La lógica subyacente del phishing en Web3: autorización, Permit y Permit2
Recientemente, el "phishing de firmas" se ha convertido en la técnica de phishing más preferida por los hackers de Web3. A pesar de que los expertos de la industria y las principales empresas de billeteras y seguridad continúan realizando campañas de concienciación, todavía hay muchos usuarios que caen en la trampa cada día. Una de las principales razones de esta situación es que la mayoría de los usuarios carecen de comprensión sobre los principios subyacentes de la interacción con las billeteras, y para las personas no técnicas, el umbral de aprendizaje de los conocimientos relacionados es bastante alto.
Para ayudar a más personas a comprender este problema, este artículo explicará detalladamente la lógica subyacente de la pesca de firmas a través de ilustraciones, y tratará de usar un lenguaje sencillo y comprensible, para que los lectores sin antecedentes técnicos también puedan entenderlo fácilmente.
Primero, necesitamos entender que hay dos operaciones principales al usar una billetera: "firma" e "interacción". En términos simples, la firma es una operación que ocurre fuera de la cadena de bloques y no requiere el pago de tarifas de Gas; mientras que la interacción se lleva a cabo en la cadena de bloques y requiere el pago de tarifas de Gas.
Un escenario típico de firma es la verificación de identidad, como iniciar sesión en una billetera. Cuando necesitas intercambiar tokens en un intercambio descentralizado (DEX), primero debes conectar tu billetera. En este proceso, necesitas firmar para demostrar "soy el propietario de esta billetera". Este paso no afectará los datos o el estado de la blockchain, por lo que no es necesario pagar tarifas.
En comparación, la interacción se refiere a la ejecución real de operaciones en la blockchain. Por ejemplo, cuando intercambias tokens en un DEX, primero necesitas pagar una tarifa, informando al contrato inteligente del DEX: "Te autorizo a mover mis 100USDT". Este paso se llama autorización (approve). Luego, también necesitas pagar otra tarifa, informando al contrato: "Ahora por favor ejecuta la operación de cambiar 100USDT por 1 token". Así, has completado el intercambio de tokens.
Después de entender la diferencia entre la firma y la interacción, veamos algunas formas comunes de phishing: phishing de autorización, phishing de firma de Permiso y phishing de firma de Permiso2.
La autorización de phishing es una de las técnicas de phishing más típicas en los primeros días de Web3. Los hackers crean un sitio web que se disfraza de un proyecto normal, engañando a los usuarios para que hagan clic en botones como "Reclamar airdrop". En realidad, la interfaz de la billetera que aparece después de que el usuario hace clic está solicitando al usuario que autorice a la dirección del hacker a operar con sus tokens. Una vez que el usuario confirma, el hacker puede controlar los activos del usuario.
Sin embargo, la autorización de phishing tiene una desventaja: debido a que se deben pagar tarifas de Gas, muchos usuarios son más cautelosos al realizar operaciones con fondos, lo que facilita la detección de anomalías.
El phishing de firmas de Permit y Permit2 se ha convertido en una de las principales amenazas a la seguridad de los activos en Web3. Esto se debe principalmente a que los usuarios, al utilizar aplicaciones descentralizadas (DApp), siempre necesitan firmar para acceder a sus billeteras. Muchas personas han desarrollado la idea de que "firmar es seguro", junto con el hecho de que las firmas no requieren el pago de tarifas, y la mayoría de las personas no comprenden el significado detrás de cada firma, lo que hace que este tipo de phishing sea más difícil de prevenir.
El mecanismo Permit es una extensión de la función de autorización bajo el estándar ERC-20. En términos simples, permite a los usuarios aprobar a otros para operar con sus tokens mediante una firma. A diferencia de la autorización tradicional (Approve), Permit es cuando el usuario firma un "documento de autorización" que permite a alguien manejar una cantidad específica de tokens. La persona que posee este "documento de autorización" puede enviarlo al contrato inteligente y pagar la tarifa de Gas, informando al contrato "he sido autorizado para operar estos tokens". En este proceso, el usuario solo firma, pero esto puede llevar a la transferencia de activos. Los hackers pueden reemplazar el botón de inicio de sesión de la billetera en un sitio web falso por un phishing de Permit, lo que les permite obtener fácilmente los activos del usuario.
Permit2 es una función que algunos DEX han lanzado para mejorar la experiencia del usuario. Su objetivo es simplificar el problema de tener que autorizar y pagar doble tarifa de Gas en cada transacción. Los usuarios pueden otorgar una autorización completa al contrato inteligente Permit2 de una sola vez, y después, para cada transacción, solo necesitan firmar, y la tarifa de Gas será pagada por el contrato Permit2 (que se deducirá finalmente de los tokens intercambiados). Sin embargo, si los usuarios han utilizado anteriormente ese DEX y han otorgado autorización ilimitada, podrían convertirse en víctimas de un phishing de Permit2. Los hackers solo necesitan inducir a los usuarios a firmar, lo que les permite transferir los tokens autorizados.
En general, el phishing de autorización es cuando el usuario autoriza directamente a un hacker a operar con sus tokens; mientras que el phishing de firma ocurre cuando el usuario firma sin saber un "documento de autorización" que permite a otros operar con sus activos, y el hacker luego utiliza este "documento de autorización" para transferir activos. Permit es una función de extensión de autorización de ERC-20, mientras que Permit2 es una nueva función lanzada por un DEX.
Para prevenir estos ataques de phishing, podemos tomar las siguientes medidas:
Fomentar la conciencia de seguridad, cada vez que realices operaciones en la billetera, debes revisar cuidadosamente qué es lo que estás haciendo.
Separar los fondos grandes de la billetera que se utiliza diariamente para reducir pérdidas potenciales.
Aprende a identificar el formato de firma de Permit y Permit2. Debes estar especialmente atento cuando veas solicitudes de firma que contengan los siguientes campos:
Interactivo:sitio web interactivo
Propietario: Dirección del autorizador
Spender: Dirección autorizada
Valor: cantidad autorizada
Nonce: número aleatorio
Deadline:fecha de vencimiento
Al comprender estos principios subyacentes y tomar las medidas de precaución adecuadas, podemos proteger mejor la seguridad de nuestros activos Web3.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
17 me gusta
Recompensa
17
9
Compartir
Comentar
0/400
OnchainHolmes
· 07-14 16:56
Ay, todavía hay muchos tontos que siguen siendo engañados.
Ver originalesResponder0
BtcDailyResearcher
· 07-14 12:54
Que muera toda la familia de los pescadores.
Ver originalesResponder0
WhaleStalker
· 07-14 07:08
Después, hay un hacker causando problemas.
Ver originalesResponder0
MemeTokenGenius
· 07-12 21:59
Billetera novato必备贴
Ver originalesResponder0
MEVEye
· 07-12 21:57
¡Aprender más para no ser tomado por tonto!
Ver originalesResponder0
LiquidationWatcher
· 07-12 21:52
Todos son ataques inevitables, la ofensiva se centra en un ataque sorpresivo.
Ver originalesResponder0
MindsetExpander
· 07-12 21:40
Este truco ya está un poco viejo.
Ver originalesResponder0
0xDreamChaser
· 07-12 21:35
Estos estafadores tienen trampa demasiado profunda.
Ver originalesResponder0
InscriptionGriller
· 07-12 21:33
韭韭 aún no entiende la trampa del retiro de fondos, ya ha perdido todo.
Revelación del phishing de firmas Web3: Análisis de la lógica subyacente de autorización, Permiso y Permiso2
La lógica subyacente del phishing en Web3: autorización, Permit y Permit2
Recientemente, el "phishing de firmas" se ha convertido en la técnica de phishing más preferida por los hackers de Web3. A pesar de que los expertos de la industria y las principales empresas de billeteras y seguridad continúan realizando campañas de concienciación, todavía hay muchos usuarios que caen en la trampa cada día. Una de las principales razones de esta situación es que la mayoría de los usuarios carecen de comprensión sobre los principios subyacentes de la interacción con las billeteras, y para las personas no técnicas, el umbral de aprendizaje de los conocimientos relacionados es bastante alto.
Para ayudar a más personas a comprender este problema, este artículo explicará detalladamente la lógica subyacente de la pesca de firmas a través de ilustraciones, y tratará de usar un lenguaje sencillo y comprensible, para que los lectores sin antecedentes técnicos también puedan entenderlo fácilmente.
Primero, necesitamos entender que hay dos operaciones principales al usar una billetera: "firma" e "interacción". En términos simples, la firma es una operación que ocurre fuera de la cadena de bloques y no requiere el pago de tarifas de Gas; mientras que la interacción se lleva a cabo en la cadena de bloques y requiere el pago de tarifas de Gas.
Un escenario típico de firma es la verificación de identidad, como iniciar sesión en una billetera. Cuando necesitas intercambiar tokens en un intercambio descentralizado (DEX), primero debes conectar tu billetera. En este proceso, necesitas firmar para demostrar "soy el propietario de esta billetera". Este paso no afectará los datos o el estado de la blockchain, por lo que no es necesario pagar tarifas.
En comparación, la interacción se refiere a la ejecución real de operaciones en la blockchain. Por ejemplo, cuando intercambias tokens en un DEX, primero necesitas pagar una tarifa, informando al contrato inteligente del DEX: "Te autorizo a mover mis 100USDT". Este paso se llama autorización (approve). Luego, también necesitas pagar otra tarifa, informando al contrato: "Ahora por favor ejecuta la operación de cambiar 100USDT por 1 token". Así, has completado el intercambio de tokens.
Después de entender la diferencia entre la firma y la interacción, veamos algunas formas comunes de phishing: phishing de autorización, phishing de firma de Permiso y phishing de firma de Permiso2.
La autorización de phishing es una de las técnicas de phishing más típicas en los primeros días de Web3. Los hackers crean un sitio web que se disfraza de un proyecto normal, engañando a los usuarios para que hagan clic en botones como "Reclamar airdrop". En realidad, la interfaz de la billetera que aparece después de que el usuario hace clic está solicitando al usuario que autorice a la dirección del hacker a operar con sus tokens. Una vez que el usuario confirma, el hacker puede controlar los activos del usuario.
Sin embargo, la autorización de phishing tiene una desventaja: debido a que se deben pagar tarifas de Gas, muchos usuarios son más cautelosos al realizar operaciones con fondos, lo que facilita la detección de anomalías.
El phishing de firmas de Permit y Permit2 se ha convertido en una de las principales amenazas a la seguridad de los activos en Web3. Esto se debe principalmente a que los usuarios, al utilizar aplicaciones descentralizadas (DApp), siempre necesitan firmar para acceder a sus billeteras. Muchas personas han desarrollado la idea de que "firmar es seguro", junto con el hecho de que las firmas no requieren el pago de tarifas, y la mayoría de las personas no comprenden el significado detrás de cada firma, lo que hace que este tipo de phishing sea más difícil de prevenir.
El mecanismo Permit es una extensión de la función de autorización bajo el estándar ERC-20. En términos simples, permite a los usuarios aprobar a otros para operar con sus tokens mediante una firma. A diferencia de la autorización tradicional (Approve), Permit es cuando el usuario firma un "documento de autorización" que permite a alguien manejar una cantidad específica de tokens. La persona que posee este "documento de autorización" puede enviarlo al contrato inteligente y pagar la tarifa de Gas, informando al contrato "he sido autorizado para operar estos tokens". En este proceso, el usuario solo firma, pero esto puede llevar a la transferencia de activos. Los hackers pueden reemplazar el botón de inicio de sesión de la billetera en un sitio web falso por un phishing de Permit, lo que les permite obtener fácilmente los activos del usuario.
Permit2 es una función que algunos DEX han lanzado para mejorar la experiencia del usuario. Su objetivo es simplificar el problema de tener que autorizar y pagar doble tarifa de Gas en cada transacción. Los usuarios pueden otorgar una autorización completa al contrato inteligente Permit2 de una sola vez, y después, para cada transacción, solo necesitan firmar, y la tarifa de Gas será pagada por el contrato Permit2 (que se deducirá finalmente de los tokens intercambiados). Sin embargo, si los usuarios han utilizado anteriormente ese DEX y han otorgado autorización ilimitada, podrían convertirse en víctimas de un phishing de Permit2. Los hackers solo necesitan inducir a los usuarios a firmar, lo que les permite transferir los tokens autorizados.
En general, el phishing de autorización es cuando el usuario autoriza directamente a un hacker a operar con sus tokens; mientras que el phishing de firma ocurre cuando el usuario firma sin saber un "documento de autorización" que permite a otros operar con sus activos, y el hacker luego utiliza este "documento de autorización" para transferir activos. Permit es una función de extensión de autorización de ERC-20, mientras que Permit2 es una nueva función lanzada por un DEX.
Para prevenir estos ataques de phishing, podemos tomar las siguientes medidas:
Fomentar la conciencia de seguridad, cada vez que realices operaciones en la billetera, debes revisar cuidadosamente qué es lo que estás haciendo.
Separar los fondos grandes de la billetera que se utiliza diariamente para reducir pérdidas potenciales.
Aprende a identificar el formato de firma de Permit y Permit2. Debes estar especialmente atento cuando veas solicitudes de firma que contengan los siguientes campos:
Al comprender estos principios subyacentes y tomar las medidas de precaución adecuadas, podemos proteger mejor la seguridad de nuestros activos Web3.