Análisis del principio de phishing en Web3: la diferencia entre autorización, Permit y Permit2
En el mundo de Web3, el "phishing de firmas" se ha convertido en uno de los métodos de estafa más utilizados por los hackers. A pesar de que los expertos en seguridad continúan divulgando información, cada día muchos usuarios caen en la trampa. Una de las principales razones de esto es que la mayoría de las personas carecen de comprensión sobre la lógica subyacente de las interacciones con las billeteras, y el umbral de aprendizaje es alto para quienes no son técnicos. Este artículo intentará explicar los principios subyacentes del phishing de firmas de una manera fácil de entender.
Primero, necesitamos entender que hay dos operaciones principales al usar una billetera: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena (off-chain) y no requiere pagar tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere pagar tarifas de Gas.
La firma se utiliza comúnmente para la autenticación, como iniciar sesión en una billetera o conectar a una DApp. Este proceso no tiene ningún impacto sustancial en la blockchain, por lo que no es necesario pagar tarifas.
La interacción implica operaciones reales en la cadena. Por ejemplo, al intercambiar tokens en un DEX, primero necesitas autorizar al contrato inteligente para que use tus tokens y luego ejecutar la operación de intercambio. Ambos pasos requieren pagar tarifas de Gas.
Después de entender la diferencia entre la firma y la interacción, veamos algunos métodos comunes de phishing:
Phishing autorizado:
Esta es una técnica clásica de phishing. Los hackers crean un sitio web atractivo (como un proyecto NFT falso) para inducir a los usuarios a hacer clic en botones como "Reclamar airdrop". En realidad, al hacer clic, los usuarios autorizan a la dirección del hacker a utilizar sus tokens. Este método requiere el pago de tarifas de Gas, por lo que es relativamente fácil de identificar por los usuarios cautelosos.
Phishing de firma de Permiso:
Permit es una función extendida del estándar ERC-20 que permite a los usuarios autorizar a otros a usar sus tokens a través de una firma. Los hackers pueden inducir a los usuarios a firmar un mensaje que parece inofensivo, pero en realidad autoriza a los hackers a transferir los activos del usuario. Este método no requiere el pago de tarifas de Gas, lo que hace que los usuarios bajen la guardia.
Phishing de firma Permit2:
Permit2 es una función lanzada por un DEX, diseñada para simplificar el proceso de operación del usuario. Permite a los usuarios autorizar una gran cantidad de fondos de una sola vez, y luego, para cada transacción, solo necesitan firmar. Sin embargo, si un usuario ha utilizado previamente ese DEX y ha otorgado un límite ilimitado, un hacker puede aprovechar este mecanismo para realizar phishing.
Para prevenir el phishing de firmas, se recomienda tomar las siguientes medidas:
Fomentar la conciencia de seguridad, cada vez que realice operaciones con la billetera, debe revisar cuidadosamente.
Separar los fondos grandes de la billetera utilizada diariamente para reducir las pérdidas potenciales.
Aprender a identificar el formato de firma de Permit y Permit2, incluyendo la siguiente información clave:
Interactivo:sitio web interactivo
Propietario: dirección del autorizador
Spender: dirección del autorizado
Valor: Cantidad autorizada
Nonce: número aleatorio
Deadline:fecha de vencimiento
Al comprender estos principios de phishing y las medidas de prevención, los usuarios pueden proteger mejor la seguridad de sus activos Web3.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
17 me gusta
Recompensa
17
8
Republicar
Compartir
Comentar
0/400
NotSatoshi
· 07-23 20:48
Si firmo, firmo. Todo el dinero desapareció.
Ver originalesResponder0
WealthCoffee
· 07-22 10:47
¿Cuántos w han sido pescados de nuevo?
Ver originalesResponder0
LiquidationSurvivor
· 07-20 21:37
El novato siempre es el más fácil de engañar.
Ver originalesResponder0
gas_fee_trauma
· 07-20 21:37
¿Otro tonto ha dejado el mercado?
Ver originalesResponder0
RugResistant
· 07-20 21:29
Es otra vez pesca, ¿cuándo terminará esto?
Ver originalesResponder0
ValidatorViking
· 07-20 21:28
veterano de infra endurecido por la batalla aquí... he visto demasiadas carteras caer por estos trucos de firma smh
Análisis de ataques de phishing en Web3: interpretación de riesgos de autorización, Permit y Permit2
Análisis del principio de phishing en Web3: la diferencia entre autorización, Permit y Permit2
En el mundo de Web3, el "phishing de firmas" se ha convertido en uno de los métodos de estafa más utilizados por los hackers. A pesar de que los expertos en seguridad continúan divulgando información, cada día muchos usuarios caen en la trampa. Una de las principales razones de esto es que la mayoría de las personas carecen de comprensión sobre la lógica subyacente de las interacciones con las billeteras, y el umbral de aprendizaje es alto para quienes no son técnicos. Este artículo intentará explicar los principios subyacentes del phishing de firmas de una manera fácil de entender.
Primero, necesitamos entender que hay dos operaciones principales al usar una billetera: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena (off-chain) y no requiere pagar tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere pagar tarifas de Gas.
La firma se utiliza comúnmente para la autenticación, como iniciar sesión en una billetera o conectar a una DApp. Este proceso no tiene ningún impacto sustancial en la blockchain, por lo que no es necesario pagar tarifas.
La interacción implica operaciones reales en la cadena. Por ejemplo, al intercambiar tokens en un DEX, primero necesitas autorizar al contrato inteligente para que use tus tokens y luego ejecutar la operación de intercambio. Ambos pasos requieren pagar tarifas de Gas.
Después de entender la diferencia entre la firma y la interacción, veamos algunos métodos comunes de phishing:
Phishing autorizado: Esta es una técnica clásica de phishing. Los hackers crean un sitio web atractivo (como un proyecto NFT falso) para inducir a los usuarios a hacer clic en botones como "Reclamar airdrop". En realidad, al hacer clic, los usuarios autorizan a la dirección del hacker a utilizar sus tokens. Este método requiere el pago de tarifas de Gas, por lo que es relativamente fácil de identificar por los usuarios cautelosos.
Phishing de firma de Permiso: Permit es una función extendida del estándar ERC-20 que permite a los usuarios autorizar a otros a usar sus tokens a través de una firma. Los hackers pueden inducir a los usuarios a firmar un mensaje que parece inofensivo, pero en realidad autoriza a los hackers a transferir los activos del usuario. Este método no requiere el pago de tarifas de Gas, lo que hace que los usuarios bajen la guardia.
Phishing de firma Permit2: Permit2 es una función lanzada por un DEX, diseñada para simplificar el proceso de operación del usuario. Permite a los usuarios autorizar una gran cantidad de fondos de una sola vez, y luego, para cada transacción, solo necesitan firmar. Sin embargo, si un usuario ha utilizado previamente ese DEX y ha otorgado un límite ilimitado, un hacker puede aprovechar este mecanismo para realizar phishing.
Para prevenir el phishing de firmas, se recomienda tomar las siguientes medidas:
Al comprender estos principios de phishing y las medidas de prevención, los usuarios pueden proteger mejor la seguridad de sus activos Web3.