Подпись фишинга в Web3: анализ принципов и меры профилактики
В последнее время «фишинг с помощью подписей» стал одним из самых любимых методов мошенничества среди хакеров Web3. Несмотря на то что эксперты по безопасности и компании по производству кошельков постоянно занимаются просвещением, каждый день множество пользователей становятся жертвами. Одной из основных причин этого явления является то, что большинство людей не понимают основную логику взаимодействия с кошельком, а для не технических специалистов порог вхождения слишком высок.
Для того чтобы помочь большему числу людей понять эту проблему, в данной статье будет объяснена основная логика подписного фишинга простым и понятным языком.
Два способа управления кошельком
При использовании Web3-кошелька у нас есть два основных действия: "подпись" и "взаимодействие".
Подпись: происходит вне блокчейна (off-chain), не требует оплаты Gas.
Взаимодействие: происходит на блокчейне (онлайн), требует оплаты Gas.
Подпись обычно используется для аутентификации, например, при входе в кошелек или подключении к DApp. Этот процесс не влияет на данные блокчейна, поэтому не требуется оплата.
Взаимодействие включает в себя реальные операции с блокчейном. Например, при обмене токенов на DEX вам сначала нужно разрешить (approve) смарт-контракту использовать ваши токены, а затем выполнить фактическую операцию обмена. За оба этих этапа необходимо оплатить газ.
Распространенные способы фишинга
1. Авторизация фишинга
Это традиционный метод фишинга в Web3. Хакеры создают сайт, который выглядит легитимным, чтобы заманить пользователей в авторизацию. Когда пользователь нажимает на кнопки, такие как "Получить аирдроп", на самом деле он авторизует адрес хакера на использование своих токенов.
2. Подпись разрешения Фишинг
Permit - это расширенная функция стандарта ERC-20, позволяющая пользователям одобрять других для использования своих токенов с помощью подписи. Хакеры могут склонить пользователя к подписанию такого разрешения, а затем использовать эту подпись для перевода активов пользователя.
3. Фишинг подписей Permit2
Permit2 — это функция, разработанная некоторыми DEX для упрощения операций пользователей. Она позволяет пользователям один раз предоставить большое разрешение, после чего для проведения сделок требуется лишь подпись. Однако, если пользователь ранее использовал этот DEX и предоставил неограниченное разрешение, хакеры могут использовать этот механизм для перемещения активов пользователя.
Меры предосторожности
Формирование осознания безопасности: внимательно проверяйте действия, которые вы выполняете, каждый раз, когда работаете с кошельком.
Разделение активов: отделите крупные суммы денег от кошелька, который используется для повседневных расходов, чтобы снизить потенциальные потери.
Научитесь распознавать формат подписи Permit и Permit2: будьте осторожны с запросами на подпись, содержащими следующие поля:
Интерактивный(交互网址)
Владелец(адрес уполномоченного лица)
Spender (адрес уполномоченного лица)
Значение(授权数量)
Нонс (случайное число)
Срок (время истечения)
Понимая принципы этих методов фишинга и принимая соответствующие меры предосторожности, пользователи могут лучше защитить свою цифровую безопасность активов. В мире Web3 крайне важно сохранять бдительность и постоянно учиться.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
6
Репост
Поделиться
комментарий
0/400
GasOptimizer
· 08-09 19:28
Газ费用 закончились, это еще легко решить, но если попался на крючок, то это уже беда.
Посмотреть ОригиналОтветить0
LeverageAddict
· 08-09 18:30
Заемщики зависимы, давай~ опять потеряли, увы.
Посмотреть ОригиналОтветить0
rugpull_survivor
· 08-09 18:28
Можно еще спросить? Всё уже так плохо.
Посмотреть ОригиналОтветить0
Token_Sherpa
· 08-09 18:28
ух... ещё одна неделя, ещё одна ловушка для новичков. когда люди научатся читать инструкцию, качая головой.
Посмотреть ОригиналОтветить0
SurvivorshipBias
· 08-09 18:25
Кошелек был опустошен, только тогда я понял, что нужно смотреть на это
Полный анализ фишинга с использованием подписей Web3: разбор принципов и стратегии защиты
Подпись фишинга в Web3: анализ принципов и меры профилактики
В последнее время «фишинг с помощью подписей» стал одним из самых любимых методов мошенничества среди хакеров Web3. Несмотря на то что эксперты по безопасности и компании по производству кошельков постоянно занимаются просвещением, каждый день множество пользователей становятся жертвами. Одной из основных причин этого явления является то, что большинство людей не понимают основную логику взаимодействия с кошельком, а для не технических специалистов порог вхождения слишком высок.
Для того чтобы помочь большему числу людей понять эту проблему, в данной статье будет объяснена основная логика подписного фишинга простым и понятным языком.
Два способа управления кошельком
При использовании Web3-кошелька у нас есть два основных действия: "подпись" и "взаимодействие".
Подпись обычно используется для аутентификации, например, при входе в кошелек или подключении к DApp. Этот процесс не влияет на данные блокчейна, поэтому не требуется оплата.
Взаимодействие включает в себя реальные операции с блокчейном. Например, при обмене токенов на DEX вам сначала нужно разрешить (approve) смарт-контракту использовать ваши токены, а затем выполнить фактическую операцию обмена. За оба этих этапа необходимо оплатить газ.
Распространенные способы фишинга
1. Авторизация фишинга
Это традиционный метод фишинга в Web3. Хакеры создают сайт, который выглядит легитимным, чтобы заманить пользователей в авторизацию. Когда пользователь нажимает на кнопки, такие как "Получить аирдроп", на самом деле он авторизует адрес хакера на использование своих токенов.
2. Подпись разрешения Фишинг
Permit - это расширенная функция стандарта ERC-20, позволяющая пользователям одобрять других для использования своих токенов с помощью подписи. Хакеры могут склонить пользователя к подписанию такого разрешения, а затем использовать эту подпись для перевода активов пользователя.
3. Фишинг подписей Permit2
Permit2 — это функция, разработанная некоторыми DEX для упрощения операций пользователей. Она позволяет пользователям один раз предоставить большое разрешение, после чего для проведения сделок требуется лишь подпись. Однако, если пользователь ранее использовал этот DEX и предоставил неограниченное разрешение, хакеры могут использовать этот механизм для перемещения активов пользователя.
Меры предосторожности
Формирование осознания безопасности: внимательно проверяйте действия, которые вы выполняете, каждый раз, когда работаете с кошельком.
Разделение активов: отделите крупные суммы денег от кошелька, который используется для повседневных расходов, чтобы снизить потенциальные потери.
Научитесь распознавать формат подписи Permit и Permit2: будьте осторожны с запросами на подпись, содержащими следующие поля:
Понимая принципы этих методов фишинга и принимая соответствующие меры предосторожности, пользователи могут лучше защитить свою цифровую безопасность активов. В мире Web3 крайне важно сохранять бдительность и постоянно учиться.