This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Web3サインフィッシングの原理の図解:承認、PermitおよびPermit2の防止ガイド
Web3サインフィッシングの原理の図解:承認、PermitとPermit2
署名フィッシングは、Web3ハッカーが最も一般的に使用する手法の1つとなりつつあります。セキュリティ専門家が関連知識を絶えず宣伝しているにもかかわらず、毎日多くのユーザーが罠にかかっています。この状況を引き起こす主な理由の1つは、ほとんどの人がウォレットの相互作用の根底にある論理を理解しておらず、非技術者にとって学ぶハードルが高いためです。
このため、私たちは図解を通じて署名フィッシングの基礎原理を分かりやすく説明し、普通のユーザーにもそのリスクを理解してもらえるように最も簡単な言葉を使おうとしています。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
まず、私たちはウォレットを使用する際の2つの基本操作を理解する必要があります:"署名"と"インタラクション"。簡単に言うと、署名はブロックチェーンの外(オフチェーン)で行われ、Gas代を支払う必要はありません。一方、インタラクションはブロックチェーン上(オンチェーン)で行われ、Gas代を支払う必要があります。
署名の典型的なシーンは、認証、例えば特定の分散型アプリケーション(DApp)へのログインです。例えば、DEXでトークンを交換したい場合、まずウォレットを接続し、署名して、"私はこのウォレットの所有者です"ということをウェブサイトに証明する必要があります。このプロセスはブロックチェーン上のデータや状態を変更しないため、料金を支払う必要はありません。
対照的に、インタラクションは実際のオンチェーン操作を含みます。あるDEXでトークンを交換する例を挙げると、まず手数料を支払い、DEXのスマートコントラクトがあなたのトークンを使用できるように承認する必要があります(このステップは「承認」または「approve」と呼ばれます)。次に、実際の交換操作を実行するために、さらに手数料を支払う必要があります。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
これらの基本概念を理解した後、いくつかの一般的なフィッシング手法を見てみましょう:
しかし、承認フィッシングにはGas代がかかるため、多くのユーザーはお金の操作に関してより慎重になるため、この方法は相対的に防ぎやすい。
ハッカーは偽のウェブサイトを通じて、正常なウォレット接続操作をPermitフィッシングに置き換え、ユーザーに署名させることで、その資産へのアクセスを得ることができます。
しかし、ユーザーが以前にそのDEXを使用し、無制限の権限を付与していた場合(これは通常の設定です)、Permit2フィッシングのターゲットになる可能性があります。ハッカーはユーザーに署名させるだけで、彼らが許可したトークンを移転することができます。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
これらのフィッシングリスクを防ぐために、ユーザーは以下のことを行うべきです:
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:許可されたフィッシング、Permit、Permit2の違い
これらの基本的な原理と防止策を理解することで、ユーザーは自分のデジタル資産をよりよく保護し、ハッカーの罠に陥るのを避けることができます。