Phishing par signature : le piège préféré des hackers Web3
Dans le monde de Web3, le "phishing par signature" devient une nouvelle méthode de fraude prisée par les hackers. Bien que les experts en sécurité et les entreprises de portefeuilles continuent de diffuser des connaissances à ce sujet, un grand nombre d'utilisateurs tombent encore dans le piège chaque jour. Une des principales raisons de cela est que la plupart des utilisateurs manquent de compréhension des mécanismes sous-jacents des interactions avec les portefeuilles, et que pour les non-techniciens, le seuil d'apprentissage dans ce domaine est élevé.
Pour aider un plus grand nombre de personnes à comprendre ce problème, nous allons expliquer le principe du phishing par signature de manière simple et accessible.
Tout d'abord, nous devons comprendre que les opérations de portefeuille se divisent principalement en deux catégories : "signature" et "interaction". En termes simples, la signature est une opération qui se déroule en dehors de la blockchain et ne nécessite pas de frais de Gas ; tandis que l'interaction se déroule sur la blockchain et nécessite le paiement de frais de Gas.
La signature est généralement utilisée pour l'authentification, par exemple, pour se connecter à un portefeuille. Lorsque vous souhaitez utiliser une application décentralisée (DApp), vous devez d'abord signer pour prouver que vous êtes le propriétaire du portefeuille. Ce processus ne modifie aucune donnée ou état sur la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction implique des opérations réelles sur la blockchain. Par exemple, lorsque vous souhaitez échanger des tokens sur un échange décentralisé (DEX), vous devez d'abord autoriser le contrat intelligent du DEX à utiliser vos tokens, ce qui est appelé l'opération "approbation" (approve). Ensuite, vous devez interagir à nouveau avec le contrat pour confirmer l'exécution de l'opération d'échange. Ces deux étapes nécessitent de payer des frais de Gas.
Après avoir compris la différence entre la signature et l'interaction, examinons quelques méthodes de phishing courantes : le phishing d'autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing autorisé est une méthode classique d'escroquerie. Les hackers créent un faux site Web, souvent déguisé en projet NFT ou en activité d'airdrop. Lorsque les utilisateurs cliquent sur des boutons tels que "Réclamer l'airdrop", ils autorisent en réalité l'adresse du hacker à utiliser leurs tokens. Comme cette opération nécessite de payer des frais de Gas, de nombreux utilisateurs deviennent vigilants lorsqu'ils voient une demande de paiement de leur portefeuille, ce qui leur donne une chance d'éviter d'être dupés.
Les signatures de Permit et Permit2 pour le phishing sont donc plus discrètes et plus difficiles à prévenir. Cela est dû au fait que les utilisateurs ont l'habitude de signer avant d'utiliser une DApp, ce qui les amène à ignorer facilement les risques.
Permit est une fonctionnalité d'extension de la norme ERC-20, permettant aux utilisateurs d'approuver d'autres personnes à utiliser leurs jetons par le biais d'une signature. Contrairement à l'autorisation traditionnelle, Permit ne nécessite pas que l'utilisateur paie des frais de Gas. Les hackers peuvent tirer parti de cela pour inciter les utilisateurs à signer des messages apparemment inoffensifs, alors qu'en réalité, cela autorise les hackers à transférer les actifs des utilisateurs.
Permit2 est une fonctionnalité lancée par certains DEX pour optimiser l'expérience utilisateur. Elle permet aux utilisateurs d'autoriser une grande somme en une seule fois au contrat Permit2, après quoi chaque transaction nécessite seulement une signature de confirmation, sans avoir à autoriser à nouveau. Bien que ce mécanisme soit pratique, il augmente également le risque de phishing, en particulier pour ceux qui ont déjà utilisé ce DEX et accordé une autorisation illimitée.
Pour prévenir le phishing par signature, les utilisateurs devraient :
Développez une conscience de la sécurité, vérifiez attentivement ce que vous faites à chaque opération.
Séparer les fonds principaux du portefeuille utilisé au quotidien pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2, et soyez particulièrement vigilant en cas de demande de signature associée.
Le format de signature contient généralement les informations suivantes :
Site d'interaction
Adresse de l'autorisateur
Adresse du mandataire
Quantité autorisée
Nombre aléatoire
Date d'expiration
En comprenant ces principes et en prenant des mesures préventives appropriées, les utilisateurs peuvent mieux protéger leurs actifs numériques et éviter de devenir des victimes de phishing par signature.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
4
Reposter
Partager
Commentaire
0/400
GateUser-74b10196
· 08-14 05:55
Quand allez-vous assurer les pigeons ?
Voir l'originalRépondre0
Ser_Liquidated
· 08-14 05:53
Encore une fois se faire prendre pour des cons, n'est-ce pas ? Je l'ai vu de mes propres yeux.
Voir l'originalRépondre0
ForkThisDAO
· 08-14 05:44
Après avoir signé, on m'a coupé les coupons.
Voir l'originalRépondre0
0xTherapist
· 08-14 05:26
Zut, en moins d'une minute, j'ai perdu la moitié de ma fortune à cause d'une signature.
Web3 vigilance : la signature de phishing devient la favorite des Hackers comment se protéger
Phishing par signature : le piège préféré des hackers Web3
Dans le monde de Web3, le "phishing par signature" devient une nouvelle méthode de fraude prisée par les hackers. Bien que les experts en sécurité et les entreprises de portefeuilles continuent de diffuser des connaissances à ce sujet, un grand nombre d'utilisateurs tombent encore dans le piège chaque jour. Une des principales raisons de cela est que la plupart des utilisateurs manquent de compréhension des mécanismes sous-jacents des interactions avec les portefeuilles, et que pour les non-techniciens, le seuil d'apprentissage dans ce domaine est élevé.
Pour aider un plus grand nombre de personnes à comprendre ce problème, nous allons expliquer le principe du phishing par signature de manière simple et accessible.
Tout d'abord, nous devons comprendre que les opérations de portefeuille se divisent principalement en deux catégories : "signature" et "interaction". En termes simples, la signature est une opération qui se déroule en dehors de la blockchain et ne nécessite pas de frais de Gas ; tandis que l'interaction se déroule sur la blockchain et nécessite le paiement de frais de Gas.
La signature est généralement utilisée pour l'authentification, par exemple, pour se connecter à un portefeuille. Lorsque vous souhaitez utiliser une application décentralisée (DApp), vous devez d'abord signer pour prouver que vous êtes le propriétaire du portefeuille. Ce processus ne modifie aucune donnée ou état sur la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction implique des opérations réelles sur la blockchain. Par exemple, lorsque vous souhaitez échanger des tokens sur un échange décentralisé (DEX), vous devez d'abord autoriser le contrat intelligent du DEX à utiliser vos tokens, ce qui est appelé l'opération "approbation" (approve). Ensuite, vous devez interagir à nouveau avec le contrat pour confirmer l'exécution de l'opération d'échange. Ces deux étapes nécessitent de payer des frais de Gas.
Après avoir compris la différence entre la signature et l'interaction, examinons quelques méthodes de phishing courantes : le phishing d'autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing autorisé est une méthode classique d'escroquerie. Les hackers créent un faux site Web, souvent déguisé en projet NFT ou en activité d'airdrop. Lorsque les utilisateurs cliquent sur des boutons tels que "Réclamer l'airdrop", ils autorisent en réalité l'adresse du hacker à utiliser leurs tokens. Comme cette opération nécessite de payer des frais de Gas, de nombreux utilisateurs deviennent vigilants lorsqu'ils voient une demande de paiement de leur portefeuille, ce qui leur donne une chance d'éviter d'être dupés.
Les signatures de Permit et Permit2 pour le phishing sont donc plus discrètes et plus difficiles à prévenir. Cela est dû au fait que les utilisateurs ont l'habitude de signer avant d'utiliser une DApp, ce qui les amène à ignorer facilement les risques.
Permit est une fonctionnalité d'extension de la norme ERC-20, permettant aux utilisateurs d'approuver d'autres personnes à utiliser leurs jetons par le biais d'une signature. Contrairement à l'autorisation traditionnelle, Permit ne nécessite pas que l'utilisateur paie des frais de Gas. Les hackers peuvent tirer parti de cela pour inciter les utilisateurs à signer des messages apparemment inoffensifs, alors qu'en réalité, cela autorise les hackers à transférer les actifs des utilisateurs.
Permit2 est une fonctionnalité lancée par certains DEX pour optimiser l'expérience utilisateur. Elle permet aux utilisateurs d'autoriser une grande somme en une seule fois au contrat Permit2, après quoi chaque transaction nécessite seulement une signature de confirmation, sans avoir à autoriser à nouveau. Bien que ce mécanisme soit pratique, il augmente également le risque de phishing, en particulier pour ceux qui ont déjà utilisé ce DEX et accordé une autorisation illimitée.
Pour prévenir le phishing par signature, les utilisateurs devraient :
Le format de signature contient généralement les informations suivantes :
En comprenant ces principes et en prenant des mesures préventives appropriées, les utilisateurs peuvent mieux protéger leurs actifs numériques et éviter de devenir des victimes de phishing par signature.