Phishing de assinatura Web3: Análise da lógica subjacente e guia de prevenção
Recentemente, "phishing por assinatura" tornou-se o método de ataque favorito dos hackers do Web3. Embora os especialistas em segurança e as empresas de carteiras estejam constantemente educando o público, muitos usuários ainda caem em armadilhas todos os dias. Isso se deve principalmente ao fato de que a maioria das pessoas não entende os mecanismos subjacentes das interações com carteiras, e a barreira de entrada para não-técnicos é bastante alta.
Para que mais pessoas compreendam esta questão, este artigo irá analisar a lógica subjacente à pesca de assinatura de uma forma acessível e fácil de entender.
Primeiro, precisamos entender que ao usar uma carteira existem duas operações básicas: "assinatura" e "interação". Em termos simples, a assinatura ocorre fora da cadeia e não requer o pagamento de taxas de Gas; enquanto a interação ocorre na cadeia e requer o pagamento de taxas de Gas.
A assinatura é normalmente usada para autenticação, como ao fazer login na carteira ou conectar-se a uma DApp. Este processo não altera os dados da blockchain, portanto não é necessário pagar taxas.
A interação envolve operações reais na blockchain. Tomando como exemplo a troca de tokens em um DEX, você precisa primeiro autorizar o contrato inteligente a usar seus tokens e, em seguida, executar a operação de troca. Ambas as etapas requerem o pagamento de taxas de Gas.
Depois de entender a diferença entre assinatura e interação, vamos dar uma olhada em três tipos comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.
A autorização do phishing utiliza o mecanismo de autorização de contratos inteligentes. Hackers criam um site falsificado atraente, induzindo os usuários a clicar em botões como "reclamar airdrop", que na verdade permitem que o endereço do hacker opere seus tokens. Este método requer o pagamento de taxas de Gas, portanto os usuários podem estar mais alertas.
A assinatura de Permit e Permit2 é mais difícil de prevenir contra phishing. Permit é uma funcionalidade de extensão do padrão ERC-20 que permite aos usuários autorizar outras pessoas a operar seus tokens através de uma assinatura. Permit2 é uma funcionalidade lançada por um DEX, destinada a simplificar o processo de operação do usuário. Ambas as formas de phishing não requerem que os usuários paguem taxas de Gas, tornando-as mais fáceis de serem ignoradas.
Os hackers podem falsificar sites, substituindo o botão de login por um pedido de assinatura Permit ou Permit2. Uma vez que o usuário assina, os hackers podem obter permissão para operar os ativos do usuário.
Como prevenir esses ataques de phishing?
Desenvolver uma consciência de segurança, verificando cuidadosamente a cada operação da carteira.
Separar grandes quantias de dinheiro da carteira usada no dia a dia para reduzir perdas potenciais.
Aprenda a reconhecer o formato de assinatura do Permit e Permit2, e esteja especialmente atento ao ver o seguinte:
Interativo: URL interativo
Proprietário:Endereço do autorizador
Spender: Endereço do autorizado
Valor:Quantidade autorizada
Nonce: número aleatório
Prazo: Data de expiração
Ao compreender esses mecanismos subjacentes e medidas de prevenção, podemos proteger melhor a segurança dos nossos ativos Web3.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
14 Curtidas
Recompensa
14
4
Repostar
Compartilhar
Comentário
0/400
TokenVelocity
· 43m atrás
Entrei e fui pescado, há muitos novatos.
Ver originalResponder0
TopBuyerBottomSeller
· 08-13 04:01
Fui apanhado de novo, perdi até as calças.
Ver originalResponder0
CommunitySlacker
· 08-13 04:00
Só se aprende com as cicatrizes, elas são os melhores professores.
Ver originalResponder0
NestedFox
· 08-13 03:59
Mais uma vez a fazer divulgação científica, era melhor fazer uma demonstração diretamente.
Análise completa do ataque de phishing por assinatura Web3: análise dos princípios e estratégias de prevenção
Phishing de assinatura Web3: Análise da lógica subjacente e guia de prevenção
Recentemente, "phishing por assinatura" tornou-se o método de ataque favorito dos hackers do Web3. Embora os especialistas em segurança e as empresas de carteiras estejam constantemente educando o público, muitos usuários ainda caem em armadilhas todos os dias. Isso se deve principalmente ao fato de que a maioria das pessoas não entende os mecanismos subjacentes das interações com carteiras, e a barreira de entrada para não-técnicos é bastante alta.
Para que mais pessoas compreendam esta questão, este artigo irá analisar a lógica subjacente à pesca de assinatura de uma forma acessível e fácil de entender.
Primeiro, precisamos entender que ao usar uma carteira existem duas operações básicas: "assinatura" e "interação". Em termos simples, a assinatura ocorre fora da cadeia e não requer o pagamento de taxas de Gas; enquanto a interação ocorre na cadeia e requer o pagamento de taxas de Gas.
A assinatura é normalmente usada para autenticação, como ao fazer login na carteira ou conectar-se a uma DApp. Este processo não altera os dados da blockchain, portanto não é necessário pagar taxas.
A interação envolve operações reais na blockchain. Tomando como exemplo a troca de tokens em um DEX, você precisa primeiro autorizar o contrato inteligente a usar seus tokens e, em seguida, executar a operação de troca. Ambas as etapas requerem o pagamento de taxas de Gas.
Depois de entender a diferença entre assinatura e interação, vamos dar uma olhada em três tipos comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.
A autorização do phishing utiliza o mecanismo de autorização de contratos inteligentes. Hackers criam um site falsificado atraente, induzindo os usuários a clicar em botões como "reclamar airdrop", que na verdade permitem que o endereço do hacker opere seus tokens. Este método requer o pagamento de taxas de Gas, portanto os usuários podem estar mais alertas.
A assinatura de Permit e Permit2 é mais difícil de prevenir contra phishing. Permit é uma funcionalidade de extensão do padrão ERC-20 que permite aos usuários autorizar outras pessoas a operar seus tokens através de uma assinatura. Permit2 é uma funcionalidade lançada por um DEX, destinada a simplificar o processo de operação do usuário. Ambas as formas de phishing não requerem que os usuários paguem taxas de Gas, tornando-as mais fáceis de serem ignoradas.
Os hackers podem falsificar sites, substituindo o botão de login por um pedido de assinatura Permit ou Permit2. Uma vez que o usuário assina, os hackers podem obter permissão para operar os ativos do usuário.
Como prevenir esses ataques de phishing?
Ao compreender esses mecanismos subjacentes e medidas de prevenção, podemos proteger melhor a segurança dos nossos ativos Web3.