Analyse de la logique sous-jacente de l'hameçonnage par signature Web3
Récemment, le "phishing par signature" est devenu la méthode de fraude préférée des hackers Web3. Bien que les experts en sécurité et les principaux portefeuilles continuent de promouvoir des connaissances à ce sujet, de nombreux utilisateurs tombent encore dans le piège chaque jour. L'une des principales raisons de cette situation est que la plupart des gens manquent de compréhension des logiques sous-jacentes des interactions avec les portefeuilles, et pour les non-techniciens, la barrière à l'apprentissage est assez élevée.
Pour aider un plus grand nombre de personnes à comprendre ce problème, cet article expliquera en profondeur et de manière accessible les principes fondamentaux de l'hameçonnage par signature, en veillant à ce que même les utilisateurs sans formation technique puissent comprendre facilement.
Tout d'abord, nous devons comprendre qu'il existe principalement deux types d'opérations lors de l'utilisation d'un portefeuille : la signature et l'interaction. En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de paiement de frais de Gas ; tandis que l'interaction se produit sur la blockchain (en chaîne) et nécessite le paiement de frais de Gas.
Un scénario typique de signature est la vérification de l'identité, par exemple lors de la connexion à un portefeuille. Lorsque vous souhaitez utiliser une application décentralisée (DApp), vous devez d'abord connecter votre portefeuille et signer pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus ne génère aucune donnée ou changement d'état sur la blockchain, il n'est donc pas nécessaire de payer de frais.
En revanche, l'interaction implique des opérations réelles sur la chaîne. Par exemple, lorsque vous échangez des tokens sur un DEX, vous devez d'abord autoriser le contrat intelligent à déplacer vos tokens (appelé "autorisation" ou "approve"), puis exécuter l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.
Après avoir compris la différence entre la signature et l'interaction, examinons les trois types courants de phishing : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing autorisé est une technique classique qui exploite le mécanisme d'autorisation. Les hackers peuvent créer un site Web de phishing déguisé en projet NFT, incitant les utilisateurs à cliquer sur le bouton "Recevoir l'airdrop". En réalité, cette opération demande aux utilisateurs d'autoriser l'adresse du hacker à manipuler leurs jetons.
Les signatures de phishing avec Permit et Permit2 sont encore plus discrètes. Permit est une fonctionnalité étendue de la norme ERC-20, permettant aux utilisateurs d'autoriser d'autres personnes à déplacer leurs jetons par le biais de signatures. Permit2 est une fonctionnalité lancée par un DEX, visant à simplifier les opérations des utilisateurs et à réduire les frais de Gas. Bien que ces deux mécanismes soient pratiques, ils ont également été exploités par des hackers pour mener des attaques de phishing.
Pour prévenir le phishing par signature, les utilisateurs devraient :
Développer une conscience de la sécurité, vérifier soigneusement chaque opération de portefeuille.
Séparer les fonds importants du portefeuille utilisé au quotidien pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2, y compris l'URL d'interaction, l'adresse de l'autorisateur, l'adresse du mandataire, le montant autorisé, le nombre aléatoire et d'autres informations clés telles que la date d'expiration.
En comprenant ces principes sous-jacents et en prenant des mesures de prévention appropriées, les utilisateurs peuvent mieux protéger leurs actifs numériques et éviter de devenir des victimes de phishing par signature.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
6 J'aime
Récompense
6
5
Partager
Commentaire
0/400
SchrödingersNode
· 07-12 10:53
Tu as signé pour la solitude ?
Voir l'originalRépondre0
OptionWhisperer
· 07-09 17:28
Le gros a encore été piégé six fois cette année. En marchant, il a perdu son portefeuille.
Voir l'originalRépondre0
DefiPlaybook
· 07-09 12:32
Selon les données off-chain des trois derniers mois, les attaques de phishing par signature représentent 42,7 % des pertes dans le Web3.
Voir l'originalRépondre0
GasFeeNightmare
· 07-09 12:26
Ah, mon Gas a encore augmenté.
Voir l'originalRépondre0
TokenEconomist
· 07-09 12:24
en fait, c'est juste de la cryptographie de base 101...
Analyse du principe de phishing par signature de portefeuille Web3 : comprendre la logique sous-jacente pour protéger les actifs numériques
Analyse de la logique sous-jacente de l'hameçonnage par signature Web3
Récemment, le "phishing par signature" est devenu la méthode de fraude préférée des hackers Web3. Bien que les experts en sécurité et les principaux portefeuilles continuent de promouvoir des connaissances à ce sujet, de nombreux utilisateurs tombent encore dans le piège chaque jour. L'une des principales raisons de cette situation est que la plupart des gens manquent de compréhension des logiques sous-jacentes des interactions avec les portefeuilles, et pour les non-techniciens, la barrière à l'apprentissage est assez élevée.
Pour aider un plus grand nombre de personnes à comprendre ce problème, cet article expliquera en profondeur et de manière accessible les principes fondamentaux de l'hameçonnage par signature, en veillant à ce que même les utilisateurs sans formation technique puissent comprendre facilement.
Tout d'abord, nous devons comprendre qu'il existe principalement deux types d'opérations lors de l'utilisation d'un portefeuille : la signature et l'interaction. En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de paiement de frais de Gas ; tandis que l'interaction se produit sur la blockchain (en chaîne) et nécessite le paiement de frais de Gas.
Un scénario typique de signature est la vérification de l'identité, par exemple lors de la connexion à un portefeuille. Lorsque vous souhaitez utiliser une application décentralisée (DApp), vous devez d'abord connecter votre portefeuille et signer pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus ne génère aucune donnée ou changement d'état sur la blockchain, il n'est donc pas nécessaire de payer de frais.
En revanche, l'interaction implique des opérations réelles sur la chaîne. Par exemple, lorsque vous échangez des tokens sur un DEX, vous devez d'abord autoriser le contrat intelligent à déplacer vos tokens (appelé "autorisation" ou "approve"), puis exécuter l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.
Après avoir compris la différence entre la signature et l'interaction, examinons les trois types courants de phishing : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing autorisé est une technique classique qui exploite le mécanisme d'autorisation. Les hackers peuvent créer un site Web de phishing déguisé en projet NFT, incitant les utilisateurs à cliquer sur le bouton "Recevoir l'airdrop". En réalité, cette opération demande aux utilisateurs d'autoriser l'adresse du hacker à manipuler leurs jetons.
Les signatures de phishing avec Permit et Permit2 sont encore plus discrètes. Permit est une fonctionnalité étendue de la norme ERC-20, permettant aux utilisateurs d'autoriser d'autres personnes à déplacer leurs jetons par le biais de signatures. Permit2 est une fonctionnalité lancée par un DEX, visant à simplifier les opérations des utilisateurs et à réduire les frais de Gas. Bien que ces deux mécanismes soient pratiques, ils ont également été exploités par des hackers pour mener des attaques de phishing.
Pour prévenir le phishing par signature, les utilisateurs devraient :
En comprenant ces principes sous-jacents et en prenant des mesures de prévention appropriées, les utilisateurs peuvent mieux protéger leurs actifs numériques et éviter de devenir des victimes de phishing par signature.