Phishing par signature dans le Web3 : Analyse des principes et mesures de prévention
Récemment, le "phishing par signature" est devenu l'une des méthodes de fraude préférées des hackers Web3. Malgré les efforts constants des experts en sécurité et des entreprises de portefeuilles pour sensibiliser, de nombreux utilisateurs continuent d'être victimes chaque jour. L'une des principales raisons de ce phénomène est que la plupart des gens manquent de compréhension de la logique sous-jacente des interactions avec les portefeuilles, et qu'il y a une barrière d'apprentissage élevée pour les non-techniciens.
Pour aider un plus grand nombre de personnes à comprendre ce problème, cet article expliquera la logique sous-jacente du phishing par signature de manière claire et accessible.
Deux façons d'opérer un portefeuille
Lorsque nous utilisons un portefeuille Web3, nous avons principalement deux types d'opérations : "signature" et "interaction".
Signature : se produit en dehors de la blockchain (hors chaîne), sans avoir besoin de payer de frais de Gas.
Interaction : se produit sur la blockchain (on-chain), nécessite le paiement de frais de Gas.
La signature est généralement utilisée pour l'authentification, comme la connexion à un portefeuille ou la connexion à un DApp. Ce processus n'a aucun impact sur les données de la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction implique des opérations réelles sur la blockchain. Par exemple, lors de l'échange de tokens sur un DEX, vous devez d'abord autoriser (approve) le contrat intelligent à utiliser vos tokens, puis effectuer l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.
Méthodes de phishing courantes
1. Phishing autorisé
C'est une méthode traditionnelle de phishing Web3. Les hackers créent un site Web apparemment légitime pour inciter les utilisateurs à effectuer des opérations d'autorisation. Lorsque les utilisateurs cliquent sur des boutons comme "Recevoir un airdrop", ils autorisent en réalité l'adresse du hacker à utiliser leurs jetons.
2. Permis de signature de phishing
Le Permis est une fonctionnalité d'extension de la norme ERC-20, permettant aux utilisateurs d'approuver d'autres personnes à utiliser leurs jetons par le biais d'une signature. Les hackers peuvent inciter les utilisateurs à signer ce type de permis, puis utiliser cette signature pour transférer les actifs de l'utilisateur.
3. Phishing par signature Permit2
Permit2 est une fonctionnalité lancée par un certain DEX pour simplifier les opérations des utilisateurs. Elle permet aux utilisateurs d'autoriser une grande limite en une seule fois, après quoi il leur suffit de signer pour effectuer des transactions. Cependant, si un utilisateur a déjà utilisé ce DEX et a accordé une limite illimitée, un hacker peut exploiter ce mécanisme pour transférer les actifs de l'utilisateur.
Mesures de prévention
Développer la sensibilisation à la sécurité : chaque fois que vous effectuez une opération de portefeuille, vérifiez attentivement l'opération que vous êtes en train d'exécuter.
Séparation des actifs : séparer les fonds importants du portefeuille utilisé au quotidien pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2 : soyez vigilant face aux demandes de signature contenant les champs suivants :
Interactif(交互网址)
Propriétaire(adresse de l'autorisateur)
Spender (adresse du mandataire)
Valeur (quantité autorisée)
Nonce (nombre aléatoire)
Date limite
En comprenant les principes de ces méthodes de phishing et en prenant les mesures de précaution appropriées, les utilisateurs peuvent mieux protéger la sécurité de leurs actifs numériques. Dans le monde du Web3, il est essentiel de rester vigilant et d'apprendre en continu.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
6
Reposter
Partager
Commentaire
0/400
GasOptimizer
· 08-09 19:28
Il est encore facile de résoudre le problème si les frais de gas sont épuisés, mais si vous vous faites avoir, c'est fini.
Voir l'originalRépondre0
LeverageAddict
· 08-09 18:30
Les accros aux prêts sont là~ encore perdus, snif
Voir l'originalRépondre0
rugpull_survivor
· 08-09 18:28
Peut-on encore demander ? On a tous été gravement trompés.
Voir l'originalRépondre0
Token_Sherpa
· 08-09 18:28
ugh... encore une semaine, un autre piège pour les débutants. quand les gens vont-ils apprendre à lire le manuel smh
Voir l'originalRépondre0
SurvivorshipBias
· 08-09 18:25
Portefeuille est complètement vide avant de réaliser cela.
Analyse complète du phishing par signature Web3 : analyse des principes et stratégies de prévention
Phishing par signature dans le Web3 : Analyse des principes et mesures de prévention
Récemment, le "phishing par signature" est devenu l'une des méthodes de fraude préférées des hackers Web3. Malgré les efforts constants des experts en sécurité et des entreprises de portefeuilles pour sensibiliser, de nombreux utilisateurs continuent d'être victimes chaque jour. L'une des principales raisons de ce phénomène est que la plupart des gens manquent de compréhension de la logique sous-jacente des interactions avec les portefeuilles, et qu'il y a une barrière d'apprentissage élevée pour les non-techniciens.
Pour aider un plus grand nombre de personnes à comprendre ce problème, cet article expliquera la logique sous-jacente du phishing par signature de manière claire et accessible.
Deux façons d'opérer un portefeuille
Lorsque nous utilisons un portefeuille Web3, nous avons principalement deux types d'opérations : "signature" et "interaction".
La signature est généralement utilisée pour l'authentification, comme la connexion à un portefeuille ou la connexion à un DApp. Ce processus n'a aucun impact sur les données de la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction implique des opérations réelles sur la blockchain. Par exemple, lors de l'échange de tokens sur un DEX, vous devez d'abord autoriser (approve) le contrat intelligent à utiliser vos tokens, puis effectuer l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.
Méthodes de phishing courantes
1. Phishing autorisé
C'est une méthode traditionnelle de phishing Web3. Les hackers créent un site Web apparemment légitime pour inciter les utilisateurs à effectuer des opérations d'autorisation. Lorsque les utilisateurs cliquent sur des boutons comme "Recevoir un airdrop", ils autorisent en réalité l'adresse du hacker à utiliser leurs jetons.
2. Permis de signature de phishing
Le Permis est une fonctionnalité d'extension de la norme ERC-20, permettant aux utilisateurs d'approuver d'autres personnes à utiliser leurs jetons par le biais d'une signature. Les hackers peuvent inciter les utilisateurs à signer ce type de permis, puis utiliser cette signature pour transférer les actifs de l'utilisateur.
3. Phishing par signature Permit2
Permit2 est une fonctionnalité lancée par un certain DEX pour simplifier les opérations des utilisateurs. Elle permet aux utilisateurs d'autoriser une grande limite en une seule fois, après quoi il leur suffit de signer pour effectuer des transactions. Cependant, si un utilisateur a déjà utilisé ce DEX et a accordé une limite illimitée, un hacker peut exploiter ce mécanisme pour transférer les actifs de l'utilisateur.
Mesures de prévention
Développer la sensibilisation à la sécurité : chaque fois que vous effectuez une opération de portefeuille, vérifiez attentivement l'opération que vous êtes en train d'exécuter.
Séparation des actifs : séparer les fonds importants du portefeuille utilisé au quotidien pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2 : soyez vigilant face aux demandes de signature contenant les champs suivants :
En comprenant les principes de ces méthodes de phishing et en prenant les mesures de précaution appropriées, les utilisateurs peuvent mieux protéger la sécurité de leurs actifs numériques. Dans le monde du Web3, il est essentiel de rester vigilant et d'apprendre en continu.