Підписний фішинг у Web3: аналіз принципів та заходи запобігання
Нещодавно "фішинг через підпис" став одним з найулюбленіших методів шахрайства серед хакерів Web3. Незважаючи на те, що фахівці з безпеки та компанії, що займаються гаманцями, постійно проводять просвітницьку роботу, щодня все ще багато користувачів стають жертвами. Однією з основних причин цього явища є те, що більшість людей не розуміють основну логіку взаємодії з гаманцями і для нетехнічних користувачів навчання є досить складним.
Щоб допомогти більшій кількості людей зрозуміти це питання, у цій статті буде зрозуміло і доступно пояснено базову логіку фішингу підписів.
Два способи роботи з гаманцем
При використанні Web3 гаманця у нас є два основні дії: "підпис" та "взаємодія".
Підпис: відбувається поза блокчейном (поза ланцюгом), не потребує сплати Gas-кошту.
Взаємодія: відбувається в блокчейні (на ланцюгу), потрібно сплатити Gas-кошти.
Підпис зазвичай використовується для автентифікації, наприклад, для входу в гаманець або підключення до DApp. Цей процес не вплине на дані блокчейну, тому плата не стягується.
Інтеракція включає в себе фактичні операції з блокчейн. Наприклад, під час обміну токенів на певному DEX вам спочатку потрібно надати дозвіл (approve) смарт-контракту використовувати ваші токени, а потім виконати фактичну операцію обміну. Обидва ці етапи потребують сплати Gas-кошту.
Поширені способи фішингу
1. Авторизація фішингу
Це традиційний метод фішингу у Web3. Хакери створюють сайт, що виглядає легітимно, щоб спонукати користувачів до авторизаційних дій. Коли користувач натискає кнопку "Отримати аеродроп" та інші, насправді вони авторизують адресу хакера для використання своїх токенів.
2. Дозвіл підпису фішинг
Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам схвалювати інших для використання своїх токенів за допомогою підпису. Хакери можуть спонукати користувачів підписати таке дозволення, а потім використовувати цей підпис для переміщення активів користувача.
3. Фішинг підпису Permit2
Permit2 - це функція, яку деякі DEX впровадили для спрощення користувацьких операцій. Вона дозволяє користувачам одноразово надавати великі обсяги дозволу, після чого для здійснення угод потрібен лише підпис. Однак, якщо користувач колись використовував цей DEX і надав безкінечний обсяг дозволу, зловмисники можуть скористатися цим механізмом для переміщення активів користувача.
Заходи безпеки
Виховувати обізнаність про безпеку: щоразу, виконуючи операції з гаманцем, уважно перевіряйте, які дії ви виконуєте.
Розділення активів: відокремте великі кошти від повсякденного гаманця, щоб знизити потенційні втрати.
Навчіться розпізнавати формати підписів Permit і Permit2: остерігайтеся підписних запитів, що містять такі поля:
Інтерактивний(交互网址)
Власник(адреса уповноваженої особи)
Спендер(被授权方地址)
Значення(授权数量)
Нонсе (випадкове число)
Крайній термін(过期时间)
Зрозумівши принципи цих фішингових методів і вживаючи відповідних запобіжних заходів, користувачі можуть краще захистити свою цифрову власність. У світі Web3 важливо залишатися пильними та постійно вчитися.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
6
Репост
Поділіться
Прокоментувати
0/400
GasOptimizer
· 22год тому
газ не проблема, вирішимо. Якщо вас обманули, то це вже погано.
Переглянути оригіналвідповісти на0
LeverageAddict
· 23год тому
Залежні від позик, приходьте~ знову втратили, уу
Переглянути оригіналвідповісти на0
rugpull_survivor
· 23год тому
Чи можна ще запитати? Вже всі сильно обмануті.
Переглянути оригіналвідповісти на0
Token_Sherpa
· 23год тому
фу... ще один тиждень, ще одна пастка для новачків. коли люди навчаться читати документацію, смх
Переглянути оригіналвідповісти на0
SurvivorshipBias
· 23год тому
Гаманець вже був вичерпаний, тільки тоді зрозумів, що варто дивитися на це.
Повний аналіз фішингу підписів Web3: розбір принципів і стратегії запобігання
Підписний фішинг у Web3: аналіз принципів та заходи запобігання
Нещодавно "фішинг через підпис" став одним з найулюбленіших методів шахрайства серед хакерів Web3. Незважаючи на те, що фахівці з безпеки та компанії, що займаються гаманцями, постійно проводять просвітницьку роботу, щодня все ще багато користувачів стають жертвами. Однією з основних причин цього явища є те, що більшість людей не розуміють основну логіку взаємодії з гаманцями і для нетехнічних користувачів навчання є досить складним.
Щоб допомогти більшій кількості людей зрозуміти це питання, у цій статті буде зрозуміло і доступно пояснено базову логіку фішингу підписів.
Два способи роботи з гаманцем
При використанні Web3 гаманця у нас є два основні дії: "підпис" та "взаємодія".
Підпис зазвичай використовується для автентифікації, наприклад, для входу в гаманець або підключення до DApp. Цей процес не вплине на дані блокчейну, тому плата не стягується.
Інтеракція включає в себе фактичні операції з блокчейн. Наприклад, під час обміну токенів на певному DEX вам спочатку потрібно надати дозвіл (approve) смарт-контракту використовувати ваші токени, а потім виконати фактичну операцію обміну. Обидва ці етапи потребують сплати Gas-кошту.
Поширені способи фішингу
1. Авторизація фішингу
Це традиційний метод фішингу у Web3. Хакери створюють сайт, що виглядає легітимно, щоб спонукати користувачів до авторизаційних дій. Коли користувач натискає кнопку "Отримати аеродроп" та інші, насправді вони авторизують адресу хакера для використання своїх токенів.
2. Дозвіл підпису фішинг
Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам схвалювати інших для використання своїх токенів за допомогою підпису. Хакери можуть спонукати користувачів підписати таке дозволення, а потім використовувати цей підпис для переміщення активів користувача.
3. Фішинг підпису Permit2
Permit2 - це функція, яку деякі DEX впровадили для спрощення користувацьких операцій. Вона дозволяє користувачам одноразово надавати великі обсяги дозволу, після чого для здійснення угод потрібен лише підпис. Однак, якщо користувач колись використовував цей DEX і надав безкінечний обсяг дозволу, зловмисники можуть скористатися цим механізмом для переміщення активів користувача.
Заходи безпеки
Виховувати обізнаність про безпеку: щоразу, виконуючи операції з гаманцем, уважно перевіряйте, які дії ви виконуєте.
Розділення активів: відокремте великі кошти від повсякденного гаманця, щоб знизити потенційні втрати.
Навчіться розпізнавати формати підписів Permit і Permit2: остерігайтеся підписних запитів, що містять такі поля:
Зрозумівши принципи цих фішингових методів і вживаючи відповідних запобіжних заходів, користувачі можуть краще захистити свою цифрову власність. У світі Web3 важливо залишатися пильними та постійно вчитися.