Analyse du principe de phishing par signature Web3 : différences entre Autorisation, Permit et Permit2

Dans le monde du Web3, le "phishing par signature" est devenu l'une des techniques de fraude les plus couramment utilisées par les hackers. Bien que les experts en sécurité continuent de sensibiliser le public, de nombreux utilisateurs tombent encore dans le piège chaque jour. L'une des principales raisons à cela est que la plupart des gens manquent de compréhension de la logique sous-jacente aux interactions avec les portefeuilles, et que le seuil d'apprentissage est relativement élevé pour les non-techniciens. Cet article tentera d'expliquer les principes sous-jacents du phishing par signature de manière simple et compréhensible.

Tout d'abord, nous devons comprendre qu'il y a principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de payer des frais de Gas ; tandis que l'interaction se produit sur la blockchain (sur chaîne) et nécessite de payer des frais de Gas.

La signature est généralement utilisée pour l'authentification, par exemple pour se connecter à un portefeuille ou à une DApp. Ce processus n'aura aucun impact substantiel sur la blockchain, donc aucun frais n'est à payer.

L'interaction implique des opérations réelles sur la chaîne. Par exemple, lors de l'échange de jetons sur un DEX, vous devez d'abord autoriser le contrat intelligent à utiliser vos jetons, puis exécuter l'opération d'échange. Ces deux étapes nécessitent le paiement des frais de Gas.

Après avoir compris la différence entre la signature et l'interaction, examinons quelques méthodes de phishing courantes :

1. Phishing autorisé : C'est une méthode classique de phishing. Les hackers créent un site Web sophistiqué (comme un faux projet NFT) pour inciter les utilisateurs à cliquer sur des boutons tels que "Réclamer l'airdrop". En réalité, après avoir cliqué, les utilisateurs autorisent l'adresse des hackers à utiliser leurs jetons. Cette méthode nécessite le paiement de frais de Gas, ce qui la rend relativement facile à identifier par des utilisateurs vigilants.

2. Phishing par signature de permis : Le Permis est une fonctionnalité d'extension de la norme ERC-20, permettant aux utilisateurs d'approuver par signature d'autres personnes pour utiliser leurs jetons. Les hackers peuvent inciter les utilisateurs à signer un message apparemment inoffensif, qui en réalité autorise les hackers à transférer les actifs des utilisateurs. Cette méthode ne nécessite pas de frais de Gas, ce qui peut amener les utilisateurs à baisser leur garde.

3. Phishing par signature Permit2 : Permit2 est une fonctionnalité lancée par un certain DEX, visant à simplifier le processus d'opération des utilisateurs. Elle permet aux utilisateurs d'autoriser une grande limite en une seule fois, après quoi chaque transaction nécessite uniquement une signature. Cependant, si un utilisateur a déjà utilisé ce DEX et a accordé une limite illimitée, un hacker peut exploiter ce mécanisme pour effectuer du phishing.

Pour prévenir le phishing par signature, il est recommandé de prendre les mesures suivantes :

1. Développez une conscience de la sécurité et vérifiez attentivement chaque fois que vous effectuez des opérations de portefeuille.
2. Séparer les fonds importants du portefeuille utilisé au quotidien pour réduire les pertes potentielles.
3. Apprenez à reconnaître le format de signature de Permit et Permit2, y compris les informations clés suivantes :
   • Interactif : adresse interactive
   • Propriétaire : adresse de l'autorisateur
   • Spender : adresse de l'entité autorisée
   • Valeur : quantité autorisée
   • Nonce : nombre aléatoire
   • Deadline : date d'expiration

En comprenant ces principes de phishing et les mesures de prévention, les utilisateurs peuvent mieux protéger la sécurité de leurs actifs Web3.