Análise do Princípio de Phishing de Assinatura Web3: Diferença entre Autorização, Permit e Permit2
No mundo do Web3, "phishing por assinatura" tornou-se uma das técnicas de fraude mais utilizadas pelos hackers. Embora especialistas em segurança estejam constantemente realizando campanhas de conscientização, ainda há muitos usuários que caem em armadilhas todos os dias. Uma das principais razões para isso é que a maioria das pessoas carece de compreensão sobre a lógica subjacente às interações com carteiras, e a barreira de aprendizado é alta para não técnicos. Este artigo tentará explicar os princípios subjacentes do phishing por assinatura de uma maneira acessível.
Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações: "assinar" e "interagir". Em termos simples, a assinatura ocorre fora da blockchain (off-chain), não requerendo o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento de taxas de Gas.
As assinaturas são normalmente usadas para autenticação, como ao fazer login em uma carteira ou conectar a um DApp. Este processo não tem impacto substancial na blockchain, portanto, não é necessário pagar taxas.
A interação envolve operações reais na blockchain. Por exemplo, ao trocar tokens em um DEX, você precisa primeiro autorizar o contrato inteligente a usar seus tokens e, em seguida, executar a operação de troca. Ambos os passos exigem o pagamento de taxas de Gas.
Depois de entender a diferença entre assinatura e interação, vamos dar uma olhada em algumas formas comuns de phishing:
Phishing autorizado:
Esta é uma técnica clássica de phishing. Os hackers criam um site falsificado (como um projeto NFT falso) para induzir os usuários a clicar em botões como "receber airdrop". Na realidade, ao clicar, os usuários autorizam o endereço do hacker a usar seus tokens. Esse método requer o pagamento de taxas de Gas, tornando-se relativamente fácil de ser identificado por usuários atentos.
Assinatura de phishing de Permissão:
Permit é uma funcionalidade de extensão do padrão ERC-20, que permite aos usuários aprovar outros a utilizarem seus tokens através de uma assinatura. Hackers podem induzir os usuários a assinarem uma mensagem que parece inofensiva, mas que na verdade autoriza os hackers a transferirem os ativos dos usuários. Esse método não requer o pagamento de taxas de Gas, tornando mais fácil para os usuários baixarem a guarda.
Phishing de assinatura do Permit2:
Permit2 é uma funcionalidade lançada por uma DEX, destinada a simplificar o fluxo de operação dos usuários. Permite que os usuários autorizem um grande montante de uma só vez, após o que, para cada transação, basta assinar. No entanto, se o usuário já utilizou essa DEX antes e concedeu um limite ilimitado, os hackers podem explorar esse mecanismo para phishing.
Para prevenir a pesca de assinatura, recomenda-se tomar as seguintes medidas:
Desenvolver a consciência de segurança, verificando cuidadosamente sempre que realizar operações na carteira.
Separar grandes quantias de dinheiro das carteiras usadas no dia a dia, reduzindo a perda potencial.
Aprenda a identificar os formatos de assinatura do Permit e Permit2, incluindo as seguintes informações-chave:
Interativo: URL de interação
Proprietário:endereço do autorizador
Spender: Endereço do autorizado
Valor:quantidade autorizada
Nonce: número aleatório
Prazo: data de expiração
Ao compreender estes princípios de phishing e as medidas de prevenção, os utilizadores podem proteger melhor a segurança dos seus ativos Web3.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
17 Curtidas
Recompensa
17
8
Compartilhar
Comentário
0/400
NotSatoshi
· 07-23 20:48
Assina, assina, todo o dinheiro desapareceu.
Ver originalResponder0
WealthCoffee
· 07-22 10:47
Quantos w foram novamente pesqueiros?
Ver originalResponder0
LiquidationSurvivor
· 07-20 21:37
O novato é sempre o mais fácil de ser enganado.
Ver originalResponder0
gas_fee_trauma
· 07-20 21:37
Outro idiota saiu do mercado, não é?
Ver originalResponder0
RugResistant
· 07-20 21:29
Mais uma vez a pesca, quando é que vai acabar?
Ver originalResponder0
ValidatorViking
· 07-20 21:28
veterano de infra com experiência de batalha aqui... vi muitas carteiras cair para esses truques de assinatura smh
Análise de ataques de phishing com assinatura Web3: Interpretação dos riscos de autorização, Permit e Permit2
Análise do Princípio de Phishing de Assinatura Web3: Diferença entre Autorização, Permit e Permit2
No mundo do Web3, "phishing por assinatura" tornou-se uma das técnicas de fraude mais utilizadas pelos hackers. Embora especialistas em segurança estejam constantemente realizando campanhas de conscientização, ainda há muitos usuários que caem em armadilhas todos os dias. Uma das principais razões para isso é que a maioria das pessoas carece de compreensão sobre a lógica subjacente às interações com carteiras, e a barreira de aprendizado é alta para não técnicos. Este artigo tentará explicar os princípios subjacentes do phishing por assinatura de uma maneira acessível.
Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações: "assinar" e "interagir". Em termos simples, a assinatura ocorre fora da blockchain (off-chain), não requerendo o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento de taxas de Gas.
As assinaturas são normalmente usadas para autenticação, como ao fazer login em uma carteira ou conectar a um DApp. Este processo não tem impacto substancial na blockchain, portanto, não é necessário pagar taxas.
A interação envolve operações reais na blockchain. Por exemplo, ao trocar tokens em um DEX, você precisa primeiro autorizar o contrato inteligente a usar seus tokens e, em seguida, executar a operação de troca. Ambos os passos exigem o pagamento de taxas de Gas.
Depois de entender a diferença entre assinatura e interação, vamos dar uma olhada em algumas formas comuns de phishing:
Phishing autorizado: Esta é uma técnica clássica de phishing. Os hackers criam um site falsificado (como um projeto NFT falso) para induzir os usuários a clicar em botões como "receber airdrop". Na realidade, ao clicar, os usuários autorizam o endereço do hacker a usar seus tokens. Esse método requer o pagamento de taxas de Gas, tornando-se relativamente fácil de ser identificado por usuários atentos.
Assinatura de phishing de Permissão: Permit é uma funcionalidade de extensão do padrão ERC-20, que permite aos usuários aprovar outros a utilizarem seus tokens através de uma assinatura. Hackers podem induzir os usuários a assinarem uma mensagem que parece inofensiva, mas que na verdade autoriza os hackers a transferirem os ativos dos usuários. Esse método não requer o pagamento de taxas de Gas, tornando mais fácil para os usuários baixarem a guarda.
Phishing de assinatura do Permit2: Permit2 é uma funcionalidade lançada por uma DEX, destinada a simplificar o fluxo de operação dos usuários. Permite que os usuários autorizem um grande montante de uma só vez, após o que, para cada transação, basta assinar. No entanto, se o usuário já utilizou essa DEX antes e concedeu um limite ilimitado, os hackers podem explorar esse mecanismo para phishing.
Para prevenir a pesca de assinatura, recomenda-se tomar as seguintes medidas:
Ao compreender estes princípios de phishing e as medidas de prevenção, os utilizadores podem proteger melhor a segurança dos seus ativos Web3.