В последнее время «фишинг с помощью подписи» стал самым популярным методом мошенничества среди хакеров Web3. Несмотря на то, что эксперты по безопасности и крупные кошельки постоянно пропагандируют соответствующие знания, ежедневно множество пользователей попадают в ловушку. Одной из основных причин этой ситуации является то, что большинство людей не понимают основные логики взаимодействия с кошельками, и для нетехнических специалистов порог входа достаточно высок.
Чтобы помочь большему количеству людей понять эту проблему, в этой статье будет наглядно и доступно объяснена основная принципиальная схема фишинга с подписями, стремясь сделать так, чтобы пользователи без технического фона могли легко понять.
Во-первых, нам нужно понять, что при использовании кошелька есть два основных действия: подпись и взаимодействие. Проще говоря, подпись происходит вне блокчейна (вне цепи) и не требует оплаты Gas; в то время как взаимодействие происходит в блокчейне (в цепи) и требует оплаты Gas.
Типичная сцена подписи — это проверка личности, например, вход в кошелек. Когда вы хотите использовать определенное децентрализованное приложение (DApp), вам нужно сначала подключить кошелек и подписать, чтобы доказать, что вы являетесь владельцем этого кошелька. Этот процесс не приводит к изменениям данных или состояния в блокчейне, поэтому плата не требуется.
В отличие от этого, интерактивность включает в себя реальные операции на блокчейне. Например, при обмене токенов на каком-либо DEX, вам сначала нужно разрешить смарт-контракту переместить ваши токены (это называется "разрешение" или "approve"), а затем выполнить фактическую операцию обмена. Оба этих шага требуют оплаты Gas.
После понимания различий между подписью и взаимодействием давайте обсудим три распространенных метода фишинга: фишинг авторизации, фишинг с использованием подписи Permit и фишинг с использованием подписи Permit2.
Авторизация фишинга — это классический метод, использующий механизм авторизации. Хакеры могут создать фишинговый сайт, маскирующийся под проект NFT, чтобы заманить пользователей в нажатие кнопки "Получить аирдроп". На самом деле это действие потребует от пользователя авторизовать адрес хакера для управления своими токенами.
Подписи Permit и Permit2 для фишинга стали более скрытными. Permit является расширенной функцией стандарта ERC-20, позволяющей пользователям авторизовать других для перемещения своих токенов с помощью подписи. Permit2 — это функция, предложенная некоторыми DEX, направленная на упрощение действий пользователя и уменьшение расходов на Gas. Хотя эти два механизма удобны, они также были использованы хакерами для фишинговых атак.
Чтобы предотвратить фишинг подписей, пользователи должны:
Развивайте осознание безопасности, каждый раз тщательно проверяйте при выполнении операций с кошельком.
Разделите крупные суммы денег и деньги для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать форматы подписей Permit и Permit2, включая ключевую информацию, такую как адреса взаимодействия, адреса уполномоченного лица, адреса уполномоченного, количество разрешений, случайное число и время истечения.
Понимая эти основные принципы и принимая соответствующие меры предосторожности, пользователи могут лучше защитить свои цифровые активы и избежать того, чтобы стать жертвами фишинга с подделкой подписей.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
6 Лайков
Награда
6
5
Поделиться
комментарий
0/400
SchrödingersNode
· 07-12 10:53
Подписал на одиночество?
Посмотреть ОригиналОтветить0
OptionWhisperer
· 07-09 17:28
Толстяк в этом году снова попался на крючок шесть раз. Идёт, идёт и теряет Кошелек.
Посмотреть ОригиналОтветить0
DefiPlaybook
· 07-09 12:32
Согласно данным в блокчейне за последние три месяца, такие атаки с фишингом через подписи составляют 42,7% от убытков в Web3.
Посмотреть ОригиналОтветить0
GasFeeNightmare
· 07-09 12:26
Ах, почему мой Gas снова рост?
Посмотреть ОригиналОтветить0
TokenEconomist
· 07-09 12:24
на самом деле это просто основы криптографии 101...
Анализ принципа подписывания фишинга в Кошелек Web3: понимание базовой логики защиты цифрового актива
Анализ основной логики фишинга подписей в Web3
В последнее время «фишинг с помощью подписи» стал самым популярным методом мошенничества среди хакеров Web3. Несмотря на то, что эксперты по безопасности и крупные кошельки постоянно пропагандируют соответствующие знания, ежедневно множество пользователей попадают в ловушку. Одной из основных причин этой ситуации является то, что большинство людей не понимают основные логики взаимодействия с кошельками, и для нетехнических специалистов порог входа достаточно высок.
Чтобы помочь большему количеству людей понять эту проблему, в этой статье будет наглядно и доступно объяснена основная принципиальная схема фишинга с подписями, стремясь сделать так, чтобы пользователи без технического фона могли легко понять.
Во-первых, нам нужно понять, что при использовании кошелька есть два основных действия: подпись и взаимодействие. Проще говоря, подпись происходит вне блокчейна (вне цепи) и не требует оплаты Gas; в то время как взаимодействие происходит в блокчейне (в цепи) и требует оплаты Gas.
Типичная сцена подписи — это проверка личности, например, вход в кошелек. Когда вы хотите использовать определенное децентрализованное приложение (DApp), вам нужно сначала подключить кошелек и подписать, чтобы доказать, что вы являетесь владельцем этого кошелька. Этот процесс не приводит к изменениям данных или состояния в блокчейне, поэтому плата не требуется.
В отличие от этого, интерактивность включает в себя реальные операции на блокчейне. Например, при обмене токенов на каком-либо DEX, вам сначала нужно разрешить смарт-контракту переместить ваши токены (это называется "разрешение" или "approve"), а затем выполнить фактическую операцию обмена. Оба этих шага требуют оплаты Gas.
После понимания различий между подписью и взаимодействием давайте обсудим три распространенных метода фишинга: фишинг авторизации, фишинг с использованием подписи Permit и фишинг с использованием подписи Permit2.
Авторизация фишинга — это классический метод, использующий механизм авторизации. Хакеры могут создать фишинговый сайт, маскирующийся под проект NFT, чтобы заманить пользователей в нажатие кнопки "Получить аирдроп". На самом деле это действие потребует от пользователя авторизовать адрес хакера для управления своими токенами.
Подписи Permit и Permit2 для фишинга стали более скрытными. Permit является расширенной функцией стандарта ERC-20, позволяющей пользователям авторизовать других для перемещения своих токенов с помощью подписи. Permit2 — это функция, предложенная некоторыми DEX, направленная на упрощение действий пользователя и уменьшение расходов на Gas. Хотя эти два механизма удобны, они также были использованы хакерами для фишинговых атак.
Чтобы предотвратить фишинг подписей, пользователи должны:
Понимая эти основные принципы и принимая соответствующие меры предосторожности, пользователи могут лучше защитить свои цифровые активы и избежать того, чтобы стать жертвами фишинга с подделкой подписей.