Firma de Phishing: La trampa favorita de los hackers de Web3
En el mundo de Web3, el "phishing de firmas" se está convirtiendo en un nuevo método de fraude preferido por los hackers. A pesar de que los expertos en seguridad y las empresas de billeteras continúan educando sobre el tema, cada día un gran número de usuarios cae en la trampa. Una de las principales razones de esta situación es que la mayoría de los usuarios carecen de comprensión sobre los mecanismos subyacentes de la interacción con billeteras, y para las personas no técnicas, el umbral de aprendizaje en este aspecto es bastante alto.
Para ayudar a más personas a entender este problema, explicaremos el principio del phishing de firmas de una manera sencilla y comprensible.
Primero, necesitamos entender que las operaciones de la billetera se dividen en dos categorías: "firma" e "interacción". En términos simples, la firma es una operación que ocurre fuera de la blockchain, y no requiere el pago de tarifas de Gas; mientras que la interacción se realiza en la blockchain y requiere el pago de tarifas de Gas.
La firma se utiliza normalmente para la autenticación, como al iniciar sesión en una billetera. Cuando deseas utilizar una aplicación descentralizada (DApp), necesitas firmar primero para demostrar que eres el propietario de la billetera. Este proceso no cambiará ningún dato o estado en la blockchain, por lo que no es necesario pagar ninguna tarifa.
La interacción implica operaciones reales en la cadena. Por ejemplo, cuando deseas intercambiar tokens en un intercambio descentralizado (DEX), primero necesitas autorizar al contrato inteligente del DEX para usar tus tokens, lo que se conoce como operación de "aprobación" (approve). Después, también necesitas interactuar nuevamente con el contrato para confirmar la ejecución de la operación de intercambio. Ambos pasos requieren el pago de tarifas de Gas.
Después de entender la diferencia entre firma e interacción, veamos algunas formas comunes de phishing: phishing de autorización, phishing de firma de Permit y phishing de firma de Permit2.
La autorización de phishing es una técnica clásica de fraude. Los hackers crean un sitio web falso, que generalmente se disfraza como un proyecto de NFT o una actividad de airdrop. Cuando los usuarios hacen clic en botones como "Reclamar airdrop", en realidad están autorizando a la dirección del hacker a usar sus propios tokens. Dado que esta operación requiere el pago de tarifas de Gas, muchos usuarios se vuelven cautelosos al ver la solicitud de pago de su billetera, lo que les da la oportunidad de evitar ser engañados.
Las firmas de Permit y Permit2 para phishing son más furtivas y más difíciles de prevenir. Esto se debe a que los usuarios están acostumbrados a realizar operaciones de firma antes de usar DApp, lo que hace que sea fácil pasar por alto los riesgos involucrados.
Permit es una función de extensión del estándar ERC-20 que permite a los usuarios aprobar a otros para usar sus tokens a través de una firma. A diferencia de la autorización tradicional, Permit no requiere que los usuarios paguen tarifas de Gas. Los hackers pueden aprovechar esto para inducir a los usuarios a firmar mensajes que parecen inofensivos, pero que en realidad son permisos para que los hackers transfieran los activos de los usuarios.
Permit2 es una función lanzada por un DEX para optimizar la experiencia del usuario. Permite a los usuarios autorizar una gran cantidad de forma única al contrato de Permit2, después, cada transacción solo necesita una firma de confirmación, sin necesidad de autorizar nuevamente. Este mecanismo, aunque conveniente, también aumenta el riesgo de ser víctima de phishing, especialmente para aquellos que han utilizado el DEX y han otorgado autorizaciones ilimitadas.
Para prevenir el phishing de firmas, los usuarios deben:
Fomentar la conciencia de seguridad, cada vez que realices una operación, debes revisar cuidadosamente qué estás haciendo.
Separar los fondos principales de la billetera que se utiliza diariamente para reducir las pérdidas potenciales.
Aprende a reconocer el formato de firma de Permit y Permit2, y mantén especial atención ante solicitudes de firma relacionadas.
El formato de la firma suele contener la siguiente información:
Sitio web interactivo
Dirección del otorgante
Dirección del autorizado
Cantidad autorizada
Número aleatorio
Tiempo de expiración
Al comprender estos principios y tomar las medidas de precaución adecuadas, los usuarios pueden proteger mejor sus activos digitales y evitar convertirse en víctimas de phishing de firma.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
4
Republicar
Compartir
Comentar
0/400
GateUser-74b10196
· 08-14 05:55
¿Cuándo se asegurará a los tontos?
Ver originalesResponder0
Ser_Liquidated
· 08-14 05:53
Ser engañados, ¿verdad? Lo he visto con mis propios ojos.
Ver originalesResponder0
ForkThisDAO
· 08-14 05:44
Firmar y ser objeto de cupones de clip.
Ver originalesResponder0
0xTherapist
· 08-14 05:26
Tsk tsk, en menos de un minuto, se perdió más de la mitad de mi fortuna.
Web3 en alerta: la firma de phishing se convierte en el favorito de los Hackers ¿Cómo protegerse?
Firma de Phishing: La trampa favorita de los hackers de Web3
En el mundo de Web3, el "phishing de firmas" se está convirtiendo en un nuevo método de fraude preferido por los hackers. A pesar de que los expertos en seguridad y las empresas de billeteras continúan educando sobre el tema, cada día un gran número de usuarios cae en la trampa. Una de las principales razones de esta situación es que la mayoría de los usuarios carecen de comprensión sobre los mecanismos subyacentes de la interacción con billeteras, y para las personas no técnicas, el umbral de aprendizaje en este aspecto es bastante alto.
Para ayudar a más personas a entender este problema, explicaremos el principio del phishing de firmas de una manera sencilla y comprensible.
Primero, necesitamos entender que las operaciones de la billetera se dividen en dos categorías: "firma" e "interacción". En términos simples, la firma es una operación que ocurre fuera de la blockchain, y no requiere el pago de tarifas de Gas; mientras que la interacción se realiza en la blockchain y requiere el pago de tarifas de Gas.
La firma se utiliza normalmente para la autenticación, como al iniciar sesión en una billetera. Cuando deseas utilizar una aplicación descentralizada (DApp), necesitas firmar primero para demostrar que eres el propietario de la billetera. Este proceso no cambiará ningún dato o estado en la blockchain, por lo que no es necesario pagar ninguna tarifa.
La interacción implica operaciones reales en la cadena. Por ejemplo, cuando deseas intercambiar tokens en un intercambio descentralizado (DEX), primero necesitas autorizar al contrato inteligente del DEX para usar tus tokens, lo que se conoce como operación de "aprobación" (approve). Después, también necesitas interactuar nuevamente con el contrato para confirmar la ejecución de la operación de intercambio. Ambos pasos requieren el pago de tarifas de Gas.
Después de entender la diferencia entre firma e interacción, veamos algunas formas comunes de phishing: phishing de autorización, phishing de firma de Permit y phishing de firma de Permit2.
La autorización de phishing es una técnica clásica de fraude. Los hackers crean un sitio web falso, que generalmente se disfraza como un proyecto de NFT o una actividad de airdrop. Cuando los usuarios hacen clic en botones como "Reclamar airdrop", en realidad están autorizando a la dirección del hacker a usar sus propios tokens. Dado que esta operación requiere el pago de tarifas de Gas, muchos usuarios se vuelven cautelosos al ver la solicitud de pago de su billetera, lo que les da la oportunidad de evitar ser engañados.
Las firmas de Permit y Permit2 para phishing son más furtivas y más difíciles de prevenir. Esto se debe a que los usuarios están acostumbrados a realizar operaciones de firma antes de usar DApp, lo que hace que sea fácil pasar por alto los riesgos involucrados.
Permit es una función de extensión del estándar ERC-20 que permite a los usuarios aprobar a otros para usar sus tokens a través de una firma. A diferencia de la autorización tradicional, Permit no requiere que los usuarios paguen tarifas de Gas. Los hackers pueden aprovechar esto para inducir a los usuarios a firmar mensajes que parecen inofensivos, pero que en realidad son permisos para que los hackers transfieran los activos de los usuarios.
Permit2 es una función lanzada por un DEX para optimizar la experiencia del usuario. Permite a los usuarios autorizar una gran cantidad de forma única al contrato de Permit2, después, cada transacción solo necesita una firma de confirmación, sin necesidad de autorizar nuevamente. Este mecanismo, aunque conveniente, también aumenta el riesgo de ser víctima de phishing, especialmente para aquellos que han utilizado el DEX y han otorgado autorizaciones ilimitadas.
Para prevenir el phishing de firmas, los usuarios deben:
El formato de la firma suele contener la siguiente información:
Al comprender estos principios y tomar las medidas de precaución adecuadas, los usuarios pueden proteger mejor sus activos digitales y evitar convertirse en víctimas de phishing de firma.