фактичної операції обміну.
Зрозумівши різницю між підписом та взаємодією, розглянемо кілька поширених способів фішингу: фішинг на авторизацію, фішинг на підпис Permit та фішинг на підпис Permit2.
Авторизаційна риболовля - це класичний метод шахрайства, який використовує механізм авторизації (approve). Хакери можуть створити підроблений веб-сайт, маскуючись під NFT проект або аірдроп. Коли користувач натискає кнопку "Отримати аірдроп", він насправді авторизує адресу хакера для керування своїми токенами. Хоча цей метод вимагає сплати Gas-кошту, все ж чимало користувачів можуть ненароком потрапити в пастку.
Підписування Permit та Permit2 є більш прихованими і важче піддається запобіганню. Оскільки користувачі звикли підписувати вхід до гаманця перед використанням DApp, легко виникає звичка думати, що "ця дія є безпечною". Додатково, оскільки підпис не вимагає сплати комісії, багато хто не розуміє значення кожного підпису, що створює можливості для хакерів.
Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам затверджувати інших для переміщення своїх токенів через підпис. Простими словами, це як підписати «дозвіл» на аркуші паперу, що дозволяє комусь переміщувати ваші токени. Той, хто має цей «дозвіл», може довести смарт-контракту, що має право переміщувати ваші токени. Хакери можуть скористатися цим механізмом, спонукаючи користувачів підписати Permit, щоб отримати право на передачу токенів.
Permit2 - це функція, яку певний DEX впровадив для покращення користувацького досвіду. Вона дозволяє користувачам одноразово авторизувати велику суму для смарт-контракту Permit2, після чого кожна угода потребує лише підпису, без необхідності повторної авторизації. Хоча це спрощує процес, це також створює умови для фішингу. Якщо користувач колись користувався цим DEX і авторизував безмежну суму для контракту Permit2 (це налаштування за замовчуванням для цього DEX), то хакер лише повинен спонукати користувача підписати, щоб перемістити його токени.
В цілому, авторизаційна фішинг є дозволом хакерам переміщувати ваші токени, тоді як підписний фішинг спонукає вас підписати "запис", який дозволяє іншим переміщати ваші активи. Permit – це розширена функція авторизації ERC-20, Permit2 – це нова функція, випущена певним DEX, обидві є актуальними зонами ризику підписного фішингу.
Отже, як можна запобігти цим фішинговим атакам?
Важливо виховувати усвідомлення безпеки. Кожного разу, коли ви виконуєте операції з гаманцем, ретельно перевіряйте, що саме ви робите.
Відокремте великі суми грошей від кошельків для щоденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підпису Permit і Permit2. Коли ви бачите запит на підпис, що містить таку інформацію, будьте особливо обережні:
Зрозумівши ці базові логіки та запобіжні заходи, ми можемо краще захистити свої цифрові активи та уникнути того, щоб стати жертвою фішингу підписів.