Phishing de firmas Web3: Análisis de la lógica subyacente y guía de prevención
Recientemente, el "phishing por firma" se ha convertido en el método de ataque favorito de los hackers de Web3. A pesar de que los expertos en seguridad y las empresas de billeteras continúan educando al público, cada día todavía hay muchos usuarios que caen en la trampa. Esto se debe principalmente a que la mayoría de las personas carecen de comprensión sobre los mecanismos subyacentes de la interacción con billeteras, y el umbral de aprendizaje es bastante alto para las personas no técnicas.
Para que más personas comprendan este problema, este artículo analizará la lógica subyacente de la pesca de firmas de una manera clara y comprensible.
Primero, necesitamos entender que hay dos operaciones básicas al usar una billetera: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena y no requiere pagar tarifas de Gas; mientras que la interacción ocurre en la cadena y requiere pagar tarifas de Gas.
La firma se utiliza comúnmente para la verificación de identidad, como iniciar sesión en una billetera o conectarse a una DApp. Este proceso no altera los datos de la blockchain, por lo que no es necesario pagar una tarifa.
La interacción implica operaciones reales en la cadena. Tomando como ejemplo el intercambio de tokens en un DEX, primero necesitas autorizar al contrato inteligente para usar tus tokens y luego ejecutar la operación de intercambio. Ambos pasos requieren el pago de tarifas de Gas.
Después de entender la diferencia entre la firma y la interacción, veamos tres métodos comunes de phishing: phishing por autorización, phishing por firma de Permiso y phishing por firma de Permiso2.
La pesca autorizada utiliza el mecanismo de autorización de contratos inteligentes. Los hackers crean un sitio web atractivo para engañar a los usuarios y hacer que hagan clic en botones como "Reclamar airdrop", lo que en realidad les permite autorizar la dirección del hacker a operar con sus tokens. Este método requiere el pago de tarifas de Gas, por lo que los usuarios pueden estar más alerta.
La pesca de firmas Permit y Permit2 es más difícil de prevenir. Permit es una función extendida del estándar ERC-20 que permite a los usuarios autorizar a otros a operar con sus tokens a través de una firma. Permit2 es una función lanzada por un DEX, diseñada para simplificar el proceso de operación del usuario. Ambos métodos de pesca no requieren que los usuarios paguen tarifas de Gas, lo que facilita que las personas se relajen.
Los hackers pueden falsificar sitios web y reemplazar el botón de inicio de sesión por una solicitud de firma de Permit o Permit2. Una vez que el usuario firma, el hacker puede obtener permiso para operar los activos del usuario.
¿Cómo prevenir estos ataques de phishing?
Cultivar la conciencia de seguridad, siempre revisa cuidadosamente cada vez que operes la billetera.
Separar grandes sumas de dinero de la billetera de uso diario para reducir las pérdidas potenciales.
Aprender a identificar el formato de firma de Permit y Permit2, y estar especialmente alerta cuando se vea el siguiente contenido:
Interactivo:sitio web interactivo
Owner:Dirección del otorgante
Spender: dirección del autorizado
Valor:Cantidad autorizada
Nonce: número aleatorio
Deadline:fecha de vencimiento
Al comprender estos mecanismos subyacentes y las medidas de prevención, podemos proteger mejor la seguridad de nuestros activos de Web3.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
17 me gusta
Recompensa
17
5
Republicar
Compartir
Comentar
0/400
GhostAddressHunter
· 08-15 12:39
Si hubieran dicho antes que la transacción de pesca requiere gas, nadie habría caído en la trampa~
Ver originalesResponder0
TokenVelocity
· 08-15 03:35
Entrar es ser pescado, hay demasiados novatos.
Ver originalesResponder0
TopBuyerBottomSeller
· 08-13 04:01
Otra vez he sido víctima, he perdido tanto que ni siquiera tengo calzoncillos.
Ver originalesResponder0
CommunitySlacker
· 08-13 04:00
Solo se entiende después de haber sido engañado, la cicatriz es la mejor maestra.
Ver originalesResponder0
NestedFox
· 08-13 03:59
Otra vez haciendo divulgación, mejor sería hacer una demostración directa.
Análisis completo de los ataques de phishing con firmas Web3: análisis de principios y estrategias de prevención
Phishing de firmas Web3: Análisis de la lógica subyacente y guía de prevención
Recientemente, el "phishing por firma" se ha convertido en el método de ataque favorito de los hackers de Web3. A pesar de que los expertos en seguridad y las empresas de billeteras continúan educando al público, cada día todavía hay muchos usuarios que caen en la trampa. Esto se debe principalmente a que la mayoría de las personas carecen de comprensión sobre los mecanismos subyacentes de la interacción con billeteras, y el umbral de aprendizaje es bastante alto para las personas no técnicas.
Para que más personas comprendan este problema, este artículo analizará la lógica subyacente de la pesca de firmas de una manera clara y comprensible.
Primero, necesitamos entender que hay dos operaciones básicas al usar una billetera: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena y no requiere pagar tarifas de Gas; mientras que la interacción ocurre en la cadena y requiere pagar tarifas de Gas.
La firma se utiliza comúnmente para la verificación de identidad, como iniciar sesión en una billetera o conectarse a una DApp. Este proceso no altera los datos de la blockchain, por lo que no es necesario pagar una tarifa.
La interacción implica operaciones reales en la cadena. Tomando como ejemplo el intercambio de tokens en un DEX, primero necesitas autorizar al contrato inteligente para usar tus tokens y luego ejecutar la operación de intercambio. Ambos pasos requieren el pago de tarifas de Gas.
Después de entender la diferencia entre la firma y la interacción, veamos tres métodos comunes de phishing: phishing por autorización, phishing por firma de Permiso y phishing por firma de Permiso2.
La pesca autorizada utiliza el mecanismo de autorización de contratos inteligentes. Los hackers crean un sitio web atractivo para engañar a los usuarios y hacer que hagan clic en botones como "Reclamar airdrop", lo que en realidad les permite autorizar la dirección del hacker a operar con sus tokens. Este método requiere el pago de tarifas de Gas, por lo que los usuarios pueden estar más alerta.
La pesca de firmas Permit y Permit2 es más difícil de prevenir. Permit es una función extendida del estándar ERC-20 que permite a los usuarios autorizar a otros a operar con sus tokens a través de una firma. Permit2 es una función lanzada por un DEX, diseñada para simplificar el proceso de operación del usuario. Ambos métodos de pesca no requieren que los usuarios paguen tarifas de Gas, lo que facilita que las personas se relajen.
Los hackers pueden falsificar sitios web y reemplazar el botón de inicio de sesión por una solicitud de firma de Permit o Permit2. Una vez que el usuario firma, el hacker puede obtener permiso para operar los activos del usuario.
¿Cómo prevenir estos ataques de phishing?
Al comprender estos mecanismos subyacentes y las medidas de prevención, podemos proteger mejor la seguridad de nuestros activos de Web3.