Аналіз методів фішингу підписів Web3: від авторизації до Permit2
Нещодавно "фішинг підпису" став одним з найбільш улюблених способів атаки хакерів у Web3. Незважаючи на те, що експерти з безпеки та компанії, що займаються гаманцями, постійно поширюють відповідні знання, щодня багато користувачів потрапляють у пастку. Однією з основних причин цього є те, що більшість користувачів не розуміють базову логіку взаємодії з гаманцем, а також високий поріг для навчання.
Щоб допомогти більшій кількості людей зрозуміти це питання, ця стаття пояснить основну логіку фішингу підписів Web3 простими і зрозумілими словами, особливо для користувачів, які не знайомі з технологією.
По-перше, нам потрібно зрозуміти, що під час використання гаманця є два основних види операцій: "підпис" і "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не потребує сплати Gas-кошту; тоді як взаємодія відбувається на блокчейні (в межах ланцюга) і вимагає сплати Gas-кошту.
Підпис зазвичай використовується для автентифікації, наприклад, для входу в гаманці або підключення до певного DApp. Цей процес не впливає на блокчейн, тому не потрібно сплачувати збори. А взаємодія включає фактичні операції в ланцюгу, такі як обмін токенами на DEX, що вимагає сплати газових зборів.
Зрозумівши різницю між підписом і взаємодією, давайте розглянемо кілька поширених способів фішингу:
Авторизаційна рибалка:
Це класичний метод фішингу. Хакери створюють підроблений вебсайт, щоб спонукати користувачів виконати дії з авторизації. Коли користувачі натискають кнопки "отримати аеродроп" тощо, насправді вони авторизують адреси хакерів для операцій зі своїми токенами. Хоча цей спосіб вимагає сплати комісії за Gas, все ж є користувачі, які ненароком попадаються на гачок.
Підписування дозволів фішинг:
Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам уповноважувати інших діяти з їх токенами через підпис. Хакери можуть використовувати цей механізм, спокушаючи користувачів підписати, здавалося б, нешкідливе повідомлення, яке насправді є "документом", що дозволяє хакерам перевести активи користувачів.
Фішинг підпису Permit2:
Permit2 – це функція, яку запровадила одна з DEX, з метою спростити процеси користувачів. Однак, якщо користувач колись надав безлімітний дозвіл на контракт Permit2, хакери можуть використати це для фішингових атак.
Щоб запобігти цим фішинговим атакам, користувачі можуть вжити наступних заходів:
Підвищте обізнаність про безпеку, кожного разу ретельно перевіряйте під час операцій з гаманцем.
Розділіть великі суми грошей і гроші для щоденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підпису Permit та Permit2, будьте обережні з підписами, що містять адресу уповноваженої сторони, адресу одержувача та кількість дозволу.
В цілому, суть підписного фішингу полягає в спонуканні користувача підписати «документ», який дозволяє іншим управляти його активами. Розуміння цих принципів атак і підтримка пильності є надзвичайно важливими для захисту своїх цифрових активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
7
Поділіться
Прокоментувати
0/400
AirdropBlackHole
· 16год тому
новачок ще піддається обману?
Переглянути оригіналвідповісти на0
BearMarketHustler
· 16год тому
Знову великий подарунок для невдах
Переглянути оригіналвідповісти на0
ForkTrooper
· 16год тому
真多невдахи等着обдурювати людей, як лохів
Переглянути оригіналвідповісти на0
MonkeySeeMonkeyDo
· 16год тому
Не попадайся, підпиши спокійно
Переглянути оригіналвідповісти на0
DefiOldTrickster
· 16год тому
Я вже грав у цю пастку раніше. Чесно кажучи, краще відкритий голий рахунок.
Повний аналіз фішингу підписів у Web3: від пасток авторизації до ризиків Permit2
Аналіз методів фішингу підписів Web3: від авторизації до Permit2
Нещодавно "фішинг підпису" став одним з найбільш улюблених способів атаки хакерів у Web3. Незважаючи на те, що експерти з безпеки та компанії, що займаються гаманцями, постійно поширюють відповідні знання, щодня багато користувачів потрапляють у пастку. Однією з основних причин цього є те, що більшість користувачів не розуміють базову логіку взаємодії з гаманцем, а також високий поріг для навчання.
Щоб допомогти більшій кількості людей зрозуміти це питання, ця стаття пояснить основну логіку фішингу підписів Web3 простими і зрозумілими словами, особливо для користувачів, які не знайомі з технологією.
По-перше, нам потрібно зрозуміти, що під час використання гаманця є два основних види операцій: "підпис" і "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не потребує сплати Gas-кошту; тоді як взаємодія відбувається на блокчейні (в межах ланцюга) і вимагає сплати Gas-кошту.
Підпис зазвичай використовується для автентифікації, наприклад, для входу в гаманці або підключення до певного DApp. Цей процес не впливає на блокчейн, тому не потрібно сплачувати збори. А взаємодія включає фактичні операції в ланцюгу, такі як обмін токенами на DEX, що вимагає сплати газових зборів.
Зрозумівши різницю між підписом і взаємодією, давайте розглянемо кілька поширених способів фішингу:
Підписування дозволів фішинг: Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам уповноважувати інших діяти з їх токенами через підпис. Хакери можуть використовувати цей механізм, спокушаючи користувачів підписати, здавалося б, нешкідливе повідомлення, яке насправді є "документом", що дозволяє хакерам перевести активи користувачів.
Фішинг підпису Permit2: Permit2 – це функція, яку запровадила одна з DEX, з метою спростити процеси користувачів. Однак, якщо користувач колись надав безлімітний дозвіл на контракт Permit2, хакери можуть використати це для фішингових атак.
Щоб запобігти цим фішинговим атакам, користувачі можуть вжити наступних заходів:
В цілому, суть підписного фішингу полягає в спонуканні користувача підписати «документ», який дозволяє іншим управляти його активами. Розуміння цих принципів атак і підтримка пильності є надзвичайно важливими для захисту своїх цифрових активів.