A lógica subjacente da pesca de assinatura Web3: autorização, Permissão e Permissão2
Recentemente, a "phishing por assinatura" tornou-se a técnica de phishing preferida dos hackers do Web3. Apesar dos especialistas da indústria e das principais empresas de carteiras e segurança estarem constantemente a promover a conscientização, ainda há muitos usuários enganados todos os dias. Uma das principais razões para essa situação é que a maioria dos usuários carece de compreensão sobre os princípios subjacentes das interações da carteira, e para os não técnicos, a curva de aprendizado do conhecimento relacionado é bastante alta.
Para ajudar mais pessoas a compreender esta questão, este artigo irá analisar detalhadamente a lógica subjacente ao phishing de assinatura de forma ilustrativa, utilizando uma linguagem simples e acessível, para que leitores sem formação técnica possam entender facilmente.
Primeiro, precisamos entender que existem duas operações principais ao usar uma carteira: "assinatura" e "interação". De forma simples, a assinatura é uma operação que ocorre fora da blockchain, não necessitando do pagamento de taxas de Gas; enquanto a interação ocorre na blockchain e requer o pagamento de taxas de Gas.
Um cenário típico de assinatura é a autenticação de identidade, como ao fazer login na carteira. Quando você precisa trocar tokens em uma exchange descentralizada (DEX), primeiro deve conectar sua carteira. Durante esse processo, você precisa assinar para provar "eu sou o proprietário desta carteira". Esta etapa não terá impacto nos dados ou no estado da blockchain, portanto, não é necessário pagar taxas.
Em comparação, a interação refere-se à execução real de operações na blockchain. Por exemplo, quando você troca tokens em um DEX, você precisa primeiro pagar uma taxa, informando o contrato inteligente do DEX: "Eu autorizo você a mover meus 100USDT". Este passo é chamado de autorização (approve). Em seguida, você também precisa pagar uma taxa para informar o contrato: "Agora, por favor, execute a operação de trocar 100USDT por 1 token". Assim, você concluiu a troca de tokens.
Depois de entender as diferenças entre assinatura e interação, vamos dar uma olhada em alguns métodos comuns de phishing: phishing de autorização, phishing de assinatura de Permissão e phishing de assinatura de Permissão 2.
A autorização de phishing é uma das técnicas de phishing mais típicas nos primeiros dias do Web3. Os hackers criam um site disfarçado de um projeto normal, induzindo os usuários a clicar em botões como "reivindicar airdrop". Na verdade, a interface da carteira que aparece após o clique está solicitando que o usuário autorize o endereço do hacker a operar seus tokens. Uma vez que o usuário confirma, o hacker pode controlar os ativos do usuário.
No entanto, a autorização de phishing tem uma desvantagem: devido à necessidade de pagar taxas de Gas, muitos usuários tendem a ser mais cautelosos ao realizar operações financeiras, tornando mais fácil detectar anomalias.
As assinaturas Permit e Permit2 tornaram-se uma das principais áreas de risco para a segurança dos ativos Web3. Isso se deve principalmente ao fato de que os usuários, ao utilizarem aplicativos descentralizados (DApp), sempre precisam assinar para acessar suas carteiras. Muitas pessoas já desenvolveram o pensamento habitual de que "assinar é seguro", somado ao fato de que a assinatura não requer pagamento de taxas, e a maioria das pessoas não compreende o significado por trás de cada assinatura, tornando esse tipo de phishing mais difícil de prevenir.
O mecanismo Permit é uma extensão da funcionalidade de autorização sob o padrão ERC-20. Simplificando, permite que os usuários aprovem outras pessoas para operar seus tokens através de uma assinatura. Ao contrário da autorização tradicional (Approve), o Permit é uma assinatura em um "documento de autorização" que permite que alguém opere uma quantidade específica de tokens. A pessoa que possui este "documento de autorização" pode submetê-lo a um contrato inteligente e pagar a taxa de Gas, informando ao contrato "eu fui autorizado a operar esses tokens". Nesse processo, o usuário apenas assina, mas isso pode levar à transferência de ativos. Hackers podem, por meio de sites falsificados, substituir o botão de login da carteira por um phishing Permit, obtendo assim facilmente os ativos dos usuários.
Permit2 é uma funcionalidade lançada por uma DEX para melhorar a experiência do usuário. O objetivo é simplificar a questão da autorização e pagamento de taxas de Gas duplas que os usuários precisam fazer a cada transação. Os usuários podem conceder uma autorização completa ao contrato inteligente Permit2 de uma só vez, e depois, para cada transação, só precisam assinar, com as taxas de Gas sendo pagas pelo contrato Permit2 (que serão descontadas dos tokens trocados no final). No entanto, se o usuário já usou essa DEX anteriormente e concedeu uma autorização ilimitada, pode se tornar uma vítima de phishing do Permit2. Os hackers apenas precisam induzir o usuário a assinar, e assim podem transferir os tokens já autorizados.
De um modo geral, o phishing de autorização é quando o usuário autoriza diretamente o hacker a operar seus tokens; enquanto o phishing de assinatura é quando o usuário assina inconscientemente um "autorização" que permite a outros operar seus ativos, e o hacker utiliza essa "autorização" para transferir os ativos. O Permit é uma funcionalidade de extensão de autorização do ERC-20, enquanto o Permit2 é uma nova funcionalidade lançada por um DEX.
Para prevenir esses ataques de phishing, podemos tomar as seguintes medidas:
Desenvolver uma consciência de segurança, verificando cuidadosamente o que está a fazer a cada vez que realiza operações na carteira.
Separe grandes quantias de dinheiro das carteiras usadas no dia a dia para reduzir perdas potenciais.
Aprenda a reconhecer o formato de assinatura do Permit e Permit2. Esteja especialmente atento quando vir pedidos de assinatura que contenham os seguintes campos:
Interativo:endereço interativo
Proprietário:Endereço do autorizador
Spender: endereço do autorizado
Valor: quantidade autorizada
Nonce: número aleatório
Prazo: data de expiração
Ao entender esses princípios subjacentes e tomar as precauções adequadas, podemos proteger melhor a segurança dos nossos ativos Web3.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
17 Curtidas
Recompensa
17
9
Compartilhar
Comentário
0/400
OnchainHolmes
· 07-14 16:56
Ai, ainda há muitos idiotas sendo enganados.
Ver originalResponder0
BtcDailyResearcher
· 07-14 12:54
Que morra toda a família de quem pesca.
Ver originalResponder0
WhaleStalker
· 07-14 07:08
Depois ainda há hackers a fazer das suas.
Ver originalResponder0
MemeTokenGenius
· 07-12 21:59
Carteira novato必备贴
Ver originalResponder0
MEVEye
· 07-12 21:57
Mais conhecimento evita que as pessoas sejam feitas de parvas!
Ver originalResponder0
LiquidationWatcher
· 07-12 21:52
São todos ataques que não podem ser evitados, o foco é na defesa que não consegue se proteger.
Ver originalResponder0
MindsetExpander
· 07-12 21:40
Esse truque já está meio ultrapassado.
Ver originalResponder0
0xDreamChaser
· 07-12 21:35
Essas armadilhas dos golpistas são muito profundas.
Ver originalResponder0
InscriptionGriller
· 07-12 21:33
O韭韭 ainda não entende as técnicas de armadilha de retirada de fundos e já perdeu tudo.
Desvendando a Phishing de Assinatura Web3: Análise da Lógica Subjacente de Autorização, Permit e Permit2
A lógica subjacente da pesca de assinatura Web3: autorização, Permissão e Permissão2
Recentemente, a "phishing por assinatura" tornou-se a técnica de phishing preferida dos hackers do Web3. Apesar dos especialistas da indústria e das principais empresas de carteiras e segurança estarem constantemente a promover a conscientização, ainda há muitos usuários enganados todos os dias. Uma das principais razões para essa situação é que a maioria dos usuários carece de compreensão sobre os princípios subjacentes das interações da carteira, e para os não técnicos, a curva de aprendizado do conhecimento relacionado é bastante alta.
Para ajudar mais pessoas a compreender esta questão, este artigo irá analisar detalhadamente a lógica subjacente ao phishing de assinatura de forma ilustrativa, utilizando uma linguagem simples e acessível, para que leitores sem formação técnica possam entender facilmente.
Primeiro, precisamos entender que existem duas operações principais ao usar uma carteira: "assinatura" e "interação". De forma simples, a assinatura é uma operação que ocorre fora da blockchain, não necessitando do pagamento de taxas de Gas; enquanto a interação ocorre na blockchain e requer o pagamento de taxas de Gas.
Um cenário típico de assinatura é a autenticação de identidade, como ao fazer login na carteira. Quando você precisa trocar tokens em uma exchange descentralizada (DEX), primeiro deve conectar sua carteira. Durante esse processo, você precisa assinar para provar "eu sou o proprietário desta carteira". Esta etapa não terá impacto nos dados ou no estado da blockchain, portanto, não é necessário pagar taxas.
Em comparação, a interação refere-se à execução real de operações na blockchain. Por exemplo, quando você troca tokens em um DEX, você precisa primeiro pagar uma taxa, informando o contrato inteligente do DEX: "Eu autorizo você a mover meus 100USDT". Este passo é chamado de autorização (approve). Em seguida, você também precisa pagar uma taxa para informar o contrato: "Agora, por favor, execute a operação de trocar 100USDT por 1 token". Assim, você concluiu a troca de tokens.
Depois de entender as diferenças entre assinatura e interação, vamos dar uma olhada em alguns métodos comuns de phishing: phishing de autorização, phishing de assinatura de Permissão e phishing de assinatura de Permissão 2.
A autorização de phishing é uma das técnicas de phishing mais típicas nos primeiros dias do Web3. Os hackers criam um site disfarçado de um projeto normal, induzindo os usuários a clicar em botões como "reivindicar airdrop". Na verdade, a interface da carteira que aparece após o clique está solicitando que o usuário autorize o endereço do hacker a operar seus tokens. Uma vez que o usuário confirma, o hacker pode controlar os ativos do usuário.
No entanto, a autorização de phishing tem uma desvantagem: devido à necessidade de pagar taxas de Gas, muitos usuários tendem a ser mais cautelosos ao realizar operações financeiras, tornando mais fácil detectar anomalias.
As assinaturas Permit e Permit2 tornaram-se uma das principais áreas de risco para a segurança dos ativos Web3. Isso se deve principalmente ao fato de que os usuários, ao utilizarem aplicativos descentralizados (DApp), sempre precisam assinar para acessar suas carteiras. Muitas pessoas já desenvolveram o pensamento habitual de que "assinar é seguro", somado ao fato de que a assinatura não requer pagamento de taxas, e a maioria das pessoas não compreende o significado por trás de cada assinatura, tornando esse tipo de phishing mais difícil de prevenir.
O mecanismo Permit é uma extensão da funcionalidade de autorização sob o padrão ERC-20. Simplificando, permite que os usuários aprovem outras pessoas para operar seus tokens através de uma assinatura. Ao contrário da autorização tradicional (Approve), o Permit é uma assinatura em um "documento de autorização" que permite que alguém opere uma quantidade específica de tokens. A pessoa que possui este "documento de autorização" pode submetê-lo a um contrato inteligente e pagar a taxa de Gas, informando ao contrato "eu fui autorizado a operar esses tokens". Nesse processo, o usuário apenas assina, mas isso pode levar à transferência de ativos. Hackers podem, por meio de sites falsificados, substituir o botão de login da carteira por um phishing Permit, obtendo assim facilmente os ativos dos usuários.
Permit2 é uma funcionalidade lançada por uma DEX para melhorar a experiência do usuário. O objetivo é simplificar a questão da autorização e pagamento de taxas de Gas duplas que os usuários precisam fazer a cada transação. Os usuários podem conceder uma autorização completa ao contrato inteligente Permit2 de uma só vez, e depois, para cada transação, só precisam assinar, com as taxas de Gas sendo pagas pelo contrato Permit2 (que serão descontadas dos tokens trocados no final). No entanto, se o usuário já usou essa DEX anteriormente e concedeu uma autorização ilimitada, pode se tornar uma vítima de phishing do Permit2. Os hackers apenas precisam induzir o usuário a assinar, e assim podem transferir os tokens já autorizados.
De um modo geral, o phishing de autorização é quando o usuário autoriza diretamente o hacker a operar seus tokens; enquanto o phishing de assinatura é quando o usuário assina inconscientemente um "autorização" que permite a outros operar seus ativos, e o hacker utiliza essa "autorização" para transferir os ativos. O Permit é uma funcionalidade de extensão de autorização do ERC-20, enquanto o Permit2 é uma nova funcionalidade lançada por um DEX.
Para prevenir esses ataques de phishing, podemos tomar as seguintes medidas:
Desenvolver uma consciência de segurança, verificando cuidadosamente o que está a fazer a cada vez que realiza operações na carteira.
Separe grandes quantias de dinheiro das carteiras usadas no dia a dia para reduzir perdas potenciais.
Aprenda a reconhecer o formato de assinatura do Permit e Permit2. Esteja especialmente atento quando vir pedidos de assinatura que contenham os seguintes campos:
Ao entender esses princípios subjacentes e tomar as precauções adequadas, podemos proteger melhor a segurança dos nossos ativos Web3.