Анализ принципа фишинга в Web3: Различия между Авторизацией, Permit и Permit2
В мире Web3 "фишинг с подписями" стал одним из самых распространенных способов мошенничества среди хакеров. Несмотря на постоянные усилия специалистов по безопасности по повышению осведомленности, ежедневно множество пользователей попадают в ловушки. Одной из основных причин этого является то, что большинство людей не понимает основного логики взаимодействия с кошельками, и для непрофессионалов порог вхождения довольно высок. В этой статье мы попытаемся объяснить основные принципы фишинга с подписями простым и понятным языком.
Во-первых, нам нужно понять, что при использовании кошелька существуют два основных действия: "подписание" и "взаимодействие". Проще говоря, подписание происходит вне блокчейна (офлайн) и не требует оплаты Gas-стоимости; в то время как взаимодействие происходит в блокчейне (онлайн) и требует оплаты Gas-стоимости.
Подпись обычно используется для аутентификации, например, при входе в кошелек или подключении к какому-либо DApp. Этот процесс не оказывает никакого существенного влияния на блокчейн, поэтому платить за него не нужно.
Взаимодействие включает в себя фактические операции на блокчейне. Например, при обмене токенов на каком-либо DEX вам нужно сначала разрешить смарт-контракту использовать ваши токены, а затем выполнить операцию обмена. Оба этих шага требуют оплаты Gas.
После того как мы разобрались с различиями между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга:
Авторизация фишинга:
Это классический метод фишинга. Хакеры создают поддельный красивый веб-сайт (например, поддельный проект NFT), чтобы诱导 пользователей нажимать на кнопки "Получить аирдроп" и т.д. На самом деле, после нажатия пользователи разрешают хакерскому адресу использовать свои токены. Этот способ требует оплаты Gas-ов, поэтому относительно легко обнаруживается внимательными пользователями.
Подпись разрешения Фишинг:
Permit является расширенной функцией стандарта ERC-20, позволяющей пользователям подписывать разрешение другим на использование своих токенов. Хакеры могут заставить пользователей подписывать на вид безвредное сообщение, которое на самом деле предоставляет хакерам право на перевод активов пользователей. Этот способ не требует оплаты Gas и легко может расслабить бдительность пользователей.
Фишинг через подпись Permit2:
Permit2 — это функция, введенная некоторыми DEX, предназначенная для упрощения пользовательских операций. Она позволяет пользователям единовременно авторизовывать большие суммы, после чего для каждой последующей сделки требуется только подпись. Однако если пользователь ранее использовал этот DEX и предоставил неограниченный лимит, хакеры могут воспользоваться этой схемой для фишинга.
Для предотвращения фишинга подписи рекомендуется принять следующие меры:
Развивайте осознание безопасности, каждый раз при выполнении операций с кошельком тщательно проверяйте.
Разделите крупные суммы средств и деньги для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать форматы подписей Permit и Permit2, включая следующую ключевую информацию:
Интерактивный:интерактивный веб-сайт
Владелец: адрес уполномоченной стороны
Spender: адрес уполномоченного лица
Значение:количество лицензий
Nonce: случайное число
Срок: время истечения
Понимая эти принципы фишинга и меры предосторожности, пользователи могут лучше защитить свои активы Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
8
Репост
Поделиться
комментарий
0/400
NotSatoshi
· 07-23 20:48
Подпись так подпись, а денег нет.
Посмотреть ОригиналОтветить0
WealthCoffee
· 07-22 10:47
Сколько W снова порвалось из-за фишинга?
Посмотреть ОригиналОтветить0
LiquidationSurvivor
· 07-20 21:37
новичок всегда легче всего попадается на крючок
Посмотреть ОригиналОтветить0
gas_fee_trauma
· 07-20 21:37
Очередной неудачник покинул рынок.
Посмотреть ОригиналОтветить0
RugResistant
· 07-20 21:29
Снова рыбалка, когда это закончится?
Посмотреть ОригиналОтветить0
ValidatorViking
· 07-20 21:28
ветеран инфраструктуры с боевым опытом здесь... видел слишком много кошельков, которые падение от этих трюков с подписями, смх
Анализ фишинг-атак на подписи Web3: интерпретация рисков авторизации, Permit и Permit2
Анализ принципа фишинга в Web3: Различия между Авторизацией, Permit и Permit2
В мире Web3 "фишинг с подписями" стал одним из самых распространенных способов мошенничества среди хакеров. Несмотря на постоянные усилия специалистов по безопасности по повышению осведомленности, ежедневно множество пользователей попадают в ловушки. Одной из основных причин этого является то, что большинство людей не понимает основного логики взаимодействия с кошельками, и для непрофессионалов порог вхождения довольно высок. В этой статье мы попытаемся объяснить основные принципы фишинга с подписями простым и понятным языком.
Во-первых, нам нужно понять, что при использовании кошелька существуют два основных действия: "подписание" и "взаимодействие". Проще говоря, подписание происходит вне блокчейна (офлайн) и не требует оплаты Gas-стоимости; в то время как взаимодействие происходит в блокчейне (онлайн) и требует оплаты Gas-стоимости.
Подпись обычно используется для аутентификации, например, при входе в кошелек или подключении к какому-либо DApp. Этот процесс не оказывает никакого существенного влияния на блокчейн, поэтому платить за него не нужно.
Взаимодействие включает в себя фактические операции на блокчейне. Например, при обмене токенов на каком-либо DEX вам нужно сначала разрешить смарт-контракту использовать ваши токены, а затем выполнить операцию обмена. Оба этих шага требуют оплаты Gas.
После того как мы разобрались с различиями между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга:
Авторизация фишинга: Это классический метод фишинга. Хакеры создают поддельный красивый веб-сайт (например, поддельный проект NFT), чтобы诱导 пользователей нажимать на кнопки "Получить аирдроп" и т.д. На самом деле, после нажатия пользователи разрешают хакерскому адресу использовать свои токены. Этот способ требует оплаты Gas-ов, поэтому относительно легко обнаруживается внимательными пользователями.
Подпись разрешения Фишинг: Permit является расширенной функцией стандарта ERC-20, позволяющей пользователям подписывать разрешение другим на использование своих токенов. Хакеры могут заставить пользователей подписывать на вид безвредное сообщение, которое на самом деле предоставляет хакерам право на перевод активов пользователей. Этот способ не требует оплаты Gas и легко может расслабить бдительность пользователей.
Фишинг через подпись Permit2: Permit2 — это функция, введенная некоторыми DEX, предназначенная для упрощения пользовательских операций. Она позволяет пользователям единовременно авторизовывать большие суммы, после чего для каждой последующей сделки требуется только подпись. Однако если пользователь ранее использовал этот DEX и предоставил неограниченный лимит, хакеры могут воспользоваться этой схемой для фишинга.
Для предотвращения фишинга подписи рекомендуется принять следующие меры:
Понимая эти принципы фишинга и меры предосторожности, пользователи могут лучше защитить свои активы Web3.