La logique sous-jacente de l'hameçonnage des signatures Web3 : Autorisation, Permit et Permit2
Récemment, le "phishing par signature" est devenu la méthode de phishing préférée des hackers Web3. Malgré les efforts de sensibilisation continus des experts de l'industrie et des grandes entreprises de portefeuilles et de sécurité, de nombreux utilisateurs continuent d'être victimes chaque jour. Une des principales raisons de cette situation est que la plupart des utilisateurs manquent de compréhension des principes sous-jacents des interactions avec les portefeuilles, et que le seuil d'apprentissage des connaissances pertinentes est relativement élevé pour les non-techniciens.
Pour aider un plus grand nombre de personnes à comprendre ce problème, cet article expliquera en détail la logique sous-jacente de l'hameçonnage par signature à l'aide d'illustrations, en utilisant un langage aussi simple et accessible que possible, afin que les lecteurs sans formation technique puissent également comprendre facilement.
Tout d'abord, nous devons comprendre qu'il existe principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature est une opération qui se produit en dehors de la blockchain et ne nécessite pas de payer des frais de Gas ; tandis que l'interaction se déroule sur la blockchain et nécessite le paiement de frais de Gas.
Un scénario typique de signature est la vérification d'identité, par exemple lors de la connexion à un portefeuille. Lorsque vous devez échanger des tokens sur un échange décentralisé (DEX), vous devez d'abord connecter votre portefeuille. Dans ce processus, vous devez signer pour prouver "Je suis le propriétaire de ce portefeuille". Cette étape n'aura aucun impact sur les données ou l'état de la blockchain, il n'est donc pas nécessaire de payer des frais.
En comparaison, l'interaction fait référence à l'exécution réelle d'opérations sur la blockchain. Par exemple, lorsque vous échangez des jetons sur un DEX, vous devez d'abord payer des frais, informant le contrat intelligent du DEX : "Je vous autorise à déplacer mes 100USDT". Cette étape s'appelle l'autorisation (approve). Ensuite, vous devez encore payer des frais, informant le contrat : "Veuillez maintenant exécuter l'opération d'échange de 100USDT contre 1 jeton". Ainsi, vous avez terminé l'échange de jetons.
Après avoir compris la différence entre la signature et l'interaction, examinons quelques méthodes de phishing courantes : phishing par autorisation, phishing par signature Permit et phishing par signature Permit2.
Le phishing par autorisation est l'une des techniques de phishing les plus typiques des débuts de Web3. Les hackers créent un site Web déguisé en projet normal, incitant les utilisateurs à cliquer sur des boutons comme "Réclamer l'airdrop". En réalité, l'interface de portefeuille qui s'affiche après le clic demande à l'utilisateur d'autoriser l'adresse du hacker à manipuler ses jetons. Une fois que l'utilisateur confirme, le hacker peut contrôler les actifs de l'utilisateur.
Cependant, le phishing autorisé a un inconvénient : en raison des frais de Gas, de nombreux utilisateurs seront plus prudents lorsqu'il s'agit d'opérations financières, ce qui rendra plus facile la détection des anomalies.
Les signatures de phishing liées à Permit et Permit2 sont devenues une zone de forte sinistralité pour la sécurité des actifs Web3. Cela est principalement dû au fait que les utilisateurs doivent toujours signer pour se connecter à leur portefeuille lorsqu'ils utilisent des applications décentralisées (DApp). Beaucoup ont développé une pensée habituelle selon laquelle "signer est sûr", et comme la signature ne nécessite pas de frais, et que la plupart des gens ne comprennent pas la signification de chaque signature, cela rend ce type de phishing plus difficile à prévenir.
Le mécanisme Permit est une extension de la fonctionnalité d'autorisation sous le standard ERC-20. En termes simples, il permet aux utilisateurs d'approuver d'autres personnes pour opérer leurs jetons par le biais d'une signature. Contrairement à l'autorisation traditionnelle (Approve), le Permit est une signature sur un "document d'autorisation" qui permet à quelqu'un d'opérer un montant spécifié de jetons. La personne détenant ce "document d'autorisation" peut le soumettre à un contrat intelligent et payer les frais de Gas, informant le contrat "j'ai été autorisé à opérer ces jetons". Dans ce processus, l'utilisateur n'a fait que signer, mais cela peut entraîner le transfert d'actifs. Les hackers peuvent remplacer le bouton de connexion de portefeuille par du phishing Permit sur des sites falsifiés, permettant ainsi d'obtenir facilement les actifs des utilisateurs.
Permit2 est une fonctionnalité lancée par un DEX pour améliorer l'expérience utilisateur. Son objectif est de simplifier le problème où les utilisateurs doivent autoriser et payer des frais de Gas à chaque transaction. Les utilisateurs peuvent autoriser complètement le contrat intelligent Permit2 d'un seul coup, après quoi chaque transaction nécessite seulement une signature, et les frais de Gas sont payés par le contrat Permit2 (qui seront finalement déduits des jetons échangés). Cependant, si un utilisateur a déjà utilisé ce DEX et a accordé une autorisation illimitée, il pourrait devenir une victime de phishing Permit2. Les hackers n'ont qu'à induire l'utilisateur à signer pour transférer les jetons déjà autorisés.
Dans l'ensemble, le phishing par autorisation consiste à ce que l'utilisateur autorise directement un hacker à manipuler ses tokens ; tandis que le phishing par signature implique que l'utilisateur a sans le savoir signé un "acte d'autorisation" permettant à d'autres de manipuler ses actifs, que le hacker utilise ensuite pour transférer des actifs. Permit est une fonction d'extension d'autorisation de l'ERC-20, tandis que Permit2 est une nouvelle fonctionnalité lancée par un DEX.
Pour prévenir ces attaques de phishing, nous pouvons prendre les mesures suivantes :
Développez une conscience de la sécurité, vérifiez attentivement ce que vous faites chaque fois que vous effectuez des opérations sur votre portefeuille.
Séparer les fonds importants et le portefeuille utilisé au quotidien pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2. Soyez particulièrement vigilant lorsque vous voyez une demande de signature contenant les champs suivants :
Interactif : site Web d'interaction
Propriétaire : adresse de l'autorisateur
Spender : adresse de la partie autorisée
Valeur : quantité autorisée
Nonce : nombre aléatoire
Deadline : date d'expiration
En comprenant ces principes fondamentaux et en prenant les mesures de précaution appropriées, nous pouvons mieux protéger la sécurité de nos actifs Web3.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
17 J'aime
Récompense
17
9
Partager
Commentaire
0/400
OnchainHolmes
· 07-14 16:56
Ah, il y a encore beaucoup de pigeons qui se laissent avoir.
Voir l'originalRépondre0
BtcDailyResearcher
· 07-14 12:54
Que toute la famille de ceux qui pêchent meure.
Voir l'originalRépondre0
WhaleStalker
· 07-14 07:08
Il y a encore des Hacker qui causent des problèmes.
Voir l'originalRépondre0
MemeTokenGenius
· 07-12 21:59
Portefeuille débutant indispensable
Voir l'originalRépondre0
MEVEye
· 07-12 21:57
Il faut en apprendre davantage pour ne pas prendre les gens pour des idiots !
Voir l'originalRépondre0
LiquidationWatcher
· 07-12 21:52
C'est une attaque à laquelle on ne peut pas se défendre, l'attaque vise à être imprévisible.
Voir l'originalRépondre0
MindsetExpander
· 07-12 21:40
Cette astuce est un peu vieille.
Voir l'originalRépondre0
0xDreamChaser
· 07-12 21:35
Ces pièges de ces escrocs sont vraiment trop profonds.
Voir l'originalRépondre0
InscriptionGriller
· 07-12 21:33
Le jeune ne comprend toujours pas que les pièges de la liquidation des fonds ont tous perdu.
Web3 signature phishing revealed: Analysis of the underlying logic of authorization, Permit, and Permit2
La logique sous-jacente de l'hameçonnage des signatures Web3 : Autorisation, Permit et Permit2
Récemment, le "phishing par signature" est devenu la méthode de phishing préférée des hackers Web3. Malgré les efforts de sensibilisation continus des experts de l'industrie et des grandes entreprises de portefeuilles et de sécurité, de nombreux utilisateurs continuent d'être victimes chaque jour. Une des principales raisons de cette situation est que la plupart des utilisateurs manquent de compréhension des principes sous-jacents des interactions avec les portefeuilles, et que le seuil d'apprentissage des connaissances pertinentes est relativement élevé pour les non-techniciens.
Pour aider un plus grand nombre de personnes à comprendre ce problème, cet article expliquera en détail la logique sous-jacente de l'hameçonnage par signature à l'aide d'illustrations, en utilisant un langage aussi simple et accessible que possible, afin que les lecteurs sans formation technique puissent également comprendre facilement.
Tout d'abord, nous devons comprendre qu'il existe principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature est une opération qui se produit en dehors de la blockchain et ne nécessite pas de payer des frais de Gas ; tandis que l'interaction se déroule sur la blockchain et nécessite le paiement de frais de Gas.
Un scénario typique de signature est la vérification d'identité, par exemple lors de la connexion à un portefeuille. Lorsque vous devez échanger des tokens sur un échange décentralisé (DEX), vous devez d'abord connecter votre portefeuille. Dans ce processus, vous devez signer pour prouver "Je suis le propriétaire de ce portefeuille". Cette étape n'aura aucun impact sur les données ou l'état de la blockchain, il n'est donc pas nécessaire de payer des frais.
En comparaison, l'interaction fait référence à l'exécution réelle d'opérations sur la blockchain. Par exemple, lorsque vous échangez des jetons sur un DEX, vous devez d'abord payer des frais, informant le contrat intelligent du DEX : "Je vous autorise à déplacer mes 100USDT". Cette étape s'appelle l'autorisation (approve). Ensuite, vous devez encore payer des frais, informant le contrat : "Veuillez maintenant exécuter l'opération d'échange de 100USDT contre 1 jeton". Ainsi, vous avez terminé l'échange de jetons.
Après avoir compris la différence entre la signature et l'interaction, examinons quelques méthodes de phishing courantes : phishing par autorisation, phishing par signature Permit et phishing par signature Permit2.
Le phishing par autorisation est l'une des techniques de phishing les plus typiques des débuts de Web3. Les hackers créent un site Web déguisé en projet normal, incitant les utilisateurs à cliquer sur des boutons comme "Réclamer l'airdrop". En réalité, l'interface de portefeuille qui s'affiche après le clic demande à l'utilisateur d'autoriser l'adresse du hacker à manipuler ses jetons. Une fois que l'utilisateur confirme, le hacker peut contrôler les actifs de l'utilisateur.
Cependant, le phishing autorisé a un inconvénient : en raison des frais de Gas, de nombreux utilisateurs seront plus prudents lorsqu'il s'agit d'opérations financières, ce qui rendra plus facile la détection des anomalies.
Les signatures de phishing liées à Permit et Permit2 sont devenues une zone de forte sinistralité pour la sécurité des actifs Web3. Cela est principalement dû au fait que les utilisateurs doivent toujours signer pour se connecter à leur portefeuille lorsqu'ils utilisent des applications décentralisées (DApp). Beaucoup ont développé une pensée habituelle selon laquelle "signer est sûr", et comme la signature ne nécessite pas de frais, et que la plupart des gens ne comprennent pas la signification de chaque signature, cela rend ce type de phishing plus difficile à prévenir.
Le mécanisme Permit est une extension de la fonctionnalité d'autorisation sous le standard ERC-20. En termes simples, il permet aux utilisateurs d'approuver d'autres personnes pour opérer leurs jetons par le biais d'une signature. Contrairement à l'autorisation traditionnelle (Approve), le Permit est une signature sur un "document d'autorisation" qui permet à quelqu'un d'opérer un montant spécifié de jetons. La personne détenant ce "document d'autorisation" peut le soumettre à un contrat intelligent et payer les frais de Gas, informant le contrat "j'ai été autorisé à opérer ces jetons". Dans ce processus, l'utilisateur n'a fait que signer, mais cela peut entraîner le transfert d'actifs. Les hackers peuvent remplacer le bouton de connexion de portefeuille par du phishing Permit sur des sites falsifiés, permettant ainsi d'obtenir facilement les actifs des utilisateurs.
Permit2 est une fonctionnalité lancée par un DEX pour améliorer l'expérience utilisateur. Son objectif est de simplifier le problème où les utilisateurs doivent autoriser et payer des frais de Gas à chaque transaction. Les utilisateurs peuvent autoriser complètement le contrat intelligent Permit2 d'un seul coup, après quoi chaque transaction nécessite seulement une signature, et les frais de Gas sont payés par le contrat Permit2 (qui seront finalement déduits des jetons échangés). Cependant, si un utilisateur a déjà utilisé ce DEX et a accordé une autorisation illimitée, il pourrait devenir une victime de phishing Permit2. Les hackers n'ont qu'à induire l'utilisateur à signer pour transférer les jetons déjà autorisés.
Dans l'ensemble, le phishing par autorisation consiste à ce que l'utilisateur autorise directement un hacker à manipuler ses tokens ; tandis que le phishing par signature implique que l'utilisateur a sans le savoir signé un "acte d'autorisation" permettant à d'autres de manipuler ses actifs, que le hacker utilise ensuite pour transférer des actifs. Permit est une fonction d'extension d'autorisation de l'ERC-20, tandis que Permit2 est une nouvelle fonctionnalité lancée par un DEX.
Pour prévenir ces attaques de phishing, nous pouvons prendre les mesures suivantes :
Développez une conscience de la sécurité, vérifiez attentivement ce que vous faites chaque fois que vous effectuez des opérations sur votre portefeuille.
Séparer les fonds importants et le portefeuille utilisé au quotidien pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2. Soyez particulièrement vigilant lorsque vous voyez une demande de signature contenant les champs suivants :
En comprenant ces principes fondamentaux et en prenant les mesures de précaution appropriées, nous pouvons mieux protéger la sécurité de nos actifs Web3.