Análisis de la lógica subyacente de la pesca con firma en Web3
Recientemente, el "phishing por firma" se ha convertido en el método de fraude más preferido por los hackers de Web3. A pesar de que los expertos en seguridad y las principales billeteras continúan promoviendo el conocimiento relacionado, cada día muchos usuarios caen en la trampa. Una de las principales razones de esta situación es que la mayoría de las personas carecen de comprensión sobre la lógica subyacente de la interacción con las billeteras, y para las personas no técnicas, la barrera de entrada es bastante alta.
Para ayudar a más personas a comprender este problema, este artículo explicará en un formato gráfico los principios subyacentes de la firma de phishing, con el objetivo de que los usuarios sin antecedentes técnicos también puedan entenderlo fácilmente.
Primero, necesitamos entender que hay principalmente dos operaciones al usar una billetera: firma e interacción. En términos simples, la firma ocurre fuera de la cadena (off-chain) y no requiere pagar tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere pagar tarifas de Gas.
Un escenario típico de firma es la verificación de identidad, por ejemplo, iniciar sesión en una billetera. Cuando deseas utilizar una aplicación descentralizada (DApp), primero necesitas conectar tu billetera y firmar para demostrar que eres el propietario de esa billetera. Este proceso no produce ningún cambio de datos o estado en la blockchain, por lo que no es necesario pagar ninguna tarifa.
En comparación, la interacción implica operaciones reales en la cadena. Por ejemplo, al intercambiar tokens en un DEX, primero necesitas autorizar al contrato inteligente para mover tus tokens (llamado "autorización" o "approve"), y luego ejecutar la operación de intercambio real. Ambos pasos requieren pagar tarifas de Gas.
Después de entender la diferencia entre la firma y la interacción, exploremos tres formas comunes de phishing: phishing de autorización, phishing de firma Permit y phishing de firma Permit2.
El phishing de autorización es una técnica clásica que aprovecha el mecanismo de autorización. Los hackers pueden crear un sitio web de phishing disfrazado de un proyecto de NFT, incitando a los usuarios a hacer clic en el botón "Reclamar airdrop". En realidad, esta acción pedirá a los usuarios que autoricen la dirección del hacker para operar con sus tokens.
Las firmas de Permit y Permit2 son aún más discretas en el phishing. Permit es una función de extensión del estándar ERC-20 que permite a los usuarios autorizar a otros a mover sus tokens a través de una firma. Permit2 es una función lanzada por un DEX que busca simplificar las operaciones del usuario y reducir los gastos de Gas. Aunque estos dos mecanismos son convenientes, también han sido aprovechados por los hackers para llevar a cabo ataques de phishing.
Para prevenir el phishing de firmas, los usuarios deben:
Cultivar la conciencia de seguridad, cada vez que realice operaciones en la billetera, verifique cuidadosamente.
Separar los fondos grandes de la billetera de uso diario para reducir las pérdidas potenciales.
Aprende a identificar el formato de firma de Permit y Permit2, incluyendo la URL de interacción, la dirección del otorgante, la dirección del autorizado, la cantidad autorizada, el número aleatorio y el tiempo de expiración, entre otra información clave.
Al comprender estos principios subyacentes y tomar las medidas de precaución adecuadas, los usuarios pueden proteger mejor sus activos digitales y evitar convertirse en víctimas de phishing de firmas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
6 me gusta
Recompensa
6
5
Compartir
Comentar
0/400
SchrödingersNode
· 07-12 10:53
¿Firmaste por la soledad?
Ver originalesResponder0
OptionWhisperer
· 07-09 17:28
El gordo ha sido engañado seis veces este año. Caminando, se le cayó la billetera.
Ver originalesResponder0
DefiPlaybook
· 07-09 12:32
Según los datos on-chain de los últimos tres meses, este tipo de ataque de phishing por firma representa el 42.7% de las pérdidas en Web3.
Ver originalesResponder0
GasFeeNightmare
· 07-09 12:26
Ah, ¿por qué mi Gas volvió a subir?
Ver originalesResponder0
TokenEconomist
· 07-09 12:24
en realidad, esto es solo criptografía básica 101...
Análisis del principio de phishing en el monedero Web3: entender la lógica subyacente para proteger los activos digitales
Análisis de la lógica subyacente de la pesca con firma en Web3
Recientemente, el "phishing por firma" se ha convertido en el método de fraude más preferido por los hackers de Web3. A pesar de que los expertos en seguridad y las principales billeteras continúan promoviendo el conocimiento relacionado, cada día muchos usuarios caen en la trampa. Una de las principales razones de esta situación es que la mayoría de las personas carecen de comprensión sobre la lógica subyacente de la interacción con las billeteras, y para las personas no técnicas, la barrera de entrada es bastante alta.
Para ayudar a más personas a comprender este problema, este artículo explicará en un formato gráfico los principios subyacentes de la firma de phishing, con el objetivo de que los usuarios sin antecedentes técnicos también puedan entenderlo fácilmente.
Primero, necesitamos entender que hay principalmente dos operaciones al usar una billetera: firma e interacción. En términos simples, la firma ocurre fuera de la cadena (off-chain) y no requiere pagar tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere pagar tarifas de Gas.
Un escenario típico de firma es la verificación de identidad, por ejemplo, iniciar sesión en una billetera. Cuando deseas utilizar una aplicación descentralizada (DApp), primero necesitas conectar tu billetera y firmar para demostrar que eres el propietario de esa billetera. Este proceso no produce ningún cambio de datos o estado en la blockchain, por lo que no es necesario pagar ninguna tarifa.
En comparación, la interacción implica operaciones reales en la cadena. Por ejemplo, al intercambiar tokens en un DEX, primero necesitas autorizar al contrato inteligente para mover tus tokens (llamado "autorización" o "approve"), y luego ejecutar la operación de intercambio real. Ambos pasos requieren pagar tarifas de Gas.
Después de entender la diferencia entre la firma y la interacción, exploremos tres formas comunes de phishing: phishing de autorización, phishing de firma Permit y phishing de firma Permit2.
El phishing de autorización es una técnica clásica que aprovecha el mecanismo de autorización. Los hackers pueden crear un sitio web de phishing disfrazado de un proyecto de NFT, incitando a los usuarios a hacer clic en el botón "Reclamar airdrop". En realidad, esta acción pedirá a los usuarios que autoricen la dirección del hacker para operar con sus tokens.
Las firmas de Permit y Permit2 son aún más discretas en el phishing. Permit es una función de extensión del estándar ERC-20 que permite a los usuarios autorizar a otros a mover sus tokens a través de una firma. Permit2 es una función lanzada por un DEX que busca simplificar las operaciones del usuario y reducir los gastos de Gas. Aunque estos dos mecanismos son convenientes, también han sido aprovechados por los hackers para llevar a cabo ataques de phishing.
Para prevenir el phishing de firmas, los usuarios deben:
Al comprender estos principios subyacentes y tomar las medidas de precaución adecuadas, los usuarios pueden proteger mejor sus activos digitales y evitar convertirse en víctimas de phishing de firmas.