Phishing de firmas en Web3: análisis de principios y medidas de prevención
Recientemente, el "phishing por firma" se ha convertido en uno de los métodos de fraude más preferidos por los hackers de Web3. A pesar de que los expertos en seguridad y las empresas de billeteras continúan educando al público, cada día muchos usuarios siguen siendo víctimas. Una de las principales razones de este fenómeno es que la mayoría de las personas carecen de comprensión sobre la lógica subyacente de las interacciones con billeteras, y para los no técnicos, la barrera de entrada para aprender es bastante alta.
Para ayudar a más personas a entender este problema, este artículo explicará la lógica subyacente de la pesca de firmas de una manera sencilla y comprensible.
Dos métodos para operar con la billetera
Al usar una billetera Web3, tenemos principalmente dos tipos de operaciones: "firma" e "interacción".
Firma: ocurre fuera de la cadena (fuera de la cadena), no se requiere pagar tarifas de Gas.
Interacción: ocurre en la blockchain (en cadena), se requiere pagar la tarifa de Gas.
La firma se utiliza comúnmente para la autenticación, como iniciar sesión en una billetera o conectar a una DApp. Este proceso no afecta los datos de la cadena de bloques, por lo que no es necesario pagar tarifas.
La interacción implica operaciones reales en la blockchain. Por ejemplo, al intercambiar tokens en un DEX, primero necesitas autorizar (approve) al contrato inteligente para usar tus tokens, y luego ejecutar la operación de intercambio real. Ambos pasos requieren el pago de tarifas de Gas.
Métodos comunes de phishing
1. Autorización de phishing
Esta es una técnica tradicional de phishing en Web3. Los hackers crean un sitio web que parece legítimo, induciendo a los usuarios a realizar operaciones de autorización. Cuando los usuarios hacen clic en botones como "reclamar airdrop", en realidad están autorizando a la dirección del hacker a usar sus tokens.
2. Permiso de firma de phishing
Permit es una función de extensión del estándar ERC-20 que permite a los usuarios aprobar a otros para usar sus tokens a través de una firma. Los hackers pueden inducir a los usuarios a firmar este tipo de permiso y luego utilizar esta firma para transferir los activos del usuario.
3. Phishing de firma Permit2
Permit2 es una función lanzada por ciertos DEX para simplificar las operaciones de los usuarios. Permite a los usuarios autorizar un gran monto de una sola vez, y después solo necesitan firmar para realizar transacciones. Sin embargo, si un usuario ha utilizado previamente ese DEX y ha otorgado un límite infinito, un hacker podría aprovechar este mecanismo para transferir los activos del usuario.
Medidas de prevención
Fomentar la conciencia de seguridad: cada vez que realices operaciones con la billetera, verifica cuidadosamente la operación que estás llevando a cabo.
Separación de activos: separa los fondos grandes de la billetera que usas diariamente para reducir las pérdidas potenciales.
Aprende a identificar el formato de firma de Permit y Permit2: ten cuidado con las solicitudes de firma que contengan los siguientes campos:
Interactivo(交互网址)
Propietario (dirección del autorizador)
Spender (dirección del autorizado)
Valor(授权数量)
Nonce (número aleatorio)
Fecha límite
Al comprender los principios de estos métodos de phishing y tomar las medidas de prevención adecuadas, los usuarios pueden proteger mejor la seguridad de sus activos digitales. En el mundo de Web3, es crucial mantenerse alerta y seguir aprendiendo.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
11 me gusta
Recompensa
11
6
Republicar
Compartir
Comentar
0/400
GasOptimizer
· hace22h
La tarifa de gas se puede resolver, pero si te pescan, entonces estás perdido.
Ver originalesResponder0
LeverageAddict
· hace23h
Los adictos a los préstamos vienen a por más~ ¡y he perdido mucho, llanto!
Ver originalesResponder0
rugpull_survivor
· hace23h
¿Puedo preguntar más? Ya hemos sido estafados de manera terrible.
Ver originalesResponder0
Token_Sherpa
· hace23h
ugh... otra semana, otra trampa para novatos. ¿cuándo aprenderán las personas a rtfm smh
Análisis completo de la pesca con firma Web3: análisis de principios y estrategias de prevención
Phishing de firmas en Web3: análisis de principios y medidas de prevención
Recientemente, el "phishing por firma" se ha convertido en uno de los métodos de fraude más preferidos por los hackers de Web3. A pesar de que los expertos en seguridad y las empresas de billeteras continúan educando al público, cada día muchos usuarios siguen siendo víctimas. Una de las principales razones de este fenómeno es que la mayoría de las personas carecen de comprensión sobre la lógica subyacente de las interacciones con billeteras, y para los no técnicos, la barrera de entrada para aprender es bastante alta.
Para ayudar a más personas a entender este problema, este artículo explicará la lógica subyacente de la pesca de firmas de una manera sencilla y comprensible.
Dos métodos para operar con la billetera
Al usar una billetera Web3, tenemos principalmente dos tipos de operaciones: "firma" e "interacción".
La firma se utiliza comúnmente para la autenticación, como iniciar sesión en una billetera o conectar a una DApp. Este proceso no afecta los datos de la cadena de bloques, por lo que no es necesario pagar tarifas.
La interacción implica operaciones reales en la blockchain. Por ejemplo, al intercambiar tokens en un DEX, primero necesitas autorizar (approve) al contrato inteligente para usar tus tokens, y luego ejecutar la operación de intercambio real. Ambos pasos requieren el pago de tarifas de Gas.
Métodos comunes de phishing
1. Autorización de phishing
Esta es una técnica tradicional de phishing en Web3. Los hackers crean un sitio web que parece legítimo, induciendo a los usuarios a realizar operaciones de autorización. Cuando los usuarios hacen clic en botones como "reclamar airdrop", en realidad están autorizando a la dirección del hacker a usar sus tokens.
2. Permiso de firma de phishing
Permit es una función de extensión del estándar ERC-20 que permite a los usuarios aprobar a otros para usar sus tokens a través de una firma. Los hackers pueden inducir a los usuarios a firmar este tipo de permiso y luego utilizar esta firma para transferir los activos del usuario.
3. Phishing de firma Permit2
Permit2 es una función lanzada por ciertos DEX para simplificar las operaciones de los usuarios. Permite a los usuarios autorizar un gran monto de una sola vez, y después solo necesitan firmar para realizar transacciones. Sin embargo, si un usuario ha utilizado previamente ese DEX y ha otorgado un límite infinito, un hacker podría aprovechar este mecanismo para transferir los activos del usuario.
Medidas de prevención
Fomentar la conciencia de seguridad: cada vez que realices operaciones con la billetera, verifica cuidadosamente la operación que estás llevando a cabo.
Separación de activos: separa los fondos grandes de la billetera que usas diariamente para reducir las pérdidas potenciales.
Aprende a identificar el formato de firma de Permit y Permit2: ten cuidado con las solicitudes de firma que contengan los siguientes campos:
Al comprender los principios de estos métodos de phishing y tomar las medidas de prevención adecuadas, los usuarios pueden proteger mejor la seguridad de sus activos digitales. En el mundo de Web3, es crucial mantenerse alerta y seguir aprendiendo.