Основна логіка веб3 підписного фішингу: авторизація, Permit та Permit2
Останнім часом "фішинг через підпис" став найулюбленішим методом фішингу серед хакерів Web3. Незважаючи на те, що експерти галузі та великі компанії з безпеки постійно проводять просвітницькі кампанії, щодня чимало користувачів стають жертвами шахрайства. Однією з основних причин цієї ситуації є те, що більшість користувачів не розуміють основні принципи взаємодії з гаманцями, а для нетехнічних користувачів рівень входження до відповідних знань є досить високим.
Щоб допомогти більшій кількості людей зрозуміти це питання, у цій статті буде детально проаналізована основна логіка підписного фішингу у графічному форматі, і ми намагатимемося використовувати просту й зрозумілу мову, щоб читачі без технічного досвіду також могли легко зрозуміти.
По-перше, нам потрібно зрозуміти, що під час використання гаманця є два основні види операцій: "підпис" та "взаємодія". Простими словами, підпис - це операція, яка відбувається поза блокчейном і не потребує сплати Gas-кошту; тоді як взаємодія відбувається в блокчейні і потребує сплати Gas-кошту.
Типовий сценарій підпису - це перевірка особи, наприклад, вхід до гаманця. Коли вам потрібно здійснити обмін токенів на децентралізованій біржі (DEX), спочатку потрібно підключити ваш гаманець. У цьому процесі вам потрібно підписати, щоб підтвердити "я є власником цього гаманця". Цей етап не вплине на дані або стан блокчейну, тому плата не потрібна.
У порівнянні, взаємодія означає фактичне виконання операцій на блокчейні. Наприклад, коли ви обмінюєте токени на DEX, вам спочатку потрібно сплатити певну комісію, щоб повідомити смарт-контракт DEX: "Я уповноважую вас перемістити мої 100USDT". Цей крок називається уповноваженням (approve). Потім вам потрібно ще раз сплатити комісію, щоб повідомити контракт: "Тепер, будь ласка, виконайте операцію обміну 100USDT на 1 токен". Таким чином, ви завершили обмін токенів.
Зрозумівши різницю між підписом і взаємодією, давайте розглянемо кілька поширених способів фішингу: авторизаційний фішинг, фішинг підпису Permit та фішинг підпису Permit2.
Авторизаційна риболовля є одним з найтиповіших методів риболовлі на ранніх етапах Web3. Хакери створюють вебсайт, що маскується під звичайний проект, спокушаючи користувачів натискати на кнопки, такі як "Отримати аеродроп". Насправді, після натискання користувача з'являється інтерфейс гаманця, який запитує у користувача дозволу на виконання операцій з токенами хакера. Як тільки користувач підтверджує, хакер отримує контроль над активами користувача.
Однак у авторизованого фішингу є один недолік: оскільки потрібно сплачувати Gas-кошти, багато користувачів стають більш обережними під час операцій з фінансами і легше помічають аномалії.
А підписування Permit і Permit2 стало справжньою катастрофою для безпеки активів Web3. Це в основному пов'язано з тим, що користувачі завжди повинні спочатку підписати вхід до гаманця, коли використовують децентралізовані додатки (DApp). Багато людей вже сформували звичку думати, що "підпис безпечний", а також те, що підписання не потребує витрат, і більшість людей не розуміють значення кожного підпису, що ускладнює запобігання таким методам фішингу.
Механізм Permit є розширенням функції авторизації в стандарті ERC-20. Простими словами, він дозволяє користувачам затверджувати інших для операцій зі своїми токенами шляхом підписання. На відміну від традиційного дозволу (Approve), Permit - це підпис на "дозволі", що надає можливість комусь управляти вказаною кількістю токенів. Той, хто володіє цим "дозволом", може подати його до смарт-контракту і сплатити Gas-кошти, сповістивши контракт: "мене уповноважили управляти цими токенами". У цьому процесі користувач лише ставить підпис, але це може призвести до переміщення активів. Хакери можуть за допомогою підроблених сайтів замінити кнопку входу в гаманець на фішинговий Permit, що дозволяє їм легко отримати активи користувача.
Permit2 – це функція, яку деякі DEX запровадили для покращення користувацького досвіду. Її мета полягає в спрощенні проблеми з авторизацією та сплатою подвійної комісії за газ, які необхідні користувачеві під час кожної угоди. Користувач може одноразово надати повну авторизацію смарт-контракту Permit2, після чого для кожної угоди потрібно лише підписати, а комісія за газ сплачується контрактом Permit2 (в кінцевому рахунку вона буде вирахувана з обміняних токенів). Проте, якщо користувач раніше використовував цей DEX і надав безкінечну авторизацію, він може стати жертвою фішингу Permit2. Хакеру потрібно лише спонукати користувача підписати, щоб перенести вже авторизовані токени.
В загальному, авторизаційна фішинг є коли користувачі безпосередньо надають хакерам дозвіл на управління своїми токенами; тоді як підписний фішинг є коли користувачі несвідомо підписують "дозвіл", що дозволяє іншим управляти активами, а хакери потім використовують цей "дозвіл" для переміщення активів. Permit є розширеною функцією авторизації ERC-20, а Permit2 є новою функцією, запровадженою певним DEX.
Щоб запобігти цим фішинговим атакам, ми можемо вжити такі заходи:
Розвивайте свідомість безпеки, щоразу уважно перевіряйте, що саме ви робите під час операцій з гаманцем.
Розділіть великі суми коштів і гаманець для щоденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підписів Permit і Permit2. Будьте особливо обережні, коли побачите запит на підпис, що містить такі поля:
Інтерактивний:інтерактивна адреса
Власник:Адреса уповноваженого
Spender: адреса уповноваженої особи
Значення:Кількість авторизації
Нонс: випадкове число
Дедлайн:термін придатності
Зрозумівши ці основні принципи та вживаючи відповідних заходів безпеки, ми можемо краще захистити свої активи Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
9
Поділіться
Прокоментувати
0/400
OnchainHolmes
· 07-14 16:56
Ай, ще багато невдах.
Переглянути оригіналвідповісти на0
BtcDailyResearcher
· 07-14 12:54
Риболовля вбиває всю родину
Переглянути оригіналвідповісти на0
WhaleStalker
· 07-14 07:08
Потім ще хакер щось замислив.
Переглянути оригіналвідповісти на0
MemeTokenGenius
· 07-12 21:59
Гаманець новачок обов'язковий пост
Переглянути оригіналвідповісти на0
MEVEye
· 07-12 21:57
Більше вчитися, щоб менше обдурювати людей, як лохів!
Переглянути оригіналвідповісти на0
LiquidationWatcher
· 07-12 21:52
Це атаки, яких не можна уникнути, основний акцент на тому, що їх важко помітити.
Переглянути оригіналвідповісти на0
MindsetExpander
· 07-12 21:40
Цей трюк трохи застарів.
Переглянути оригіналвідповісти на0
0xDreamChaser
· 07-12 21:35
Ці шахраї мають занадто хитрі пастки.
Переглянути оригіналвідповісти на0
InscriptionGriller
· 07-12 21:33
Жовтці ще не розуміють, як вивести гроші з пастки, і вже все втратили.
Веб3 підписне фішинг-розкриття: аналіз основної логіки авторизації, Permit та Permit2
Основна логіка веб3 підписного фішингу: авторизація, Permit та Permit2
Останнім часом "фішинг через підпис" став найулюбленішим методом фішингу серед хакерів Web3. Незважаючи на те, що експерти галузі та великі компанії з безпеки постійно проводять просвітницькі кампанії, щодня чимало користувачів стають жертвами шахрайства. Однією з основних причин цієї ситуації є те, що більшість користувачів не розуміють основні принципи взаємодії з гаманцями, а для нетехнічних користувачів рівень входження до відповідних знань є досить високим.
Щоб допомогти більшій кількості людей зрозуміти це питання, у цій статті буде детально проаналізована основна логіка підписного фішингу у графічному форматі, і ми намагатимемося використовувати просту й зрозумілу мову, щоб читачі без технічного досвіду також могли легко зрозуміти.
По-перше, нам потрібно зрозуміти, що під час використання гаманця є два основні види операцій: "підпис" та "взаємодія". Простими словами, підпис - це операція, яка відбувається поза блокчейном і не потребує сплати Gas-кошту; тоді як взаємодія відбувається в блокчейні і потребує сплати Gas-кошту.
Типовий сценарій підпису - це перевірка особи, наприклад, вхід до гаманця. Коли вам потрібно здійснити обмін токенів на децентралізованій біржі (DEX), спочатку потрібно підключити ваш гаманець. У цьому процесі вам потрібно підписати, щоб підтвердити "я є власником цього гаманця". Цей етап не вплине на дані або стан блокчейну, тому плата не потрібна.
У порівнянні, взаємодія означає фактичне виконання операцій на блокчейні. Наприклад, коли ви обмінюєте токени на DEX, вам спочатку потрібно сплатити певну комісію, щоб повідомити смарт-контракт DEX: "Я уповноважую вас перемістити мої 100USDT". Цей крок називається уповноваженням (approve). Потім вам потрібно ще раз сплатити комісію, щоб повідомити контракт: "Тепер, будь ласка, виконайте операцію обміну 100USDT на 1 токен". Таким чином, ви завершили обмін токенів.
Зрозумівши різницю між підписом і взаємодією, давайте розглянемо кілька поширених способів фішингу: авторизаційний фішинг, фішинг підпису Permit та фішинг підпису Permit2.
Авторизаційна риболовля є одним з найтиповіших методів риболовлі на ранніх етапах Web3. Хакери створюють вебсайт, що маскується під звичайний проект, спокушаючи користувачів натискати на кнопки, такі як "Отримати аеродроп". Насправді, після натискання користувача з'являється інтерфейс гаманця, який запитує у користувача дозволу на виконання операцій з токенами хакера. Як тільки користувач підтверджує, хакер отримує контроль над активами користувача.
Однак у авторизованого фішингу є один недолік: оскільки потрібно сплачувати Gas-кошти, багато користувачів стають більш обережними під час операцій з фінансами і легше помічають аномалії.
А підписування Permit і Permit2 стало справжньою катастрофою для безпеки активів Web3. Це в основному пов'язано з тим, що користувачі завжди повинні спочатку підписати вхід до гаманця, коли використовують децентралізовані додатки (DApp). Багато людей вже сформували звичку думати, що "підпис безпечний", а також те, що підписання не потребує витрат, і більшість людей не розуміють значення кожного підпису, що ускладнює запобігання таким методам фішингу.
Механізм Permit є розширенням функції авторизації в стандарті ERC-20. Простими словами, він дозволяє користувачам затверджувати інших для операцій зі своїми токенами шляхом підписання. На відміну від традиційного дозволу (Approve), Permit - це підпис на "дозволі", що надає можливість комусь управляти вказаною кількістю токенів. Той, хто володіє цим "дозволом", може подати його до смарт-контракту і сплатити Gas-кошти, сповістивши контракт: "мене уповноважили управляти цими токенами". У цьому процесі користувач лише ставить підпис, але це може призвести до переміщення активів. Хакери можуть за допомогою підроблених сайтів замінити кнопку входу в гаманець на фішинговий Permit, що дозволяє їм легко отримати активи користувача.
Permit2 – це функція, яку деякі DEX запровадили для покращення користувацького досвіду. Її мета полягає в спрощенні проблеми з авторизацією та сплатою подвійної комісії за газ, які необхідні користувачеві під час кожної угоди. Користувач може одноразово надати повну авторизацію смарт-контракту Permit2, після чого для кожної угоди потрібно лише підписати, а комісія за газ сплачується контрактом Permit2 (в кінцевому рахунку вона буде вирахувана з обміняних токенів). Проте, якщо користувач раніше використовував цей DEX і надав безкінечну авторизацію, він може стати жертвою фішингу Permit2. Хакеру потрібно лише спонукати користувача підписати, щоб перенести вже авторизовані токени.
В загальному, авторизаційна фішинг є коли користувачі безпосередньо надають хакерам дозвіл на управління своїми токенами; тоді як підписний фішинг є коли користувачі несвідомо підписують "дозвіл", що дозволяє іншим управляти активами, а хакери потім використовують цей "дозвіл" для переміщення активів. Permit є розширеною функцією авторизації ERC-20, а Permit2 є новою функцією, запровадженою певним DEX.
Щоб запобігти цим фішинговим атакам, ми можемо вжити такі заходи:
Розвивайте свідомість безпеки, щоразу уважно перевіряйте, що саме ви робите під час операцій з гаманцем.
Розділіть великі суми коштів і гаманець для щоденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підписів Permit і Permit2. Будьте особливо обережні, коли побачите запит на підпис, що містить такі поля:
Зрозумівши ці основні принципи та вживаючи відповідних заходів безпеки, ми можемо краще захистити свої активи Web3.