Phishing por assinatura: a armadilha favorita dos hackers Web3
No mundo Web3, "phishing por assinatura" está se tornando um novo método de fraude preferido pelos Hackers. Apesar de especialistas em segurança e empresas de carteiras estarem constantemente divulgando informações relacionadas, ainda assim, diariamente, um grande número de usuários cai em armadilhas. Uma das principais razões para isso é que a maioria dos usuários carece de compreensão sobre os mecanismos subjacentes das interações em carteiras, e para não técnicos, a barreira de aprendizado nessa área é bastante alta.
Para ajudar mais pessoas a entender essa questão, vamos explicar o princípio do phishing por assinatura de uma maneira simples e compreensível.
Primeiro, precisamos entender que as operações de carteira se dividem principalmente em duas categorias: "assinatura" e "interação". Simplificando, a assinatura é uma operação que ocorre fora da blockchain, não requerendo o pagamento de taxas de Gas; enquanto a interação é realizada na blockchain, exigindo o pagamento de taxas de Gas.
A assinatura é geralmente utilizada para autenticação, como ao fazer login em uma carteira. Quando você deseja usar um aplicativo descentralizado (DApp), é necessário assinar primeiro para provar que você é o proprietário da carteira. Este processo não altera nenhum dado ou estado na blockchain, portanto, não é necessário pagar taxas.
A interação envolve operações reais na blockchain. Por exemplo, quando você deseja trocar tokens em uma exchange descentralizada (DEX), primeiro precisa autorizar o contrato inteligente da DEX a usar seus tokens, o que é chamado de operação de "aprovação" (approve). Em seguida, você também precisa interagir novamente com o contrato para confirmar a execução da operação de troca. Ambas as etapas requerem o pagamento de taxas de Gas.
Após entender a diferença entre assinatura e interação, vamos dar uma olhada em algumas formas comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.
A autorização de phishing é uma técnica clássica de fraude. Os hackers criam um site falso, geralmente disfarçado como um projeto de NFT ou uma atividade de airdrop. Quando os usuários clicam em botões como "Receber airdrop", na verdade estão autorizando o endereço do hacker a usar seus próprios tokens. Como essa operação requer o pagamento de taxas de Gas, muitos usuários se tornam cautelosos ao ver o pedido de pagamento aparecer na carteira, o que lhes dá a oportunidade de evitar ser enganados.
As assinaturas do Permit e do Permit2 são mais disfarçadas e mais difíceis de prevenir. Isso ocorre porque os usuários estão habituados a realizar operações de assinatura antes de usar DApps, o que os leva a ignorar os riscos envolvidos.
Permit é uma funcionalidade de extensão do padrão ERC-20, que permite aos usuários aprovar outras pessoas a utilizarem seus tokens através de uma assinatura. Ao contrário da autorização tradicional, o Permit não requer que os usuários paguem taxas de Gas. Hackers podem explorar isso, induzindo os usuários a assinarem mensagens que parecem inofensivas, mas que na verdade autorizam hackers a transferirem os ativos dos usuários.
Permit2 é uma funcionalidade lançada por um DEX para otimizar a experiência do usuário. Permite que os usuários autorizem uma quantia elevada de uma só vez ao contrato Permit2, após o que cada transação só requer uma assinatura de confirmação, sem necessidade de nova autorização. Embora este mecanismo seja conveniente, também aumenta o risco de phishing, especialmente para aqueles que já usaram esse DEX e concederam autorização ilimitada.
Para prevenir a phishing de assinatura, os usuários devem:
Desenvolver a consciência de segurança, deve-se verificar cuidadosamente o que se está a fazer a cada operação.
Separar os principais fundos da carteira usada diariamente, reduzindo perdas potenciais.
Aprenda a reconhecer os formatos de assinatura do Permit e do Permit2, e esteja especialmente atento quando encontrar solicitações de assinatura relacionadas.
O formato de assinatura geralmente contém as seguintes informações:
URL de interação
Endereço do autorizador
Endereço do autorizado
Quantidade autorizada
Número aleatório
Data de expiração
Ao compreender esses princípios e adotar as medidas de precaução adequadas, os usuários podem proteger melhor seus ativos digitais e evitar se tornar vítimas de phishing de assinatura.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
13 Curtidas
Recompensa
13
4
Repostar
Compartilhar
Comentário
0/400
GateUser-74b10196
· 13h atrás
Quando é que se dá seguro aos idiotas?
Ver originalResponder0
Ser_Liquidated
· 13h atrás
又被 fazer as pessoas de parvas了吧 亲眼见过
Ver originalResponder0
ForkThisDAO
· 13h atrás
Assinar e ser alvo de Cupões de Recorte.
Ver originalResponder0
0xTherapist
· 14h atrás
Tsk tsk, a perda de mais da metade da fortuna em menos de um minuto de assinatura.
Web3 alerta: phishing por assinatura se torna o favorito dos Hackers Como se proteger
Phishing por assinatura: a armadilha favorita dos hackers Web3
No mundo Web3, "phishing por assinatura" está se tornando um novo método de fraude preferido pelos Hackers. Apesar de especialistas em segurança e empresas de carteiras estarem constantemente divulgando informações relacionadas, ainda assim, diariamente, um grande número de usuários cai em armadilhas. Uma das principais razões para isso é que a maioria dos usuários carece de compreensão sobre os mecanismos subjacentes das interações em carteiras, e para não técnicos, a barreira de aprendizado nessa área é bastante alta.
Para ajudar mais pessoas a entender essa questão, vamos explicar o princípio do phishing por assinatura de uma maneira simples e compreensível.
Primeiro, precisamos entender que as operações de carteira se dividem principalmente em duas categorias: "assinatura" e "interação". Simplificando, a assinatura é uma operação que ocorre fora da blockchain, não requerendo o pagamento de taxas de Gas; enquanto a interação é realizada na blockchain, exigindo o pagamento de taxas de Gas.
A assinatura é geralmente utilizada para autenticação, como ao fazer login em uma carteira. Quando você deseja usar um aplicativo descentralizado (DApp), é necessário assinar primeiro para provar que você é o proprietário da carteira. Este processo não altera nenhum dado ou estado na blockchain, portanto, não é necessário pagar taxas.
A interação envolve operações reais na blockchain. Por exemplo, quando você deseja trocar tokens em uma exchange descentralizada (DEX), primeiro precisa autorizar o contrato inteligente da DEX a usar seus tokens, o que é chamado de operação de "aprovação" (approve). Em seguida, você também precisa interagir novamente com o contrato para confirmar a execução da operação de troca. Ambas as etapas requerem o pagamento de taxas de Gas.
Após entender a diferença entre assinatura e interação, vamos dar uma olhada em algumas formas comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.
A autorização de phishing é uma técnica clássica de fraude. Os hackers criam um site falso, geralmente disfarçado como um projeto de NFT ou uma atividade de airdrop. Quando os usuários clicam em botões como "Receber airdrop", na verdade estão autorizando o endereço do hacker a usar seus próprios tokens. Como essa operação requer o pagamento de taxas de Gas, muitos usuários se tornam cautelosos ao ver o pedido de pagamento aparecer na carteira, o que lhes dá a oportunidade de evitar ser enganados.
As assinaturas do Permit e do Permit2 são mais disfarçadas e mais difíceis de prevenir. Isso ocorre porque os usuários estão habituados a realizar operações de assinatura antes de usar DApps, o que os leva a ignorar os riscos envolvidos.
Permit é uma funcionalidade de extensão do padrão ERC-20, que permite aos usuários aprovar outras pessoas a utilizarem seus tokens através de uma assinatura. Ao contrário da autorização tradicional, o Permit não requer que os usuários paguem taxas de Gas. Hackers podem explorar isso, induzindo os usuários a assinarem mensagens que parecem inofensivas, mas que na verdade autorizam hackers a transferirem os ativos dos usuários.
Permit2 é uma funcionalidade lançada por um DEX para otimizar a experiência do usuário. Permite que os usuários autorizem uma quantia elevada de uma só vez ao contrato Permit2, após o que cada transação só requer uma assinatura de confirmação, sem necessidade de nova autorização. Embora este mecanismo seja conveniente, também aumenta o risco de phishing, especialmente para aqueles que já usaram esse DEX e concederam autorização ilimitada.
Para prevenir a phishing de assinatura, os usuários devem:
O formato de assinatura geralmente contém as seguintes informações:
Ao compreender esses princípios e adotar as medidas de precaução adequadas, os usuários podem proteger melhor seus ativos digitais e evitar se tornar vítimas de phishing de assinatura.