Веб3 підписування фішинг: Аналіз основної логіки та посібник з профілактики
Нещодавно "фішинг з підписами" став улюбленим методом атак хакерів у Web3. Незважаючи на те, що фахівці з безпеки та компанії з виробництва гаманців постійно проводять просвітницьку діяльність, щодня багато користувачів потрапляють у пастку. Це в основному пов'язано з тим, що більшість людей не розуміє основні механізми взаємодії з гаманцями, а для нетехнічних спеціалістів навчання є досить складним.
Щоб більше людей зрозуміли цю проблему, у цій статті буде доступно роз'яснено основну логіку підробки підписів.
По-перше, нам потрібно зрозуміти, що при використанні гаманця є дві основні операції: "підпис" та "взаємодія". Простими словами, підпис відбувається поза ланцюгом, не вимагає сплати Gas-кошту; а взаємодія відбувається в межах ланцюга і вимагає сплати Gas-кошту.
Підпис зазвичай використовується для аутентифікації, наприклад, для входу в гаманець або підключення до певного DApp. Цей процес не вносить жодних змін у дані блокчейну, тому плата не потрібна.
Взаємодія включає фактичні операції на ланцюгу. Наприклад, щоб обміняти токени на певному DEX, вам спочатку потрібно надати дозвіл смарт-контракту на використання ваших токенів, а потім виконати операцію обміну. Обидва ці етапи потребують сплати газового збору.
Після того, як ми зрозуміли різницю між підписом і взаємодією, давайте розглянемо три поширені типи фішингу: фішинг на авторизацію, фішинг на підпис Permit та фішинг на підпис Permit2.
Авторизований фішинг використовує механізм авторизації смарт-контрактів. Зловмисники, підробляючи красивий веб-сайт, спонукають користувачів натискати кнопки "Отримати аеродроп" та інші, насправді дозволяючи адресі хакера керувати їхніми токенами. Цей метод вимагає сплати Gas-кошту, тому користувачі можуть бути більш обережними.
Підписування Permit та Permit2 набагато складніше запобігти фішингу. Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам авторизовувати інших через підпис для управління своїми токенами. Permit2 - це функція, яку запровадила одна з DEX, яка має на меті спростити процеси для користувачів. Обидва ці способи фішингу не потребують від користувачів сплати Gas-кошту, тому вони легше можуть зняти пильність.
Хакери можуть підробити вебсайт, замінивши кнопку входу на запит підпису Permit або Permit2. Як тільки користувач підписує, хакер отримує доступ до управління активами користувача.
Як захиститися від цих фішингових атак?
Виховуйте свідомість безпеки, щоразу перевіряйте при роботі з гаманцем.
Розділіть великі суми грошей та повсякденний гаманець, щоб знизити потенційні втрати.
Навчіться розпізнавати формати підпису Permit та Permit2, будьте особливо обережні, коли бачите такі дані:
Interactive:інтерактивний веб-сайт
Власник:адреса уповноваженої особи
Спендер: адреса уповноваженої особи
Значення:Кількість дозволу
Nonce:випадкове число
Deadline:термін придатності
Зрозумівши ці основні механізми та запобіжні заходи, ми можемо краще захистити свої активи Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
5
Репост
Поділіться
Прокоментувати
0/400
GhostAddressHunter
· 16год тому
Якби раніше сказали, що торгівля риболовлею вимагатиме газу, ніхто б не попався~
Переглянути оригіналвідповісти на0
TokenVelocity
· 08-15 03:35
Зайшов всередину, і мене з'їли риби, справді багато овочевих курчат.
Переглянути оригіналвідповісти на0
TopBuyerBottomSeller
· 08-13 04:01
Знову попався, втратив усе до нижньої білизни.
Переглянути оригіналвідповісти на0
CommunitySlacker
· 08-13 04:00
Обманувшись, зрозумієш, що шрам від ножа - це найкращий вчитель.
Переглянути оригіналвідповісти на0
NestedFox
· 08-13 03:59
Знову починаємо з наукової популяризації, краще відразу перейти до демонстрації.
Повний аналіз фішингових атак у Web3: розбір принципів та стратегії запобігання
Веб3 підписування фішинг: Аналіз основної логіки та посібник з профілактики
Нещодавно "фішинг з підписами" став улюбленим методом атак хакерів у Web3. Незважаючи на те, що фахівці з безпеки та компанії з виробництва гаманців постійно проводять просвітницьку діяльність, щодня багато користувачів потрапляють у пастку. Це в основному пов'язано з тим, що більшість людей не розуміє основні механізми взаємодії з гаманцями, а для нетехнічних спеціалістів навчання є досить складним.
Щоб більше людей зрозуміли цю проблему, у цій статті буде доступно роз'яснено основну логіку підробки підписів.
По-перше, нам потрібно зрозуміти, що при використанні гаманця є дві основні операції: "підпис" та "взаємодія". Простими словами, підпис відбувається поза ланцюгом, не вимагає сплати Gas-кошту; а взаємодія відбувається в межах ланцюга і вимагає сплати Gas-кошту.
Підпис зазвичай використовується для аутентифікації, наприклад, для входу в гаманець або підключення до певного DApp. Цей процес не вносить жодних змін у дані блокчейну, тому плата не потрібна.
Взаємодія включає фактичні операції на ланцюгу. Наприклад, щоб обміняти токени на певному DEX, вам спочатку потрібно надати дозвіл смарт-контракту на використання ваших токенів, а потім виконати операцію обміну. Обидва ці етапи потребують сплати газового збору.
Після того, як ми зрозуміли різницю між підписом і взаємодією, давайте розглянемо три поширені типи фішингу: фішинг на авторизацію, фішинг на підпис Permit та фішинг на підпис Permit2.
Авторизований фішинг використовує механізм авторизації смарт-контрактів. Зловмисники, підробляючи красивий веб-сайт, спонукають користувачів натискати кнопки "Отримати аеродроп" та інші, насправді дозволяючи адресі хакера керувати їхніми токенами. Цей метод вимагає сплати Gas-кошту, тому користувачі можуть бути більш обережними.
Підписування Permit та Permit2 набагато складніше запобігти фішингу. Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам авторизовувати інших через підпис для управління своїми токенами. Permit2 - це функція, яку запровадила одна з DEX, яка має на меті спростити процеси для користувачів. Обидва ці способи фішингу не потребують від користувачів сплати Gas-кошту, тому вони легше можуть зняти пильність.
Хакери можуть підробити вебсайт, замінивши кнопку входу на запит підпису Permit або Permit2. Як тільки користувач підписує, хакер отримує доступ до управління активами користувача.
Як захиститися від цих фішингових атак?
Зрозумівши ці основні механізми та запобіжні заходи, ми можемо краще захистити свої активи Web3.