Анализ методов фишинга в Web3: от авторизации до Permit2
В последнее время "фишинг с подписями" стал одним из самых популярных способов атак среди хакеров Web3. Несмотря на то, что эксперты по безопасности и компании, производящие кошельки, постоянно распространяют информацию по этой теме, каждый день многие пользователи попадают в ловушки. Одной из основных причин этой ситуации является то, что большинство пользователей не понимают основную логику взаимодействия с кошельками и уровень сложности обучения слишком высок.
Чтобы помочь большему количеству людей понять эту проблему, в статье будет просто и доступно объяснена основная логика фишинга с использованием подписей в Web3, особенно для пользователей, которые не знакомы с технологией.
Во-первых, нам нужно понять, что при использовании кошелька есть два основных действия: "подпись" и "взаимодействие". Проще говоря, подпись происходит вне блокчейна (оффчейн) и не требует уплаты комиссии за газ; в то время как взаимодействие происходит в блокчейне (онлайн) и требует уплаты комиссии за газ.
Подпись обычно используется для аутентификации, например, при входе в кошелек или подключении к какому-либо DApp. Этот процесс не оказывает никакого влияния на блокчейн, поэтому не требуется платить сборы. В то время как взаимодействие включает в себя фактические операции на цепочке, такие как обмен токенов на DEX, что требует уплаты Gas сборов.
После того как мы разобрались в различиях между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга:
Авторизованная фишинг-атака:
Это классический метод рыбалки. Хакеры создают поддельный веб-сайт, чтобы обманом заставить пользователей выполнить операции авторизации. Когда пользователи нажимают на кнопки "Получить аирдроп" и т. д., они на самом деле авторизуют адрес хакера для управления своими токенами. Хотя этот способ требует оплаты Gas, все же есть пользователи, которые по неосторожности попадаются на этот трюк.
Подпись разрешения фишинга:
Permit является расширением стандарта ERC-20, которое позволяет пользователям авторизовать других лиц для управления своими токенами через подпись. Хакеры могут воспользоваться этой механикой, заставляя пользователей подписывать сообщение, которое кажется безобидным, но на самом деле является "разрешением" для хакеров на перевод активов пользователей.
Фишинг подписи Permit2:
Permit2 — это функция, представленная некоторыми DEX, предназначенная для упрощения процесса взаимодействия пользователей. Однако, если пользователь когда-либо предоставлял неограниченные полномочия контракту Permit2, хакеры могут использовать это для проведения фишинговых атак.
Чтобы предотвратить эти фишинговые атаки, пользователи могут предпринять следующие меры:
Повышайте осведомленность о безопасности, каждый раз тщательно проверяйте при выполнении операций с кошельком.
Разделите крупные средства и деньги для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать форматы подписей Permit и Permit2, будьте осторожны с подписями, содержащими адреса сторон, получивших разрешение, адреса сторон, предоставивших разрешение, количество разрешений и другую информацию.
В общем, суть подписного фишинга заключается в том, чтобы заставить пользователя подписать "бумагу", позволяющую другим управлять своими активами. Понимание этих принципов атак и поддержание бдительности крайне важно для защиты своих цифровых активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
8
Поделиться
комментарий
0/400
MEVHunterNoLoss
· 6ч назад
Новичок действительно так беден.
Посмотреть ОригиналОтветить0
AirdropBlackHole
· 07-22 06:08
новичок еще терпит убытки?
Посмотреть ОригиналОтветить0
BearMarketHustler
· 07-22 06:07
又是разыгрывайте людей как лохов收割大礼包
Посмотреть ОригиналОтветить0
ForkTrooper
· 07-22 06:07
Правда, много неудачников ждут, чтобы разыгрывать людей как лохов.
Посмотреть ОригиналОтветить0
MonkeySeeMonkeyDo
· 07-22 06:05
Не попадайтесь на уловки, спокойно подписывайте.
Посмотреть ОригиналОтветить0
DefiOldTrickster
· 07-22 05:59
Ранее уже играл в эту ловушку, честно говоря, лучше бы просто открыл голый счет.
Полный анализ веб3-фишинга: от ловушки авторизации до рисков Permit2
Анализ методов фишинга в Web3: от авторизации до Permit2
В последнее время "фишинг с подписями" стал одним из самых популярных способов атак среди хакеров Web3. Несмотря на то, что эксперты по безопасности и компании, производящие кошельки, постоянно распространяют информацию по этой теме, каждый день многие пользователи попадают в ловушки. Одной из основных причин этой ситуации является то, что большинство пользователей не понимают основную логику взаимодействия с кошельками и уровень сложности обучения слишком высок.
Чтобы помочь большему количеству людей понять эту проблему, в статье будет просто и доступно объяснена основная логика фишинга с использованием подписей в Web3, особенно для пользователей, которые не знакомы с технологией.
Во-первых, нам нужно понять, что при использовании кошелька есть два основных действия: "подпись" и "взаимодействие". Проще говоря, подпись происходит вне блокчейна (оффчейн) и не требует уплаты комиссии за газ; в то время как взаимодействие происходит в блокчейне (онлайн) и требует уплаты комиссии за газ.
Подпись обычно используется для аутентификации, например, при входе в кошелек или подключении к какому-либо DApp. Этот процесс не оказывает никакого влияния на блокчейн, поэтому не требуется платить сборы. В то время как взаимодействие включает в себя фактические операции на цепочке, такие как обмен токенов на DEX, что требует уплаты Gas сборов.
После того как мы разобрались в различиях между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга:
Подпись разрешения фишинга: Permit является расширением стандарта ERC-20, которое позволяет пользователям авторизовать других лиц для управления своими токенами через подпись. Хакеры могут воспользоваться этой механикой, заставляя пользователей подписывать сообщение, которое кажется безобидным, но на самом деле является "разрешением" для хакеров на перевод активов пользователей.
Фишинг подписи Permit2: Permit2 — это функция, представленная некоторыми DEX, предназначенная для упрощения процесса взаимодействия пользователей. Однако, если пользователь когда-либо предоставлял неограниченные полномочия контракту Permit2, хакеры могут использовать это для проведения фишинговых атак.
Чтобы предотвратить эти фишинговые атаки, пользователи могут предпринять следующие меры:
В общем, суть подписного фишинга заключается в том, чтобы заставить пользователя подписать "бумагу", позволяющую другим управлять своими активами. Понимание этих принципов атак и поддержание бдительности крайне важно для защиты своих цифровых активов.