Son zamanlarda, "imza oltalama" Web3 hackerlarının en çok tercih ettiği dolandırıcılık yöntemi haline geldi. Güvenlik uzmanları ve büyük cüzdanlar sürekli bu konudaki bilgileri yaymalarına rağmen, her gün birçok kullanıcı tuzağa düşüyor. Bu durumun başlıca nedenlerinden biri, çoğu insanın cüzdan etkileşimlerinin temel mantığını anlamakta yetersiz kalması ve teknik olmayan kişiler için öğrenme engelinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, bu makale imza oltalama temel prensiplerini görsel bir şekilde basit bir dille açıklayacaktır; böylelikle teknik bir geçmişi olmayan kullanıcıların da kolayca anlaması hedeflenmektedir.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: imza ve etkileşim. Kısacası, imza blok zincirinin dışında (off-chain) gerçekleşir ve Gas ücreti ödemez; etkileşim ise blok zincirinin üzerinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekir.
İmzalamanın tipik sahneleri kimlik doğrulamadır, örneğin cüzdana giriş. Bir merkeziyetsiz uygulamayı (DApp) kullanmak istediğinizde, önce cüzdanınızı bağlamanız ve imzalamanız gerekir, böylece cüzdanın sahibi olduğunuzu kanıtlamış olursunuz. Bu süreç, blok zincirinde herhangi bir veri veya durum değişikliği yaratmaz, bu nedenle ücret ödemeniz gerekmez.
Buna karşılık, etkileşim gerçek zincir üzerindeki işlemleri içerir. Örneğin, bir DEX'te token takası yaparken, önce akıllı sözleşmeye token'larınızı hareket ettirmesi için yetki vermeniz gerekir (bu "yetkilendirme" veya "approve" olarak adlandırılır), ardından gerçek takas işlemini gerçekleştirirsiniz. Bu iki adım da Gas ücreti ödemeyi gerektirir.
İmza ve etkileşim arasındaki farkı anladıktan sonra, üç yaygın dolandırıcılık yöntemini tartışalım: yetkilendirme dolandırıcılığı, Permit imza dolandırıcılığı ve Permit2 imza dolandırıcılığı.
Yetkilendirme phishing'i, yetkilendirme mekanizmasını kullanan klasik bir tekniktir. Hackerlar, kullanıcıları "Airdrop'u Al" butonuna tıklamaya teşvik eden, NFT projesi gibi görünen bir phishing sitesi oluşturabilir. Aslında, bu işlem kullanıcıdan hacker adresine kendi token'larını yönetmesi için yetki vermesini talep edecektir.
Permit ve Permit2 imza phishing'i daha gizlidir. Permit, kullanıcıların imza ile başkalarına kendi token'larını hareket ettirmeleri için yetki vermelerine olanak tanıyan ERC-20 standardının genişletilmiş bir fonksiyonudur. Permit2, bir DEX'in kullanıcı işlemlerini basitleştirmek ve Gas ücretlerini azaltmak amacıyla sunduğu bir özelliktir. Bu iki mekanizma kolaylık sağlasa da, hackerlar tarafından phishing saldırıları için kullanılmaktadır.
İmza oltalamasını önlemek için, kullanıcılar şunları yapmalıdır:
Güvenlik bilincini geliştirin, her cüzdan işlemi yaparken dikkatlice kontrol edin.
Büyük miktardaki fonları günlük kullanılan cüzdanlardan ayırarak potansiyel kayıpları azaltın.
Permit ve Permit2'nin imza formatını tanımayı öğrenin, bu format arasında etkileşim web sitesi, yetki verenin adresi, yetkilendirilenin adresi, yetki miktarı, rastgele sayı ve sona erme süresi gibi anahtar bilgiler bulunmaktadır.
Bu temel prensimleri anlayarak ve uygun önlemler alarak, kullanıcılar dijital varlıklarını daha iyi koruyabilir ve imza oltasına düşmekten kaçınabilirler.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
6 Likes
Reward
6
5
Share
Comment
0/400
SchrödingersNode
· 07-12 10:53
Bir yalnızlık mı imzaladın?
View OriginalReply0
OptionWhisperer
· 07-09 17:28
Bu yıl şişman yine altı kez oltaya geldi, yürürken cüzdanını düşürdü.
View OriginalReply0
DefiPlaybook
· 07-09 12:32
Son üç ayda on-chain verilere göre, bu tür imza phishing saldırıları Web3 kayıplarının %42,7'sini oluşturmaktadır.
Web3 cüzdan imza phishing prensibi analizi: dijital varlıkları korumak için temel mantığı anlamak
Web3 İmza Phishing'in Temel Mantığının Analizi
Son zamanlarda, "imza oltalama" Web3 hackerlarının en çok tercih ettiği dolandırıcılık yöntemi haline geldi. Güvenlik uzmanları ve büyük cüzdanlar sürekli bu konudaki bilgileri yaymalarına rağmen, her gün birçok kullanıcı tuzağa düşüyor. Bu durumun başlıca nedenlerinden biri, çoğu insanın cüzdan etkileşimlerinin temel mantığını anlamakta yetersiz kalması ve teknik olmayan kişiler için öğrenme engelinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, bu makale imza oltalama temel prensiplerini görsel bir şekilde basit bir dille açıklayacaktır; böylelikle teknik bir geçmişi olmayan kullanıcıların da kolayca anlaması hedeflenmektedir.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: imza ve etkileşim. Kısacası, imza blok zincirinin dışında (off-chain) gerçekleşir ve Gas ücreti ödemez; etkileşim ise blok zincirinin üzerinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekir.
İmzalamanın tipik sahneleri kimlik doğrulamadır, örneğin cüzdana giriş. Bir merkeziyetsiz uygulamayı (DApp) kullanmak istediğinizde, önce cüzdanınızı bağlamanız ve imzalamanız gerekir, böylece cüzdanın sahibi olduğunuzu kanıtlamış olursunuz. Bu süreç, blok zincirinde herhangi bir veri veya durum değişikliği yaratmaz, bu nedenle ücret ödemeniz gerekmez.
Buna karşılık, etkileşim gerçek zincir üzerindeki işlemleri içerir. Örneğin, bir DEX'te token takası yaparken, önce akıllı sözleşmeye token'larınızı hareket ettirmesi için yetki vermeniz gerekir (bu "yetkilendirme" veya "approve" olarak adlandırılır), ardından gerçek takas işlemini gerçekleştirirsiniz. Bu iki adım da Gas ücreti ödemeyi gerektirir.
İmza ve etkileşim arasındaki farkı anladıktan sonra, üç yaygın dolandırıcılık yöntemini tartışalım: yetkilendirme dolandırıcılığı, Permit imza dolandırıcılığı ve Permit2 imza dolandırıcılığı.
Yetkilendirme phishing'i, yetkilendirme mekanizmasını kullanan klasik bir tekniktir. Hackerlar, kullanıcıları "Airdrop'u Al" butonuna tıklamaya teşvik eden, NFT projesi gibi görünen bir phishing sitesi oluşturabilir. Aslında, bu işlem kullanıcıdan hacker adresine kendi token'larını yönetmesi için yetki vermesini talep edecektir.
Permit ve Permit2 imza phishing'i daha gizlidir. Permit, kullanıcıların imza ile başkalarına kendi token'larını hareket ettirmeleri için yetki vermelerine olanak tanıyan ERC-20 standardının genişletilmiş bir fonksiyonudur. Permit2, bir DEX'in kullanıcı işlemlerini basitleştirmek ve Gas ücretlerini azaltmak amacıyla sunduğu bir özelliktir. Bu iki mekanizma kolaylık sağlasa da, hackerlar tarafından phishing saldırıları için kullanılmaktadır.
İmza oltalamasını önlemek için, kullanıcılar şunları yapmalıdır:
Bu temel prensimleri anlayarak ve uygun önlemler alarak, kullanıcılar dijital varlıklarını daha iyi koruyabilir ve imza oltasına düşmekten kaçınabilirler.