Web3 İmza Phishing'in Temel Mantığı: Yetkilendirme, Permit ve Permit2
Son zamanlarda, "imza phishing" Web3 korsanlarının en çok tercih ettiği oltalama yöntemi haline geldi. Sektördeki uzmanlar ve büyük cüzdanlar ile güvenlik şirketleri sürekli olarak bilinçlendirme çalışmaları yapmalarına rağmen, her gün birçok kullanıcı dolandırılmaya devam ediyor. Bunun başlıca nedenlerinden biri, çoğu kullanıcının cüzdan etkileşimlerinin temel prensiplerini anlamaması ve teknik olmayan kişiler için ilgili bilgilerin öğrenme eşiğinin yüksek olması.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, bu makalede imza phishing'in temel mantığını ayrıntılı bir şekilde grafiklerle açıklayacak ve mümkün olduğunca basit ve anlaşılır bir dil kullanarak teknik geçmişi olmayan okuyucuların da kolayca anlamasını sağlayacağız.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imzalama" ve "etkileşim". Kısacası, imzalama blok zincirinin dışında gerçekleşen bir işlemdir ve Gas ücreti ödemeye gerek yoktur; etkileşim ise blok zincirinde gerçekleşir ve Gas ücreti ödenmesi gerekir.
İmza atmanın tipik bir senaryosu kimlik doğrulamasıdır, örneğin cüzdana giriş yaparken. Bir merkeziyetsiz borsa (DEX) üzerinde token takası yapmanız gerektiğinde, önce cüzdanınızı bağlamanız gerekir. Bu süreçte, "Ben bu cüzdanın sahibiyim" demek için imza atmanız gerekir. Bu adım, blok zincirinin verilerine veya durumuna herhangi bir etki etmez, bu nedenle ücret ödemeniz gerekmez.
Buna karşılık, etkileşim, blok zinciri üzerinde gerçek işlemler gerçekleştirmeyi ifade eder. Örneğin, DEX'te token takası yaparken önce bir ücret ödemeniz gerekir, DEX'in akıllı sözleşmesine "100USDT'yi hareket ettirmek için sana yetki veriyorum" demelisiniz. Bu adım yetkilendirme (approve) olarak adlandırılır. Ardından, sözleşmeye "Şimdi 100USDT ile 1 token değiştirme işlemini gerçekleştir lütfen" demek için bir ücret daha ödemeniz gerekir. Böylece token takasını tamamlamış olursunuz.
İmza ile etkileşim arasındaki farkı anladıktan sonra, yaygın birkaç dolandırıcılık yöntemine bakalım: Yetkilendirme dolandırıcılığı, Permit imza dolandırıcılığı ve Permit2 imza dolandırıcılığı.
Yetkilendirme phishing, Web3'ün erken dönemlerinde en tipik phishing yöntemlerinden biridir. Hackerlar, kullanıcıları "airdrop al" gibi butonlara tıklamaya yönlendirmek için normal bir projeye benzeyen bir web sitesi oluşturur. Aslında, kullanıcı tıkladığında açılan cüzdan arayüzü, kullanıcının kendi token'ları üzerinde hacker adresinin işlem yapması için yetki isteğinde bulunmaktadır. Kullanıcı onayladığında, hacker kullanıcının varlıklarını kontrol edebilir.
Ancak, yetkilendirilmiş phishing'in bir dezavantajı var: Gas ücreti ödenmesi gerektiğinden, birçok kullanıcı para işlemleri söz konusu olduğunda daha temkinli davranır ve anormallikleri daha kolay fark eder.
Permit ve Permit2 imza oltalaması, mevcut Web3 varlık güvenliğinin en büyük sorunlarından biri haline geldi. Bunun başlıca nedeni, kullanıcıların merkeziyetsiz uygulamaları (DApp) kullanırken her zaman cüzdanlarına giriş yapmak için imza atması gerektiğidir. Birçok kişi, "imza güvenlidir" şeklinde bir alışkanlık geliştirmiştir. Ayrıca imza atmanın herhangi bir ücret gerektirmemesi ve çoğu insanın her imzanın arkasında yatan anlamı anlamaması, bu tür oltalama yöntemlerini daha da zor hale getiriyor.
Permit mekanizması, ERC-20 standardındaki yetkilendirme fonksiyonunun bir genişletmesidir. Kısacası, kullanıcıların imzalı bir şekilde başkalarına kendi tokenlerini kullanma yetkisi vermesine olanak tanır. Geleneksel yetkilendirmeden (Approve) farklı olarak, Permit, kullanıcıların bir "yetkilendirme belgesi" üzerinde imza atarak belirli bir miktar tokenin kullanılmasına izin vermesidir. Bu "yetkilendirme belgesi"ne sahip olan kişi, akıllı kontrata başvurabilir ve Gas ücreti ödeyerek kontrata "ben bu tokenleri kullanma yetkisine sahibim" bilgisini verebilir. Bu süreçte, kullanıcı sadece imza atar, ancak bu durum varlıkların transfer edilmesine neden olabilir. Hackerlar, sahte web siteleri aracılığıyla, cüzdana giriş butonunu Permit oltalama ile değiştirebilir ve böylece kullanıcıların varlıklarını kolayca elde edebilir.
Permit2, kullanıcı deneyimini artırmak için belirli bir DEX tarafından sunulan bir özelliktir. Amacı, kullanıcıların her işlemde yetkilendirme yapma ve çift Gas ücreti ödeme gereksinimini basitleştirmektir. Kullanıcılar, Permit2 akıllı sözleşmesine bir defada tam yetki verebilir, ardından her işlem için yalnızca imza atmak yeterlidir, Gas ücreti Permit2 sözleşmesi tarafından ödenir (sonunda değiştirilen tokenlerden düşülür). Ancak, kullanıcı daha önce bu DEX'i kullanmış ve sınırsız yetki vermişse, Permit2 dolandırıcılığının kurbanı olabilir. Hacker, kullanıcıyı imza atmaya ikna ettiğinde, yetkilendirilmiş tokenleri transfer edebilir.
Genel olarak, yetkilendirme phishing'i kullanıcının doğrudan bir hacker'a kendi token'larını kullanma izni vermesidir; imza phishing'i ise kullanıcının bilmeden başkalarının varlıklarını yönetmesine izin veren bir "yetki belgesi" imzalamasıdır, hacker daha sonra bu "yetki belgesi"ni kullanarak varlıkları transfer eder. Permit, ERC-20'nin yetkilendirme genişletme fonksiyonudur, Permit2 ise bir DEX'in sunduğu yeni bir özelliktir.
Bu tür oltalama saldırılarını önlemek için aşağıdaki önlemleri alabiliriz:
Güvenlik bilincini geliştirin, her cüzdan işlemi yaparken ne yaptığınızı dikkatlice kontrol edin.
Büyük miktardaki fonları ve günlük kullanılan cüzdanı ayırarak potansiyel kayıpları azaltın.
Permit ve Permit2'nin imza formatını tanımayı öğrenin. Aşağıdaki alanları içeren imza taleplerini gördüğünüzde özellikle dikkatli olun:
İnteraktif:etkileşimli web sitesi
Sahibi:Yetki veren adres
Harcayıcı: Yetkilendirilmiş taraf adresi
Değer: Yetkilendirilmiş Miktar
Nonce: rastgele sayı
Son Tarih:geçerlilik süresi
Bu temel prensimleri anlayarak ve uygun önlemler alarak, Web3 varlıklarımızı daha iyi koruyabiliriz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 Likes
Reward
17
9
Share
Comment
0/400
OnchainHolmes
· 07-14 16:56
Ah, hala kandırılan enayiler çok sayıda.
View OriginalReply0
BtcDailyResearcher
· 07-14 12:54
Aileyi balık tutarak öldür
View OriginalReply0
WhaleStalker
· 07-14 07:08
Arkasında hala hackerların işleri var.
View OriginalReply0
MemeTokenGenius
· 07-12 21:59
Cüzdan acemi必备贴
View OriginalReply0
MEVEye
· 07-12 21:57
Daha çok şey öğrenmek, insanların enayi yerine koymasından daha az etkilenmektir!
View OriginalReply0
LiquidationWatcher
· 07-12 21:52
Hepsi savunulamaz, saldırılar bir savunma ile karşılaşılamaz.
View OriginalReply0
MindsetExpander
· 07-12 21:40
Bu numara biraz eski.
View OriginalReply0
0xDreamChaser
· 07-12 21:35
Bu dolandırıcıların tuzakları çok derin.
View OriginalReply0
InscriptionGriller
· 07-12 21:33
Chives hala tuzak fonlarının yöntemlerini anlamıyor, hepsini kaybetti.
Web3 İmza Phishing Açıklaması: Yetkilendirme, Permit ve Permit2'nin Temel Mantığının Analizi
Web3 İmza Phishing'in Temel Mantığı: Yetkilendirme, Permit ve Permit2
Son zamanlarda, "imza phishing" Web3 korsanlarının en çok tercih ettiği oltalama yöntemi haline geldi. Sektördeki uzmanlar ve büyük cüzdanlar ile güvenlik şirketleri sürekli olarak bilinçlendirme çalışmaları yapmalarına rağmen, her gün birçok kullanıcı dolandırılmaya devam ediyor. Bunun başlıca nedenlerinden biri, çoğu kullanıcının cüzdan etkileşimlerinin temel prensiplerini anlamaması ve teknik olmayan kişiler için ilgili bilgilerin öğrenme eşiğinin yüksek olması.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, bu makalede imza phishing'in temel mantığını ayrıntılı bir şekilde grafiklerle açıklayacak ve mümkün olduğunca basit ve anlaşılır bir dil kullanarak teknik geçmişi olmayan okuyucuların da kolayca anlamasını sağlayacağız.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imzalama" ve "etkileşim". Kısacası, imzalama blok zincirinin dışında gerçekleşen bir işlemdir ve Gas ücreti ödemeye gerek yoktur; etkileşim ise blok zincirinde gerçekleşir ve Gas ücreti ödenmesi gerekir.
İmza atmanın tipik bir senaryosu kimlik doğrulamasıdır, örneğin cüzdana giriş yaparken. Bir merkeziyetsiz borsa (DEX) üzerinde token takası yapmanız gerektiğinde, önce cüzdanınızı bağlamanız gerekir. Bu süreçte, "Ben bu cüzdanın sahibiyim" demek için imza atmanız gerekir. Bu adım, blok zincirinin verilerine veya durumuna herhangi bir etki etmez, bu nedenle ücret ödemeniz gerekmez.
Buna karşılık, etkileşim, blok zinciri üzerinde gerçek işlemler gerçekleştirmeyi ifade eder. Örneğin, DEX'te token takası yaparken önce bir ücret ödemeniz gerekir, DEX'in akıllı sözleşmesine "100USDT'yi hareket ettirmek için sana yetki veriyorum" demelisiniz. Bu adım yetkilendirme (approve) olarak adlandırılır. Ardından, sözleşmeye "Şimdi 100USDT ile 1 token değiştirme işlemini gerçekleştir lütfen" demek için bir ücret daha ödemeniz gerekir. Böylece token takasını tamamlamış olursunuz.
İmza ile etkileşim arasındaki farkı anladıktan sonra, yaygın birkaç dolandırıcılık yöntemine bakalım: Yetkilendirme dolandırıcılığı, Permit imza dolandırıcılığı ve Permit2 imza dolandırıcılığı.
Yetkilendirme phishing, Web3'ün erken dönemlerinde en tipik phishing yöntemlerinden biridir. Hackerlar, kullanıcıları "airdrop al" gibi butonlara tıklamaya yönlendirmek için normal bir projeye benzeyen bir web sitesi oluşturur. Aslında, kullanıcı tıkladığında açılan cüzdan arayüzü, kullanıcının kendi token'ları üzerinde hacker adresinin işlem yapması için yetki isteğinde bulunmaktadır. Kullanıcı onayladığında, hacker kullanıcının varlıklarını kontrol edebilir.
Ancak, yetkilendirilmiş phishing'in bir dezavantajı var: Gas ücreti ödenmesi gerektiğinden, birçok kullanıcı para işlemleri söz konusu olduğunda daha temkinli davranır ve anormallikleri daha kolay fark eder.
Permit ve Permit2 imza oltalaması, mevcut Web3 varlık güvenliğinin en büyük sorunlarından biri haline geldi. Bunun başlıca nedeni, kullanıcıların merkeziyetsiz uygulamaları (DApp) kullanırken her zaman cüzdanlarına giriş yapmak için imza atması gerektiğidir. Birçok kişi, "imza güvenlidir" şeklinde bir alışkanlık geliştirmiştir. Ayrıca imza atmanın herhangi bir ücret gerektirmemesi ve çoğu insanın her imzanın arkasında yatan anlamı anlamaması, bu tür oltalama yöntemlerini daha da zor hale getiriyor.
Permit mekanizması, ERC-20 standardındaki yetkilendirme fonksiyonunun bir genişletmesidir. Kısacası, kullanıcıların imzalı bir şekilde başkalarına kendi tokenlerini kullanma yetkisi vermesine olanak tanır. Geleneksel yetkilendirmeden (Approve) farklı olarak, Permit, kullanıcıların bir "yetkilendirme belgesi" üzerinde imza atarak belirli bir miktar tokenin kullanılmasına izin vermesidir. Bu "yetkilendirme belgesi"ne sahip olan kişi, akıllı kontrata başvurabilir ve Gas ücreti ödeyerek kontrata "ben bu tokenleri kullanma yetkisine sahibim" bilgisini verebilir. Bu süreçte, kullanıcı sadece imza atar, ancak bu durum varlıkların transfer edilmesine neden olabilir. Hackerlar, sahte web siteleri aracılığıyla, cüzdana giriş butonunu Permit oltalama ile değiştirebilir ve böylece kullanıcıların varlıklarını kolayca elde edebilir.
Permit2, kullanıcı deneyimini artırmak için belirli bir DEX tarafından sunulan bir özelliktir. Amacı, kullanıcıların her işlemde yetkilendirme yapma ve çift Gas ücreti ödeme gereksinimini basitleştirmektir. Kullanıcılar, Permit2 akıllı sözleşmesine bir defada tam yetki verebilir, ardından her işlem için yalnızca imza atmak yeterlidir, Gas ücreti Permit2 sözleşmesi tarafından ödenir (sonunda değiştirilen tokenlerden düşülür). Ancak, kullanıcı daha önce bu DEX'i kullanmış ve sınırsız yetki vermişse, Permit2 dolandırıcılığının kurbanı olabilir. Hacker, kullanıcıyı imza atmaya ikna ettiğinde, yetkilendirilmiş tokenleri transfer edebilir.
Genel olarak, yetkilendirme phishing'i kullanıcının doğrudan bir hacker'a kendi token'larını kullanma izni vermesidir; imza phishing'i ise kullanıcının bilmeden başkalarının varlıklarını yönetmesine izin veren bir "yetki belgesi" imzalamasıdır, hacker daha sonra bu "yetki belgesi"ni kullanarak varlıkları transfer eder. Permit, ERC-20'nin yetkilendirme genişletme fonksiyonudur, Permit2 ise bir DEX'in sunduğu yeni bir özelliktir.
Bu tür oltalama saldırılarını önlemek için aşağıdaki önlemleri alabiliriz:
Güvenlik bilincini geliştirin, her cüzdan işlemi yaparken ne yaptığınızı dikkatlice kontrol edin.
Büyük miktardaki fonları ve günlük kullanılan cüzdanı ayırarak potansiyel kayıpları azaltın.
Permit ve Permit2'nin imza formatını tanımayı öğrenin. Aşağıdaki alanları içeren imza taleplerini gördüğünüzde özellikle dikkatli olun:
Bu temel prensimleri anlayarak ve uygun önlemler alarak, Web3 varlıklarımızı daha iyi koruyabiliriz.