Diagrama do princípio de phishing de assinatura Web3: Autorização, Permissão e Permissão2
A pesca por assinatura está se tornando uma das táticas mais comuns entre os hackers do Web3. Embora os especialistas em segurança continuem promovendo o conhecimento relacionado, muitos usuários ainda caem em armadilhas todos os dias. Uma das principais razões para isso é que a maioria das pessoas carece de compreensão sobre a lógica subjacente das interações com carteiras, e a barreira de aprendizado é alta para não técnicos.
Para isso, vamos explicar os princípios subjacentes da pesca de assinatura de forma clara e acessível através de ilustrações, tentando usar a linguagem mais simples para que os usuários comuns também possam entender os riscos envolvidos.
Primeiro, precisamos entender duas operações básicas ao usar uma carteira: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), sem necessidade de pagar taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando o pagamento das taxas de Gas.
Um cenário típico de assinatura é a autenticação, como o login em uma aplicação descentralizada (DApp). Por exemplo, quando você deseja trocar tokens em uma DEX, primeiro precisa conectar a carteira e assinar, para provar ao site "Eu sou o proprietário desta carteira". Este processo não altera nenhum dado ou estado na blockchain, portanto, não é necessário pagar taxas.
Em comparação, a interação envolve operações reais na cadeia. Tomando como exemplo a troca de tokens em um DEX, você precisa primeiro pagar uma taxa, autorizando o contrato inteligente do DEX a usar seus tokens (este passo é conhecido como "autorização" ou "approve"). Em seguida, você também precisará pagar uma taxa para executar a operação de troca real.
Depois de entender esses conceitos básicos, vamos dar uma olhada em algumas formas comuns de phishing:
Phishing autorizado:
Esta é uma técnica tradicional de phishing em Web3. Os hackers criam um site elegante disfarçado de projeto NFT, incentivando os usuários a clicar em botões como "reivindicar airdrop". Na verdade, após clicar, os usuários serão solicitados a autorizar seus tokens para o endereço do hacker. Uma vez que o usuário confirma, o hacker pode obter o controle de seus ativos.
No entanto, como a autorização de phishing requer o pagamento de taxas de Gas, muitos usuários tendem a ser mais cautelosos ao realizar operações financeiras, tornando esse método relativamente fácil de prevenir.
Phishing com assinatura de Permissão:
Permit é uma funcionalidade de extensão de autorização sob o padrão ERC-20. Permite que os usuários aprovem outras pessoas a utilizarem seus tokens através de uma assinatura, sem a necessidade de interação direta na blockchain. Em termos simples, é como assinar um "bilhete", permitindo que alguém utilize seus tokens. A pessoa que possui esse "bilhete" pode provar sua autorização ao contrato inteligente, permitindo a transferência dos seus ativos.
Os hackers podem substituir as operações de conexão de carteira normais por phishing Permit através de sites falsificados, induzindo os usuários a assinar, obtendo assim controle sobre os seus ativos.
Phishing com assinatura Permit2:
Permit2 não é uma funcionalidade padrão do ERC-20, mas sim uma característica introduzida por algumas DEXs para melhorar a experiência do usuário. Permite que os usuários concedam uma grande quantidade de permissões de uma só vez, após o que cada transação requer apenas uma assinatura, sem necessidade de autorização repetida. Isso pode economizar custos de Gas e aumentar a eficiência das transações.
No entanto, se o usuário já usou essa DEX e concedeu permissões de limite infinito (o que geralmente é a configuração padrão), pode se tornar um alvo de phishing do Permit2. Os hackers apenas precisam induzir o usuário a assinar, podendo assim transferir os tokens que ele autorizou.
Para prevenir esses riscos de phishing, os usuários devem:
Cultivar a consciência de segurança, verificando cuidadosamente o conteúdo específico a cada operação da carteira.
Separe os principais fundos da carteira usada diariamente para reduzir perdas potenciais.
Aprenda a identificar os formatos de assinatura do Permit e Permit2, prestando especial atenção aos pedidos de assinatura que incluem os seguintes campos:
Interativo: URL de interação
Proprietário:Endereço do autorizador
Spender: endereço do autorizado
Valor:Quantidade autorizada
Nonce: número aleatório
Prazo: Data de expiração
Ao entender esses princípios subjacentes e medidas de prevenção, os usuários podem proteger melhor seus ativos digitais e evitar cair nas armadilhas dos hackers.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
14 Curtidas
Recompensa
14
6
Compartilhar
Comentário
0/400
MonkeySeeMonkeyDo
· 07-04 17:14
Novato必看insights valiosos文
Ver originalResponder0
CryptoSurvivor
· 07-03 19:45
insights valiosos必收藏
Ver originalResponder0
ImpermanentPhilosopher
· 07-02 21:55
subir conhecimento ainda ou
Ver originalResponder0
TokenVelocityTrauma
· 07-02 03:52
novato必学必看内容
Ver originalResponder0
ConsensusBot
· 07-02 03:36
Proteger a segurança da carteira é o mais importante
Ilustração do princípio de phishing com assinatura Web3: Guia de prevenção de autorização, Permit e Permit2
Diagrama do princípio de phishing de assinatura Web3: Autorização, Permissão e Permissão2
A pesca por assinatura está se tornando uma das táticas mais comuns entre os hackers do Web3. Embora os especialistas em segurança continuem promovendo o conhecimento relacionado, muitos usuários ainda caem em armadilhas todos os dias. Uma das principais razões para isso é que a maioria das pessoas carece de compreensão sobre a lógica subjacente das interações com carteiras, e a barreira de aprendizado é alta para não técnicos.
Para isso, vamos explicar os princípios subjacentes da pesca de assinatura de forma clara e acessível através de ilustrações, tentando usar a linguagem mais simples para que os usuários comuns também possam entender os riscos envolvidos.
Primeiro, precisamos entender duas operações básicas ao usar uma carteira: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), sem necessidade de pagar taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando o pagamento das taxas de Gas.
Um cenário típico de assinatura é a autenticação, como o login em uma aplicação descentralizada (DApp). Por exemplo, quando você deseja trocar tokens em uma DEX, primeiro precisa conectar a carteira e assinar, para provar ao site "Eu sou o proprietário desta carteira". Este processo não altera nenhum dado ou estado na blockchain, portanto, não é necessário pagar taxas.
Em comparação, a interação envolve operações reais na cadeia. Tomando como exemplo a troca de tokens em um DEX, você precisa primeiro pagar uma taxa, autorizando o contrato inteligente do DEX a usar seus tokens (este passo é conhecido como "autorização" ou "approve"). Em seguida, você também precisará pagar uma taxa para executar a operação de troca real.
Depois de entender esses conceitos básicos, vamos dar uma olhada em algumas formas comuns de phishing:
No entanto, como a autorização de phishing requer o pagamento de taxas de Gas, muitos usuários tendem a ser mais cautelosos ao realizar operações financeiras, tornando esse método relativamente fácil de prevenir.
Os hackers podem substituir as operações de conexão de carteira normais por phishing Permit através de sites falsificados, induzindo os usuários a assinar, obtendo assim controle sobre os seus ativos.
No entanto, se o usuário já usou essa DEX e concedeu permissões de limite infinito (o que geralmente é a configuração padrão), pode se tornar um alvo de phishing do Permit2. Os hackers apenas precisam induzir o usuário a assinar, podendo assim transferir os tokens que ele autorizou.
Para prevenir esses riscos de phishing, os usuários devem:
Ao entender esses princípios subjacentes e medidas de prevenção, os usuários podem proteger melhor seus ativos digitais e evitar cair nas armadilhas dos hackers.