Phishing par signature Web3 : Analyse de la logique sous-jacente et guide de prévention
Récemment, la "phishing par signature" est devenue la méthode d'attaque préférée des hackers Web3. Malgré les efforts de vulgarisation des experts en sécurité et des entreprises de portefeuille, de nombreux utilisateurs tombent encore dans le piège chaque jour. Cela est principalement dû au fait que la plupart des gens manquent de compréhension des mécanismes sous-jacents des interactions avec les portefeuilles, et que le seuil d'apprentissage est assez élevé pour les non-techniciens.
Pour permettre à un plus grand nombre de personnes de comprendre cette question, cet article expliquera la logique sous-jacente de l'hameçonnage par signature d'une manière simple et accessible.
Tout d'abord, nous devons comprendre qu'il existe deux opérations de base lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit hors chaîne et ne nécessite pas de frais de Gas ; tandis que l'interaction se produit sur la chaîne et nécessite des frais de Gas.
La signature est généralement utilisée pour l'authentification, par exemple pour se connecter à un portefeuille ou se connecter à une DApp. Ce processus n'apporte aucune modification aux données de la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction implique des opérations réelles sur la chaîne. Prenons l'exemple de l'échange de jetons sur un DEX, vous devez d'abord autoriser le contrat intelligent à utiliser vos jetons, puis effectuer l'opération d'échange. Ces deux étapes nécessitent le paiement des frais de Gas.
Après avoir compris la différence entre la signature et l'interaction, examinons les trois types courants de phishing : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
L'hameçonnage autorisé exploite le mécanisme d'autorisation des contrats intelligents. Les hackers créent un site Web attrayant pour inciter les utilisateurs à cliquer sur des boutons comme "Recevoir l'airdrop", ce qui permet en réalité aux utilisateurs d'autoriser l'adresse des hackers à manipuler leurs jetons. Cette méthode nécessite le paiement des frais de Gas, ce qui peut amener les utilisateurs à être plus vigilants.
Il est donc plus difficile de se prémunir contre le phishing par signature Permit et Permit2. Permit est une fonctionnalité étendue de la norme ERC-20 qui permet aux utilisateurs d'autoriser d'autres à manipuler leurs tokens par une signature. Permit2 est une fonctionnalité lancée par un DEX, visant à simplifier le processus opérationnel pour les utilisateurs. Ces deux types de phishing ne nécessitent pas que les utilisateurs paient des frais de Gas, ce qui les rend plus susceptibles de baisser leur garde.
Les hackers peuvent falsifier des sites Web et remplacer le bouton de connexion par une demande de signature Permit ou Permit2. Une fois que l'utilisateur signe, le hacker peut obtenir l'autorisation d'opérer sur les actifs de l'utilisateur.
Comment se prémunir contre ces attaques par phishing ?
Développez une conscience de la sécurité, vérifiez attentivement chaque fois que vous utilisez votre portefeuille.
Séparez les fonds importants de votre portefeuille d'utilisation quotidienne pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2, et soyez particulièrement vigilant lorsque vous voyez le contenu suivant :
Interactif : URL d'interaction
Propriétaire : adresse de l'autorisateur
Spender : Adresse de la partie autorisée
Valeur : quantité autorisée
Nonce : nombre aléatoire
Deadline : date d'expiration
En comprenant ces mécanismes sous-jacents et ces mesures de prévention, nous pouvons mieux protéger la sécurité de nos actifs Web3.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
5
Reposter
Partager
Commentaire
0/400
GhostAddressHunter
· Il y a 3h
Si on avait dit plus tôt que la transaction de pêche nécessitait des frais de gas, personne ne se serait fait avoir~
Voir l'originalRépondre0
TokenVelocity
· Il y a 12h
Entrer, c'est se faire attraper par un poisson, il y a vraiment beaucoup de débutants.
Voir l'originalRépondre0
TopBuyerBottomSeller
· 08-13 04:01
Encore piégé, j'ai perdu jusqu'à mes sous-vêtements.
Voir l'originalRépondre0
CommunitySlacker
· 08-13 04:00
C'est en étant trompé qu'on comprend que la cicatrice est le meilleur enseignant.
Voir l'originalRépondre0
NestedFox
· 08-13 03:59
Encore une fois pour faire de la vulgarisation, autant passer directement à la démonstration.
Analyse complète des attaques de phishing par signature Web3 : analyse des principes et stratégies de prévention
Phishing par signature Web3 : Analyse de la logique sous-jacente et guide de prévention
Récemment, la "phishing par signature" est devenue la méthode d'attaque préférée des hackers Web3. Malgré les efforts de vulgarisation des experts en sécurité et des entreprises de portefeuille, de nombreux utilisateurs tombent encore dans le piège chaque jour. Cela est principalement dû au fait que la plupart des gens manquent de compréhension des mécanismes sous-jacents des interactions avec les portefeuilles, et que le seuil d'apprentissage est assez élevé pour les non-techniciens.
Pour permettre à un plus grand nombre de personnes de comprendre cette question, cet article expliquera la logique sous-jacente de l'hameçonnage par signature d'une manière simple et accessible.
Tout d'abord, nous devons comprendre qu'il existe deux opérations de base lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit hors chaîne et ne nécessite pas de frais de Gas ; tandis que l'interaction se produit sur la chaîne et nécessite des frais de Gas.
La signature est généralement utilisée pour l'authentification, par exemple pour se connecter à un portefeuille ou se connecter à une DApp. Ce processus n'apporte aucune modification aux données de la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction implique des opérations réelles sur la chaîne. Prenons l'exemple de l'échange de jetons sur un DEX, vous devez d'abord autoriser le contrat intelligent à utiliser vos jetons, puis effectuer l'opération d'échange. Ces deux étapes nécessitent le paiement des frais de Gas.
Après avoir compris la différence entre la signature et l'interaction, examinons les trois types courants de phishing : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
L'hameçonnage autorisé exploite le mécanisme d'autorisation des contrats intelligents. Les hackers créent un site Web attrayant pour inciter les utilisateurs à cliquer sur des boutons comme "Recevoir l'airdrop", ce qui permet en réalité aux utilisateurs d'autoriser l'adresse des hackers à manipuler leurs jetons. Cette méthode nécessite le paiement des frais de Gas, ce qui peut amener les utilisateurs à être plus vigilants.
Il est donc plus difficile de se prémunir contre le phishing par signature Permit et Permit2. Permit est une fonctionnalité étendue de la norme ERC-20 qui permet aux utilisateurs d'autoriser d'autres à manipuler leurs tokens par une signature. Permit2 est une fonctionnalité lancée par un DEX, visant à simplifier le processus opérationnel pour les utilisateurs. Ces deux types de phishing ne nécessitent pas que les utilisateurs paient des frais de Gas, ce qui les rend plus susceptibles de baisser leur garde.
Les hackers peuvent falsifier des sites Web et remplacer le bouton de connexion par une demande de signature Permit ou Permit2. Une fois que l'utilisateur signe, le hacker peut obtenir l'autorisation d'opérer sur les actifs de l'utilisateur.
Comment se prémunir contre ces attaques par phishing ?
En comprenant ces mécanismes sous-jacents et ces mesures de prévention, nous pouvons mieux protéger la sécurité de nos actifs Web3.