Análise da lógica subjacente ao phishing de assinaturas Web3
Recentemente, "phishing por assinatura" tornou-se a técnica de fraude preferida dos hackers de Web3. Apesar de especialistas em segurança e várias carteiras estarem constantemente promovendo informações relacionadas, muitos usuários ainda caem em armadilhas todos os dias. Uma das principais razões para isso é que a maioria das pessoas carece de compreensão sobre a lógica subjacente das interações com carteiras, e para não especialistas, a barreira de entrada para aprendizagem é alta.
Para ajudar mais pessoas a compreender este problema, este artigo explicará de forma ilustrativa os princípios subjacentes à pesca de assinaturas, visando permitir que usuários sem formação técnica também consigam entender facilmente.
Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações: assinatura e interação. Em termos simples, a assinatura ocorre fora da blockchain (off-chain), não requerendo o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), exigindo o pagamento de taxas de Gas.
Um cenário típico de assinatura é a verificação de identidade, como por exemplo, ao fazer login na carteira. Quando você deseja usar uma aplicação descentralizada (DApp), precisa primeiro conectar a carteira e assinar, para provar que você é o proprietário daquela carteira. Este processo não gera nenhuma alteração de dados ou estado na blockchain, portanto, não há necessidade de pagar taxas.
Em comparação, a interação envolve operações reais na blockchain. Por exemplo, ao trocar tokens em um DEX, você precisa primeiro autorizar o contrato inteligente a mover seus tokens (chamado de "autorização" ou "approve"), e só então executar a operação de troca real. Ambas as etapas requerem o pagamento de taxas de Gas.
Depois de entender a diferença entre assinatura e interação, vamos explorar três métodos comuns de phishing: phishing de autorização, phishing de assinatura de Permissão e phishing de assinatura de Permissão2.
A autorização de phishing é uma técnica clássica que explora o mecanismo de autorização. Os hackers podem criar um site de phishing disfarçado de projeto NFT, induzindo os usuários a clicar no botão "receber airdrop". Na verdade, essa operação solicitará que os usuários autorizem o endereço do hacker a operar os seus tokens.
As assinaturas Permit e Permit2 são ainda mais discretas em ataques de phishing. Permit é uma função estendida do padrão ERC-20, que permite aos usuários autorizar outras pessoas a mover seus tokens através de assinaturas. Permit2 é uma funcionalidade lançada por um DEX, destinada a simplificar a operação do usuário e reduzir os gastos com Gas. Embora esses dois mecanismos sejam convenientes, também foram explorados por hackers para realizar ataques de phishing.
Para prevenir a pesca de assinaturas, os usuários devem:
Desenvolver a consciência de segurança, verificando cuidadosamente cada operação de carteira.
Separe grandes quantias de dinheiro da carteira que utiliza no dia-a-dia, reduzindo as perdas potenciais.
Aprender a identificar o formato de assinatura do Permit e do Permit2, incluindo a URL de interação, o endereço do autorizador, o endereço do autorizado, a quantidade autorizada, o número aleatório e informações-chave sobre o tempo de expiração.
Ao compreender estes princípios subjacentes e tomar as devidas precauções, os utilizadores podem proteger melhor os seus ativos digitais e evitar tornar-se vítimas de phishing por assinatura.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
6 gostos
Recompensa
6
5
Partilhar
Comentar
0/400
SchrödingersNode
· 07-12 10:53
Assinou para ficar sozinho?
Ver originalResponder0
OptionWhisperer
· 07-09 17:28
O gordinho foi enganado seis vezes este ano. Enquanto anda, acaba por perder a carteira.
Ver originalResponder0
DefiPlaybook
· 07-09 12:32
De acordo com os dados na cadeia dos últimos três meses, este tipo de ataque de phishing com assinatura representa 42,7% das perdas no Web3.
Ver originalResponder0
GasFeeNightmare
· 07-09 12:26
Ah, o meu Gas subiu de novo.
Ver originalResponder0
TokenEconomist
· 07-09 12:24
na verdade, isto é apenas criptografia básica 101...
Análise do princípio de phishing de assinatura da Carteira Web3: compreenda a lógica subjacente para proteger ativos digitais
Análise da lógica subjacente ao phishing de assinaturas Web3
Recentemente, "phishing por assinatura" tornou-se a técnica de fraude preferida dos hackers de Web3. Apesar de especialistas em segurança e várias carteiras estarem constantemente promovendo informações relacionadas, muitos usuários ainda caem em armadilhas todos os dias. Uma das principais razões para isso é que a maioria das pessoas carece de compreensão sobre a lógica subjacente das interações com carteiras, e para não especialistas, a barreira de entrada para aprendizagem é alta.
Para ajudar mais pessoas a compreender este problema, este artigo explicará de forma ilustrativa os princípios subjacentes à pesca de assinaturas, visando permitir que usuários sem formação técnica também consigam entender facilmente.
Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações: assinatura e interação. Em termos simples, a assinatura ocorre fora da blockchain (off-chain), não requerendo o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), exigindo o pagamento de taxas de Gas.
Um cenário típico de assinatura é a verificação de identidade, como por exemplo, ao fazer login na carteira. Quando você deseja usar uma aplicação descentralizada (DApp), precisa primeiro conectar a carteira e assinar, para provar que você é o proprietário daquela carteira. Este processo não gera nenhuma alteração de dados ou estado na blockchain, portanto, não há necessidade de pagar taxas.
Em comparação, a interação envolve operações reais na blockchain. Por exemplo, ao trocar tokens em um DEX, você precisa primeiro autorizar o contrato inteligente a mover seus tokens (chamado de "autorização" ou "approve"), e só então executar a operação de troca real. Ambas as etapas requerem o pagamento de taxas de Gas.
Depois de entender a diferença entre assinatura e interação, vamos explorar três métodos comuns de phishing: phishing de autorização, phishing de assinatura de Permissão e phishing de assinatura de Permissão2.
A autorização de phishing é uma técnica clássica que explora o mecanismo de autorização. Os hackers podem criar um site de phishing disfarçado de projeto NFT, induzindo os usuários a clicar no botão "receber airdrop". Na verdade, essa operação solicitará que os usuários autorizem o endereço do hacker a operar os seus tokens.
As assinaturas Permit e Permit2 são ainda mais discretas em ataques de phishing. Permit é uma função estendida do padrão ERC-20, que permite aos usuários autorizar outras pessoas a mover seus tokens através de assinaturas. Permit2 é uma funcionalidade lançada por um DEX, destinada a simplificar a operação do usuário e reduzir os gastos com Gas. Embora esses dois mecanismos sejam convenientes, também foram explorados por hackers para realizar ataques de phishing.
Para prevenir a pesca de assinaturas, os usuários devem:
Ao compreender estes princípios subjacentes e tomar as devidas precauções, os utilizadores podem proteger melhor os seus ativos digitais e evitar tornar-se vítimas de phishing por assinatura.