Основная логика веб3-фишинга: авторизация, Permit и Permit2
В последнее время «фишинг с подписями» стал наиболее популярным методом фишинга среди хакеров Web3. Несмотря на то что эксперты отрасли и крупные компании по безопасности постоянно проводят просветительскую работу, ежедневно множество пользователей продолжают попадаться на уловки. Одной из основных причин этой ситуации является то, что большинство пользователей не понимают основополагающие принципы взаимодействия с кошельками, а для нетехнических специалистов порог вхождения в изучение соответствующих знаний довольно высок.
Чтобы помочь большему числу людей понять эту проблему, в данной статье будет подробно разобрана основная логика фишинга с использованием подписей в графическом формате, а также постараемся использовать простой и понятный язык, чтобы читатели без технического фона могли легко понять.
Во-первых, нам нужно понять, что при использовании кошелька существуют два основных действия: "подписание" и "взаимодействие". Проще говоря, подписание — это действие, происходящее вне блокчейна, за которое не нужно платить Gas; а взаимодействие — это действие, происходящее на блокчейне, за которое нужно платить Gas.
Типичный сценарий подписи - это аутентификация, например, вход в кошелек. Когда вам нужно обменять токены на децентрализованной бирже (DEX), сначала необходимо подключить ваш кошелек. В этом процессе вам нужно подписать, чтобы подтвердить: "Я являюсь владельцем этого кошелька". Этот шаг не повлияет на данные или состояние блокчейна, поэтому платить за него не нужно.
В отличие от этого, интерактивность означает фактическое выполнение операций на блокчейне. Например, когда вы обмениваете токены на DEX, вам сначала нужно оплатить сбор, чтобы сообщить смарт-контракту DEX: "Я разрешаю тебе переместить мои 100 USDT". Этот шаг называется авторизацией (approve). Затем вам нужно снова заплатить сбор, чтобы сообщить контракту: "Теперь, пожалуйста, выполните операцию обмена 100 USDT на 1 токен". Таким образом, вы завершаете обмен токенов.
Поняв разницу между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга: фишинг авторизации, фишинг подписи Permit и фишинг подписи Permit2.
Авторизация фишинга является одним из самых типичных методов фишинга на ранних этапах Web3. Хакеры создают сайт, который маскируется под обычный проект, чтобы заставить пользователей нажать на кнопки, такие как "Получить аирдроп". На самом деле, интерфейс кошелька, который появляется после нажатия пользователем, запрашивает разрешение на действия с токенами пользователя от имени хакерского адреса. Как только пользователь подтверждает, хакер получает контроль над активами пользователя.
Однако, у авторизованного фишинга есть один недостаток: из-за необходимости платить Gas-фе, многие пользователи становятся более осторожными при проведении финансовых операций и легче замечают аномалии.
Фишинг с подписями Permit и Permit2 стал настоящей бедой для безопасности активов Web3. Это связано с тем, что пользователи при использовании децентрализованных приложений (DApp) всегда должны сначала подписать вход в кошелек. Многие уже сформировали инерционное мышление «подпись безопасна», и, поскольку подпись не требует оплаты, а большинство людей не понимает значения каждой подписи, такие методы фишинга становятся все труднее предотвращать.
Механизм Permit является расширением функции авторизации в стандарте ERC-20. Проще говоря, он позволяет пользователям одобрять другим возможность управлять своими токенами с помощью подписи. В отличие от традиционного одобрения (Approve), Permit — это подпись пользователя на "разрешении", позволяющая кому-то управлять определенным количеством токенов. Держатель этого "разрешения" может подать заявку в смарт-контракт и оплатить Gas, сообщая контракту "Я уполномочен управлять этими токенами". В этом процессе пользователь просто ставит свою подпись, но это может привести к передаче активов. Хакеры могут подменить кнопку входа в кошелек на фишинговую ссылку Permit на поддельном сайте, легко завладев активами пользователя.
Permit2 — это функция, запущенная некоторыми DEX для улучшения пользовательского опыта. Ее цель — упростить проблему, когда пользователям необходимо каждый раз разрешать и оплачивать двойные Gas-расходы при каждой сделке. Пользователи могут единовременно предоставить полное разрешение смарт-контракту Permit2, после чего для каждой сделки потребуется только подпись, а Gas-расходы оплачиваются контрактом Permit2 (в конечном итоге вычитаются из обменянных токенов). Однако, если пользователь ранее использовал этот DEX и предоставил неограниченное разрешение, он может стать жертвой фишинга Permit2. Хакерам достаточно заманить пользователя на подпись, чтобы перенести уже разрешенные токены.
В общем, авторизационная фишинг-атака заключается в том, что пользователь напрямую разрешает хакеру управлять своими токенами; в то время как фишинг с подписями заключается в том, что пользователь незнающим образом подписывает "разрешение", позволяющее другим управлять активами, а хакер затем использует это "разрешение" для перевода активов. Permit — это расширенная функция авторизации ERC-20, а Permit2 — это новая функция, предложенная некоторыми DEX.
Чтобы предотвратить эти фишинговые атаки, мы можем предпринять следующие меры:
Развивайте осознание безопасности, каждый раз, выполняя операции с кошельком, тщательно проверяйте, что именно вы делаете.
Разделите крупные суммы средств и кошелек для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать формат подписей Permit и Permit2. Будьте особенно осторожны, когда видите запрос на подпись, содержащий следующие поля:
Interactive:интерактивный сайт
Владелец:адрес уполномоченного лица
Spender: адрес уполномоченного лица
Значение:授权数量
Nonce: случайное число
Срок: время истечения
Понимая эти основные принципы и принимая соответствующие меры предосторожности, мы можем лучше защитить свои активы Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
9
Поделиться
комментарий
0/400
OnchainHolmes
· 07-14 16:56
Эх, еще много неудачников, которые продолжают попадаться на уловки.
Посмотреть ОригиналОтветить0
BtcDailyResearcher
· 07-14 12:54
Удачи с рыбалкой, вся семья!
Посмотреть ОригиналОтветить0
WhaleStalker
· 07-14 07:08
Позади еще есть Хакер, который творит беспорядки.
Посмотреть ОригиналОтветить0
MemeTokenGenius
· 07-12 21:59
Кошелек новичок必备贴
Посмотреть ОригиналОтветить0
MEVEye
· 07-12 21:57
Учитесь больше, чтобы меньше разыгрывайте людей как лохов!
Посмотреть ОригиналОтветить0
LiquidationWatcher
· 07-12 21:52
Все атаки не могут быть предотвращены, они нацелены на то, чтобы быть неожиданными.
Посмотреть ОригиналОтветить0
MindsetExpander
· 07-12 21:40
Этот трюк немного устарел.
Посмотреть ОригиналОтветить0
0xDreamChaser
· 07-12 21:35
Эти уловки мошенников слишком глубоки.
Посмотреть ОригиналОтветить0
InscriptionGriller
· 07-12 21:33
韭韭 еще не понимает методов ловушки по выводу средств и уже все проиграл.
Web3 подпись фишинга раскрыта: анализ базовой логики авторизации, Permit и Permit2
Основная логика веб3-фишинга: авторизация, Permit и Permit2
В последнее время «фишинг с подписями» стал наиболее популярным методом фишинга среди хакеров Web3. Несмотря на то что эксперты отрасли и крупные компании по безопасности постоянно проводят просветительскую работу, ежедневно множество пользователей продолжают попадаться на уловки. Одной из основных причин этой ситуации является то, что большинство пользователей не понимают основополагающие принципы взаимодействия с кошельками, а для нетехнических специалистов порог вхождения в изучение соответствующих знаний довольно высок.
Чтобы помочь большему числу людей понять эту проблему, в данной статье будет подробно разобрана основная логика фишинга с использованием подписей в графическом формате, а также постараемся использовать простой и понятный язык, чтобы читатели без технического фона могли легко понять.
Во-первых, нам нужно понять, что при использовании кошелька существуют два основных действия: "подписание" и "взаимодействие". Проще говоря, подписание — это действие, происходящее вне блокчейна, за которое не нужно платить Gas; а взаимодействие — это действие, происходящее на блокчейне, за которое нужно платить Gas.
Типичный сценарий подписи - это аутентификация, например, вход в кошелек. Когда вам нужно обменять токены на децентрализованной бирже (DEX), сначала необходимо подключить ваш кошелек. В этом процессе вам нужно подписать, чтобы подтвердить: "Я являюсь владельцем этого кошелька". Этот шаг не повлияет на данные или состояние блокчейна, поэтому платить за него не нужно.
В отличие от этого, интерактивность означает фактическое выполнение операций на блокчейне. Например, когда вы обмениваете токены на DEX, вам сначала нужно оплатить сбор, чтобы сообщить смарт-контракту DEX: "Я разрешаю тебе переместить мои 100 USDT". Этот шаг называется авторизацией (approve). Затем вам нужно снова заплатить сбор, чтобы сообщить контракту: "Теперь, пожалуйста, выполните операцию обмена 100 USDT на 1 токен". Таким образом, вы завершаете обмен токенов.
Поняв разницу между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга: фишинг авторизации, фишинг подписи Permit и фишинг подписи Permit2.
Авторизация фишинга является одним из самых типичных методов фишинга на ранних этапах Web3. Хакеры создают сайт, который маскируется под обычный проект, чтобы заставить пользователей нажать на кнопки, такие как "Получить аирдроп". На самом деле, интерфейс кошелька, который появляется после нажатия пользователем, запрашивает разрешение на действия с токенами пользователя от имени хакерского адреса. Как только пользователь подтверждает, хакер получает контроль над активами пользователя.
Однако, у авторизованного фишинга есть один недостаток: из-за необходимости платить Gas-фе, многие пользователи становятся более осторожными при проведении финансовых операций и легче замечают аномалии.
Фишинг с подписями Permit и Permit2 стал настоящей бедой для безопасности активов Web3. Это связано с тем, что пользователи при использовании децентрализованных приложений (DApp) всегда должны сначала подписать вход в кошелек. Многие уже сформировали инерционное мышление «подпись безопасна», и, поскольку подпись не требует оплаты, а большинство людей не понимает значения каждой подписи, такие методы фишинга становятся все труднее предотвращать.
Механизм Permit является расширением функции авторизации в стандарте ERC-20. Проще говоря, он позволяет пользователям одобрять другим возможность управлять своими токенами с помощью подписи. В отличие от традиционного одобрения (Approve), Permit — это подпись пользователя на "разрешении", позволяющая кому-то управлять определенным количеством токенов. Держатель этого "разрешения" может подать заявку в смарт-контракт и оплатить Gas, сообщая контракту "Я уполномочен управлять этими токенами". В этом процессе пользователь просто ставит свою подпись, но это может привести к передаче активов. Хакеры могут подменить кнопку входа в кошелек на фишинговую ссылку Permit на поддельном сайте, легко завладев активами пользователя.
Permit2 — это функция, запущенная некоторыми DEX для улучшения пользовательского опыта. Ее цель — упростить проблему, когда пользователям необходимо каждый раз разрешать и оплачивать двойные Gas-расходы при каждой сделке. Пользователи могут единовременно предоставить полное разрешение смарт-контракту Permit2, после чего для каждой сделки потребуется только подпись, а Gas-расходы оплачиваются контрактом Permit2 (в конечном итоге вычитаются из обменянных токенов). Однако, если пользователь ранее использовал этот DEX и предоставил неограниченное разрешение, он может стать жертвой фишинга Permit2. Хакерам достаточно заманить пользователя на подпись, чтобы перенести уже разрешенные токены.
В общем, авторизационная фишинг-атака заключается в том, что пользователь напрямую разрешает хакеру управлять своими токенами; в то время как фишинг с подписями заключается в том, что пользователь незнающим образом подписывает "разрешение", позволяющее другим управлять активами, а хакер затем использует это "разрешение" для перевода активов. Permit — это расширенная функция авторизации ERC-20, а Permit2 — это новая функция, предложенная некоторыми DEX.
Чтобы предотвратить эти фишинговые атаки, мы можем предпринять следующие меры:
Развивайте осознание безопасности, каждый раз, выполняя операции с кошельком, тщательно проверяйте, что именно вы делаете.
Разделите крупные суммы средств и кошелек для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать формат подписей Permit и Permit2. Будьте особенно осторожны, когда видите запрос на подпись, содержащий следующие поля:
Понимая эти основные принципы и принимая соответствующие меры предосторожности, мы можем лучше защитить свои активы Web3.