Нещодавно «фішинг за підписами» став найулюбленішим способом шахрайства серед хакерів Web3. Незважаючи на те, що фахівці з безпеки та більшість гаманців постійно популяризують відповідні знання, щодня багато користувачів потрапляють у пастку. Однією з основних причин цієї ситуації є те, що більшість людей не розуміють базову логіку взаємодії з гаманцями, а для нетехнічних спеціалістів поріг входження є досить високим.
Щоб допомогти більшій кількості людей зрозуміти це питання, ця стаття намагатиметься зрозуміло пояснити основні принципи підписного фішингу за допомогою ілюстрацій, прагнучи зробити так, щоб користувачі без технічного фону також могли легко зрозуміти.
По-перше, нам потрібно зрозуміти, що при використанні гаманця є два основні типи операцій: підпис та взаємодія. Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не потребує сплати комісії за газ; тоді як взаємодія відбувається в блокчейні (в ланцюзі) і вимагає сплати комісії за газ.
Типовою ситуацією підпису є перевірка особи, наприклад, вхід до гаманця. Коли ви хочете використовувати певний децентралізований додаток (DApp), спочатку потрібно підключити гаманець і підписати, щоб підтвердити, що ви є власником цього гаманця. Цей процес не призводить до жодних змін у даних або стані блокчейну, тому плата не стягується.
У порівнянні, взаємодія передбачає фактичні операції на блокчейні. Наприклад, під час обміну токенів на певному DEX, вам потрібно спочатку дозволити смарт-контракту перемістити ваші токени (це називається "дозволити" або "approve"), а потім виконати фактичну операцію обміну. Обидва ці етапи потребують сплати Gas-кошту.
Після того, як ми зрозуміли різницю між підписом і взаємодією, давайте розглянемо три поширені способи фішингу: фішинг через авторизацію, фішинг через підпис Permit та фішинг через підпис Permit2.
Авторизаційна фішингова атака є класичним прийомом, що використовує механізм авторизації. Хакери можуть створити фішинговий веб-сайт, що маскується під NFT проект, спонукаючи користувачів натиснути кнопку "Отримати аердроп". Насправді ця дія вимагатиме від користувачів авторизації адреси хакера для управління своїми токенами.
Підписування Permit і Permit2 є більш прихованим видом фішингу. Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам авторизувати інших переміщувати свої токени за допомогою підпису. Permit2 - це функція, яку впровадив певний DEX, метою якої є спростити дії користувачів і зменшити витрати на Gas. Хоча ці дві механізми зручні, вони також були використані хакерами для проведення фішингових атак.
Щоб запобігти фішингу підписів, користувачі повинні:
Виховувати свідомість безпеки, кожного разу, коли ви виконуєте операції з гаманцем, слід ретельно перевіряти.
Розділіть великі суми коштів і гроші для щоденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підписів Permit та Permit2, включаючи ключову інформацію, таку як адреса взаємодії, адреса уповноваженої сторони, адреса отримувача, кількість дозволу, випадкове число та термін дії.
Зрозумівши ці основні принципи та вживаючи відповідні запобіжні заходи, користувачі можуть краще захистити свої цифрові активи і уникнути того, щоб стати жертвами фішингу з підписами.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
6 лайків
Нагородити
6
5
Поділіться
Прокоментувати
0/400
SchrödingersNode
· 07-12 10:53
Підписався на самотність, так?
Переглянути оригіналвідповісти на0
OptionWhisperer
· 07-09 17:28
Товстун цього року знову попався на гачок шість разів. Ідучи, він знову втратив гаманець.
Переглянути оригіналвідповісти на0
DefiPlaybook
· 07-09 12:32
Згідно з даними у блокчейні за останні три місяці, такі атаки фішингу з використанням підписів складають 42,7% від втрат у Web3.
Аналіз принципу фішингу підписів Гаманця Web3: зрозуміти базову логіку захисту цифрового активу
Аналіз основної логіки фішингу підписів Web3
Нещодавно «фішинг за підписами» став найулюбленішим способом шахрайства серед хакерів Web3. Незважаючи на те, що фахівці з безпеки та більшість гаманців постійно популяризують відповідні знання, щодня багато користувачів потрапляють у пастку. Однією з основних причин цієї ситуації є те, що більшість людей не розуміють базову логіку взаємодії з гаманцями, а для нетехнічних спеціалістів поріг входження є досить високим.
Щоб допомогти більшій кількості людей зрозуміти це питання, ця стаття намагатиметься зрозуміло пояснити основні принципи підписного фішингу за допомогою ілюстрацій, прагнучи зробити так, щоб користувачі без технічного фону також могли легко зрозуміти.
По-перше, нам потрібно зрозуміти, що при використанні гаманця є два основні типи операцій: підпис та взаємодія. Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не потребує сплати комісії за газ; тоді як взаємодія відбувається в блокчейні (в ланцюзі) і вимагає сплати комісії за газ.
Типовою ситуацією підпису є перевірка особи, наприклад, вхід до гаманця. Коли ви хочете використовувати певний децентралізований додаток (DApp), спочатку потрібно підключити гаманець і підписати, щоб підтвердити, що ви є власником цього гаманця. Цей процес не призводить до жодних змін у даних або стані блокчейну, тому плата не стягується.
У порівнянні, взаємодія передбачає фактичні операції на блокчейні. Наприклад, під час обміну токенів на певному DEX, вам потрібно спочатку дозволити смарт-контракту перемістити ваші токени (це називається "дозволити" або "approve"), а потім виконати фактичну операцію обміну. Обидва ці етапи потребують сплати Gas-кошту.
Після того, як ми зрозуміли різницю між підписом і взаємодією, давайте розглянемо три поширені способи фішингу: фішинг через авторизацію, фішинг через підпис Permit та фішинг через підпис Permit2.
Авторизаційна фішингова атака є класичним прийомом, що використовує механізм авторизації. Хакери можуть створити фішинговий веб-сайт, що маскується під NFT проект, спонукаючи користувачів натиснути кнопку "Отримати аердроп". Насправді ця дія вимагатиме від користувачів авторизації адреси хакера для управління своїми токенами.
Підписування Permit і Permit2 є більш прихованим видом фішингу. Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам авторизувати інших переміщувати свої токени за допомогою підпису. Permit2 - це функція, яку впровадив певний DEX, метою якої є спростити дії користувачів і зменшити витрати на Gas. Хоча ці дві механізми зручні, вони також були використані хакерами для проведення фішингових атак.
Щоб запобігти фішингу підписів, користувачі повинні:
Зрозумівши ці основні принципи та вживаючи відповідні запобіжні заходи, користувачі можуть краще захистити свої цифрові активи і уникнути того, щоб стати жертвами фішингу з підписами.