# Web3シグネチャフィッシングの基盤となるロジック:authorization、permit、permit2最近、「署名フィッシング」がWeb3ハッカーに最も好まれるフィッシング手法となっています。業界の専門家や多くのウォレット、安全会社が絶えず啓蒙活動を行っているにもかかわらず、毎日多くのユーザーが騙されています。このような状況を引き起こしている主な理由の一つは、大多数のユーザーがウォレットとのインタラクションの基本的な原理について理解が不足していることです。また、非技術者にとっては、関連知識の学習が高いハードルとなっています。この問題をより多くの人に理解してもらうために、この記事では、サインフィッシングの基盤となる論理を図解形式で詳しく解析し、できるだけ分かりやすい言葉を使って、技術的な背景を持たない読者でも簡単に理解できるようにします。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-c0d8fb648e2a1c778bf4d6d452b831ba)まず、ウォレットを使用する際には主に2つの操作があることを理解する必要があります:"署名"と"インタラクション"。簡単に言うと、署名はブロックチェーンの外で行われる操作で、Gas代を支払う必要はありません。一方、インタラクションはブロックチェーン上で行われ、Gas代を支払う必要があります。署名の典型的なシーンは認証であり、例えばウォレットにログインする際です。ある分散型取引所(DEX)でトークンを交換する必要がある場合、まずウォレットを接続する必要があります。このプロセスでは、「私はこのウォレットの所有者です」と証明するために署名が必要です。このステップはブロックチェーンのデータや状態に影響を与えないため、手数料は発生しません。対照的に、インタラクションはブロックチェーン上で実際に操作を実行することを指します。例えば、DEXでトークンを交換する際には、最初に手数料を支払い、DEXのスマートコントラクトに「私の100USDTを移動することを承認します」と伝える必要があります。このステップを承認(approve)と呼びます。その後、さらに手数料を支払い、コントラクトに「今、100USDTを使って1つのトークンと交換する操作を実行してください」と伝える必要があります。こうして、トークンの交換が完了します。署名とインタラクションの違いを理解した後、一般的なフィッシング手法をいくつか見てみましょう:承認フィッシング、Permit署名フィッシング、Permit2署名フィッシング。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-3b06429868156f2e7a86fabadf9b60bb)承認フィッシングは、Web3の初期における最も典型的なフィッシング手法の一つです。ハッカーは、正常なプロジェクトを装ったウェブサイトを作成し、ユーザーに「エアドロップを受け取る」などのボタンをクリックさせるように誘導します。実際には、ユーザーがクリックするとポップアップされるウォレット画面は、ユーザーにハッカーのアドレスに自分のトークンを操作する権限を与えるように要求しています。一旦ユーザーが確認すると、ハッカーはユーザーの資産を制御できるようになります。ただし、権限のフィッシングには欠点があります。ガス代を支払う必要があるため、多くのユーザーは資金操作に関与する際により慎重になり、異常を発見しやすくなります。PermitおよびPermit2の署名フィッシングは、現在のWeb3資産の安全性における主要な問題となっています。これは主に、ユーザーが分散型アプリケーション(DApp)を使用する際に、常に財布にサインインするための署名を行う必要があるためです。多くの人々は「署名は安全である」という習慣的な考え方を形成しており、さらに署名には費用がかからず、ほとんどの人が各署名の背後にある意味を理解していないため、このようなフィッシング手法はより防ぎにくくなっています。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-6827d41535e9df00e1cade401b548d21)PermitメカニズムはERC-20標準の下での承認機能の拡張です。簡単に言うと、ユーザーが署名を通じて他人に自分のトークンを操作することを承認することを許可します。従来の承認(Approve)とは異なり、Permitはユーザーが「承認書」に署名し、特定の数量のトークンを操作することを誰かに許可します。この「承認書」を持っている人は、スマートコントラクトに提出し、ガス代を支払うことができ、「私はこれらのトークンを操作する権限を与えられています」と契約に通知します。このプロセスでは、ユーザーはただ署名をしただけですが、資産が移動する可能性があります。ハッカーは偽のウェブサイトを通じて、ウォレットにログインするボタンをPermitフィッシングに置き換えることで、ユーザーの資産を簡単に取得することができます。Permit2は、ユーザー体験を向上させるために特定のDEXが導入した機能です。その目的は、ユーザーが毎回の取引で必要とする承認と二重のGas費用の支払いを簡素化することです。ユーザーは一度にPermit2スマートコントラクトに完全な承認を与えることができ、その後の取引では署名するだけで済み、Gas費用はPermit2コントラクトが代わりに支払います(最終的に交換されたトークンから差し引かれます)。ただし、ユーザーが以前にそのDEXを使用し、無制限の承認を与えた場合、Permit2フィッシングの被害者になる可能性があります。ハッカーはユーザーを誘導して署名させるだけで、承認されたトークンを移転させることができます。全体的に見て、認可フィッシングはユーザーが直接ハッカーに自分のトークンを操作することを許可することであり、署名フィッシングはユーザーが知らずに他者に資産を操作する"許可書"を署名してしまうことです。その後、ハッカーはこの"許可書"を利用して資産を移転します。PermitはERC-20の許可拡張機能であり、Permit2はあるDEXが導入した新機能です。これらのフィッシング攻撃を防ぐために、以下の対策を講じることができます:1. セキュリティ意識を育て、ウォレット操作を行うたびに何をしているのかを注意深く確認してください。2. 大額資金と日常使用の財布を分けて、潜在的な損失を減らします。3. PermitとPermit2の署名形式を識別することを学ぶ。以下のフィールドを含む署名リクエストを見たときは特に注意が必要です: - インタラクティブ:インタラクティブURL - 所有者:許可者のアドレス - Spender:承認されたアドレス - 値:認証の数 - ノンス:ランダム数 - Deadline:有効期限! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:許可されたフィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-57e4524b41cb7a5843654fa84ec8fe25)これらの基礎的な原理を理解し、適切な予防策を講じることで、私たちは自分のWeb3資産の安全をより良く守ることができます。
Web3シグネチャフィッシングの謎を解き明かす:承認、許可、および許可の基礎となるロジック分析2
Web3シグネチャフィッシングの基盤となるロジック:authorization、permit、permit2
最近、「署名フィッシング」がWeb3ハッカーに最も好まれるフィッシング手法となっています。業界の専門家や多くのウォレット、安全会社が絶えず啓蒙活動を行っているにもかかわらず、毎日多くのユーザーが騙されています。このような状況を引き起こしている主な理由の一つは、大多数のユーザーがウォレットとのインタラクションの基本的な原理について理解が不足していることです。また、非技術者にとっては、関連知識の学習が高いハードルとなっています。
この問題をより多くの人に理解してもらうために、この記事では、サインフィッシングの基盤となる論理を図解形式で詳しく解析し、できるだけ分かりやすい言葉を使って、技術的な背景を持たない読者でも簡単に理解できるようにします。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
まず、ウォレットを使用する際には主に2つの操作があることを理解する必要があります:"署名"と"インタラクション"。簡単に言うと、署名はブロックチェーンの外で行われる操作で、Gas代を支払う必要はありません。一方、インタラクションはブロックチェーン上で行われ、Gas代を支払う必要があります。
署名の典型的なシーンは認証であり、例えばウォレットにログインする際です。ある分散型取引所(DEX)でトークンを交換する必要がある場合、まずウォレットを接続する必要があります。このプロセスでは、「私はこのウォレットの所有者です」と証明するために署名が必要です。このステップはブロックチェーンのデータや状態に影響を与えないため、手数料は発生しません。
対照的に、インタラクションはブロックチェーン上で実際に操作を実行することを指します。例えば、DEXでトークンを交換する際には、最初に手数料を支払い、DEXのスマートコントラクトに「私の100USDTを移動することを承認します」と伝える必要があります。このステップを承認(approve)と呼びます。その後、さらに手数料を支払い、コントラクトに「今、100USDTを使って1つのトークンと交換する操作を実行してください」と伝える必要があります。こうして、トークンの交換が完了します。
署名とインタラクションの違いを理解した後、一般的なフィッシング手法をいくつか見てみましょう:承認フィッシング、Permit署名フィッシング、Permit2署名フィッシング。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
承認フィッシングは、Web3の初期における最も典型的なフィッシング手法の一つです。ハッカーは、正常なプロジェクトを装ったウェブサイトを作成し、ユーザーに「エアドロップを受け取る」などのボタンをクリックさせるように誘導します。実際には、ユーザーがクリックするとポップアップされるウォレット画面は、ユーザーにハッカーのアドレスに自分のトークンを操作する権限を与えるように要求しています。一旦ユーザーが確認すると、ハッカーはユーザーの資産を制御できるようになります。
ただし、権限のフィッシングには欠点があります。ガス代を支払う必要があるため、多くのユーザーは資金操作に関与する際により慎重になり、異常を発見しやすくなります。
PermitおよびPermit2の署名フィッシングは、現在のWeb3資産の安全性における主要な問題となっています。これは主に、ユーザーが分散型アプリケーション(DApp)を使用する際に、常に財布にサインインするための署名を行う必要があるためです。多くの人々は「署名は安全である」という習慣的な考え方を形成しており、さらに署名には費用がかからず、ほとんどの人が各署名の背後にある意味を理解していないため、このようなフィッシング手法はより防ぎにくくなっています。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
PermitメカニズムはERC-20標準の下での承認機能の拡張です。簡単に言うと、ユーザーが署名を通じて他人に自分のトークンを操作することを承認することを許可します。従来の承認(Approve)とは異なり、Permitはユーザーが「承認書」に署名し、特定の数量のトークンを操作することを誰かに許可します。この「承認書」を持っている人は、スマートコントラクトに提出し、ガス代を支払うことができ、「私はこれらのトークンを操作する権限を与えられています」と契約に通知します。このプロセスでは、ユーザーはただ署名をしただけですが、資産が移動する可能性があります。ハッカーは偽のウェブサイトを通じて、ウォレットにログインするボタンをPermitフィッシングに置き換えることで、ユーザーの資産を簡単に取得することができます。
Permit2は、ユーザー体験を向上させるために特定のDEXが導入した機能です。その目的は、ユーザーが毎回の取引で必要とする承認と二重のGas費用の支払いを簡素化することです。ユーザーは一度にPermit2スマートコントラクトに完全な承認を与えることができ、その後の取引では署名するだけで済み、Gas費用はPermit2コントラクトが代わりに支払います(最終的に交換されたトークンから差し引かれます)。ただし、ユーザーが以前にそのDEXを使用し、無制限の承認を与えた場合、Permit2フィッシングの被害者になる可能性があります。ハッカーはユーザーを誘導して署名させるだけで、承認されたトークンを移転させることができます。
全体的に見て、認可フィッシングはユーザーが直接ハッカーに自分のトークンを操作することを許可することであり、署名フィッシングはユーザーが知らずに他者に資産を操作する"許可書"を署名してしまうことです。その後、ハッカーはこの"許可書"を利用して資産を移転します。PermitはERC-20の許可拡張機能であり、Permit2はあるDEXが導入した新機能です。
これらのフィッシング攻撃を防ぐために、以下の対策を講じることができます:
セキュリティ意識を育て、ウォレット操作を行うたびに何をしているのかを注意深く確認してください。
大額資金と日常使用の財布を分けて、潜在的な損失を減らします。
PermitとPermit2の署名形式を識別することを学ぶ。以下のフィールドを含む署名リクエストを見たときは特に注意が必要です:
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:許可されたフィッシング、Permit、Permit2の違い
これらの基礎的な原理を理解し、適切な予防策を講じることで、私たちは自分のWeb3資産の安全をより良く守ることができます。