Веб3 подписной фишинг: анализ базовой логики и руководство по предотвращению
В последнее время "фишинг через подпись" стал наиболее предпочтительным способом атаки для хакеров в Web3. Несмотря на то, что эксперты по безопасности и компании по производству кошельков постоянно проводят просветительскую работу, каждый день множество пользователей попадают в ловушку. Это в основном связано с тем, что большинство людей не понимает основных механизмов взаимодействия с кошельком, и для нетехнических специалистов порог для обучения слишком высок.
Чтобы больше людей поняли эту проблему, в этой статье будет объяснена основная логика фишинга с использованием подписей простым и доступным языком.
Во-первых, нам нужно понять, что при использовании кошелька есть две основные операции: "подпись" и "взаимодействие". Проще говоря, подпись происходит вне цепи и не требует оплаты Gas; а взаимодействие происходит в цепи и требует оплаты Gas.
Подпись обычно используется для аутентификации, например, при входе в кошелек или подключении к какому-либо DApp. Этот процесс не вносит никаких изменений в данные блокчейна, поэтому не требуется платить сбор.
Взаимодействие включает в себя фактические операции на блокчейне. Например, чтобы обменять токены на DEX, вам сначала нужно разрешить смарт-контракту использовать ваши токены, а затем выполнить операцию обмена. За оба этих шага необходимо оплатить газ.
Поняв различия между подписью и взаимодействием, давайте рассмотрим три распространенных метода фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Авторизация фишинга использует механизм авторизации смарт-контрактов. Хакеры подделывают красивый сайт, чтобы заставить пользователей нажимать на кнопки "Получить аирдроп" и т.д., фактически позволяя хакерскому адресу управлять их токенами. Этот способ требует оплаты Gas, поэтому пользователи могут быть более настороже.
Подпись Permit и Permit2 сложнее защитить от фишинга. Permit — это расширение стандарта ERC-20, которое позволяет пользователям авторизовывать других для управления своими токенами с помощью подписи. Permit2 — это функция, введенная некоторыми DEX, которая направлена на упрощение процесса работы пользователей. Оба метода фишинга не требуют от пользователей оплаты Gas, поэтому они могут снизить бдительность.
Хакеры могут подделать веб-сайты, заменив кнопку входа на запрос подписи Permit или Permit2. Как только пользователь подписывает, хакеры получают доступ к управлению активами пользователя.
Как предотвратить эти фишинговые атаки?
Развивайте осведомленность о безопасности, всегда внимательно проверяйте при каждом использовании кошелька.
Разделите крупные средства и деньги для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать формат подписей Permit и Permit2, особенно будьте осторожны, когда увидите следующее:
Interactive:интерактивный адрес
Владелец:адрес уполномоченного лица
Spender: адрес уполномоченного лица
Значение:授权数量
Нонс: случайное число
Срок: время истечения
Поняв эти основные механизмы и меры предосторожности, мы можем лучше защитить безопасность своих активов Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
5
Репост
Поделиться
комментарий
0/400
GhostAddressHunter
· 08-15 12:39
Если бы сразу сказали, что за торговлю рыбой нужно платить Газ, никто бы не попался~
Посмотреть ОригиналОтветить0
TokenVelocity
· 08-15 03:35
Зашёл и попался на рыбу, таких овощей действительно много.
Посмотреть ОригиналОтветить0
TopBuyerBottomSeller
· 08-13 04:01
Снова попался, потерял все до трусов.
Посмотреть ОригиналОтветить0
CommunitySlacker
· 08-13 04:00
Обманувшись, понимаешь, что шрам от ножа — это лучший учитель.
Посмотреть ОригиналОтветить0
NestedFox
· 08-13 03:59
Снова начинаем популяризировать науку, лучше бы сразу перейти к демонстрации.
Полный анализ фишинга подписей Web3: разбор принципов и стратегии защиты
Веб3 подписной фишинг: анализ базовой логики и руководство по предотвращению
В последнее время "фишинг через подпись" стал наиболее предпочтительным способом атаки для хакеров в Web3. Несмотря на то, что эксперты по безопасности и компании по производству кошельков постоянно проводят просветительскую работу, каждый день множество пользователей попадают в ловушку. Это в основном связано с тем, что большинство людей не понимает основных механизмов взаимодействия с кошельком, и для нетехнических специалистов порог для обучения слишком высок.
Чтобы больше людей поняли эту проблему, в этой статье будет объяснена основная логика фишинга с использованием подписей простым и доступным языком.
Во-первых, нам нужно понять, что при использовании кошелька есть две основные операции: "подпись" и "взаимодействие". Проще говоря, подпись происходит вне цепи и не требует оплаты Gas; а взаимодействие происходит в цепи и требует оплаты Gas.
Подпись обычно используется для аутентификации, например, при входе в кошелек или подключении к какому-либо DApp. Этот процесс не вносит никаких изменений в данные блокчейна, поэтому не требуется платить сбор.
Взаимодействие включает в себя фактические операции на блокчейне. Например, чтобы обменять токены на DEX, вам сначала нужно разрешить смарт-контракту использовать ваши токены, а затем выполнить операцию обмена. За оба этих шага необходимо оплатить газ.
Поняв различия между подписью и взаимодействием, давайте рассмотрим три распространенных метода фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Авторизация фишинга использует механизм авторизации смарт-контрактов. Хакеры подделывают красивый сайт, чтобы заставить пользователей нажимать на кнопки "Получить аирдроп" и т.д., фактически позволяя хакерскому адресу управлять их токенами. Этот способ требует оплаты Gas, поэтому пользователи могут быть более настороже.
Подпись Permit и Permit2 сложнее защитить от фишинга. Permit — это расширение стандарта ERC-20, которое позволяет пользователям авторизовывать других для управления своими токенами с помощью подписи. Permit2 — это функция, введенная некоторыми DEX, которая направлена на упрощение процесса работы пользователей. Оба метода фишинга не требуют от пользователей оплаты Gas, поэтому они могут снизить бдительность.
Хакеры могут подделать веб-сайты, заменив кнопку входа на запрос подписи Permit или Permit2. Как только пользователь подписывает, хакеры получают доступ к управлению активами пользователя.
Как предотвратить эти фишинговые атаки?
Поняв эти основные механизмы и меры предосторожности, мы можем лучше защитить безопасность своих активов Web3.