Phishing de assinatura no Web3: análise do princípio e medidas de prevenção
Recentemente, a "phishing via assinatura" tornou-se um dos métodos de fraude mais populares entre os hackers do Web3. Apesar de especialistas em segurança e empresas de carteiras estarem constantemente educando o público, ainda há muitos usuários que se tornam vítimas todos os dias. Uma das principais razões para esse fenômeno é que a maioria das pessoas carece de compreensão sobre a lógica subjacente das interações com carteiras, e o nível de dificuldade para aprender é alto para pessoas não técnicas.
Para ajudar mais pessoas a entender este problema, este artigo explicará a lógica subjacente à phishing de assinatura de uma maneira simples e acessível.
Duas maneiras de operar a carteira
Ao usar uma carteira Web3, temos principalmente duas operações: "assinatura" e "interação".
Assinatura: ocorre fora da blockchain (off-chain), não requer pagamento de Gas.
Interação: ocorre na blockchain (on-chain), requer o pagamento de taxa de Gas.
A assinatura é geralmente usada para autenticação, como ao fazer login em uma carteira ou conectar-se a um DApp. Este processo não afeta os dados da blockchain, portanto, não há necessidade de pagar taxas.
A interação envolve operações reais na blockchain. Por exemplo, ao trocar tokens em um DEX, você precisa primeiro autorizar (approve) o contrato inteligente a usar seus tokens, e em seguida, executar a operação de troca real. Ambas as etapas requerem o pagamento de taxas de Gas.
Formas Comuns de Phishing
1. Autorização de Phishing
Esta é uma técnica tradicional de phishing em Web3. Os hackers criam um site que parece legítimo, induzindo os usuários a realizar operações de autorização. Quando os usuários clicam em botões como "recolher airdrop", na verdade estão autorizando o endereço do hacker a usar seus tokens.
2. Permissão de assinatura de phishing
Permit é uma função de extensão do padrão ERC-20 que permite aos usuários aprovar outras pessoas a usar seus tokens através de uma assinatura. Hackers podem induzir os usuários a assinar essa permissão e, em seguida, usar essa assinatura para transferir os ativos dos usuários.
3. Permissão2 phishing de assinatura
Permit2 é uma funcionalidade lançada por um determinado DEX para simplificar as operações dos usuários. Permite que os usuários autorizem um grande montante de uma só vez, após o que só precisam assinar para realizar transações. No entanto, se o usuário já utilizou esse DEX e concedeu um limite infinito, os hackers podem explorar esse mecanismo para transferir os ativos do usuário.
Medidas de Prevenção
Cultivar a consciência de segurança: a cada vez que realizar operações na carteira, verifique cuidadosamente a operação que está a executar.
Separação de ativos: manter grandes quantias de dinheiro separadas da carteira usada no dia a dia, a fim de reduzir perdas potenciais.
Aprenda a reconhecer o formato de assinatura do Permit e Permit2: esteja atento a solicitações de assinatura que contenham os seguintes campos:
Interativo(交互网址)
Proprietário (Endereço do autorizador)
Spender (endereço autorizado)
Valor (quantidade autorizada)
Nonce (número aleatório)
Prazo (data de validade)
Ao compreender os princípios dessas táticas de phishing e adotar medidas de prevenção adequadas, os usuários podem proteger melhor a segurança dos seus ativos digitais. No mundo Web3, manter-se alerta e continuar a aprender é fundamental.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
11 gostos
Recompensa
11
6
Republicar
Partilhar
Comentar
0/400
GasOptimizer
· 08-09 19:28
O gás acabou, mas isso é fácil de resolver. Se fui enganado, então já era.
Ver originalResponder0
LeverageAddict
· 08-09 18:30
Os viciados em empréstimos estão aqui~ Estou a perder dinheiro, uhuu
Ver originalResponder0
rugpull_survivor
· 08-09 18:28
Posso perguntar mais? Já fui enganado horrivelmente.
Ver originalResponder0
Token_Sherpa
· 08-09 18:28
ugh... mais uma semana, mais uma armadilha para iniciantes. quando é que as pessoas vão aprender a rtfm smh
Análise completa de phishing com assinatura Web3: Análise do princípio e estratégias de prevenção
Phishing de assinatura no Web3: análise do princípio e medidas de prevenção
Recentemente, a "phishing via assinatura" tornou-se um dos métodos de fraude mais populares entre os hackers do Web3. Apesar de especialistas em segurança e empresas de carteiras estarem constantemente educando o público, ainda há muitos usuários que se tornam vítimas todos os dias. Uma das principais razões para esse fenômeno é que a maioria das pessoas carece de compreensão sobre a lógica subjacente das interações com carteiras, e o nível de dificuldade para aprender é alto para pessoas não técnicas.
Para ajudar mais pessoas a entender este problema, este artigo explicará a lógica subjacente à phishing de assinatura de uma maneira simples e acessível.
Duas maneiras de operar a carteira
Ao usar uma carteira Web3, temos principalmente duas operações: "assinatura" e "interação".
A assinatura é geralmente usada para autenticação, como ao fazer login em uma carteira ou conectar-se a um DApp. Este processo não afeta os dados da blockchain, portanto, não há necessidade de pagar taxas.
A interação envolve operações reais na blockchain. Por exemplo, ao trocar tokens em um DEX, você precisa primeiro autorizar (approve) o contrato inteligente a usar seus tokens, e em seguida, executar a operação de troca real. Ambas as etapas requerem o pagamento de taxas de Gas.
Formas Comuns de Phishing
1. Autorização de Phishing
Esta é uma técnica tradicional de phishing em Web3. Os hackers criam um site que parece legítimo, induzindo os usuários a realizar operações de autorização. Quando os usuários clicam em botões como "recolher airdrop", na verdade estão autorizando o endereço do hacker a usar seus tokens.
2. Permissão de assinatura de phishing
Permit é uma função de extensão do padrão ERC-20 que permite aos usuários aprovar outras pessoas a usar seus tokens através de uma assinatura. Hackers podem induzir os usuários a assinar essa permissão e, em seguida, usar essa assinatura para transferir os ativos dos usuários.
3. Permissão2 phishing de assinatura
Permit2 é uma funcionalidade lançada por um determinado DEX para simplificar as operações dos usuários. Permite que os usuários autorizem um grande montante de uma só vez, após o que só precisam assinar para realizar transações. No entanto, se o usuário já utilizou esse DEX e concedeu um limite infinito, os hackers podem explorar esse mecanismo para transferir os ativos do usuário.
Medidas de Prevenção
Cultivar a consciência de segurança: a cada vez que realizar operações na carteira, verifique cuidadosamente a operação que está a executar.
Separação de ativos: manter grandes quantias de dinheiro separadas da carteira usada no dia a dia, a fim de reduzir perdas potenciais.
Aprenda a reconhecer o formato de assinatura do Permit e Permit2: esteja atento a solicitações de assinatura que contenham os seguintes campos:
Ao compreender os princípios dessas táticas de phishing e adotar medidas de prevenção adequadas, os usuários podem proteger melhor a segurança dos seus ativos digitais. No mundo Web3, manter-se alerta e continuar a aprender é fundamental.