В мире Web3 "фишинг с подписями" становится новым излюбленным методом обмана для хакеров. Несмотря на то, что эксперты по безопасности и компании по производству кошельков продолжают просвещать пользователей, ежедневно множество людей попадают в ловушки. Одной из основных причин этого является то, что большинство пользователей не понимает базовые механизмы взаимодействия с кошельком, и для нетехнических специалистов порог обучения в этой области достаточно высок.
Чтобы помочь большему числу людей понять эту проблему, мы объясним принцип фишинга с помощью подписи простым и понятным языком.
Прежде всего, нам нужно понять, что операции с кошельками делятся на две категории: "подпись" и "взаимодействие". Проще говоря, подпись - это операция, происходящая вне блокчейна, которая не требует оплаты Gas; а взаимодействие - это операции, выполняемые на блокчейне, которые требуют оплаты Gas.
Подпись обычно используется для аутентификации, например, для входа в кошелек. Когда вы хотите использовать какое-либо децентрализованное приложение (DApp), вам необходимо сначала подписать, чтобы подтвердить, что вы являетесь владельцем кошелька. Этот процесс не изменит никаких данных или состояния в блокчейне, поэтому не требуется оплачивать сборы.
Взаимодействие включает в себя фактические операции на цепочке. Например, когда вы хотите обменять токены на каком-либо децентрализованном обмене (DEX), вам сначала нужно разрешить смарт-контракту DEX использовать ваши токены, что называется "разрешением" (approve). Затем вам также нужно снова взаимодействовать с контрактом, чтобы подтвердить выполнение операции обмена. За оба эти шага необходимо оплатитьGas.
После того как мы разобрались в различии между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Авторизация фишинга — это классическая мошенническая схема. Хакер создает поддельный сайт, обычно маскирующийся под проект NFT или акцию airdrop. Когда пользователь нажимает на кнопки "Получить airdrop" и т. д., он на самом деле авторизует адрес хакера на использование своих токенов. Поскольку эта операция требует оплаты Gas, многие пользователи становятся осторожными, когда видят всплывающее уведомление о платеже в кошельке, что дает им возможность избежать обмана.
Подписи Permit и Permit2 для фишинга более скрытны и сложнее для предотвращения. Это связано с тем, что пользователи привыкли выполнять операции подписания перед использованием DApp и легко игнорируют связанные с этим риски.
Permit является расширенной функцией стандарта ERC-20, позволяющей пользователям одобрять использование своих токенов другими лицами через подпись. В отличие от традиционной авторизации, Permit не требует от пользователя оплаты Gas. Хакеры могут использовать это, чтобы заставить пользователей подписывать на вид безобидные сообщения, которые на самом деле являются разрешением хакерам на перевод активов пользователей.
Permit2 — это функция, предложенная некоторыми DEX для оптимизации пользовательского опыта. Она позволяет пользователям один раз предоставить большую сумму разрешений контракту Permit2, после чего для каждой сделки требуется только подпись для подтверждения, без необходимости повторного разрешения. Хотя этот механизм удобен, он также увеличивает риск фишинга, особенно для тех пользователей, которые ранее использовали этот DEX и предоставили неограниченные разрешения.
Чтобы предотвратить фишинг подписей, пользователям следует:
Развивайте осознание безопасности, каждый раз проверяйте, что вы делаете.
Разделите основные средства и деньги для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать форматы подписей Permit и Permit2, будьте особенно осторожны при получении связанных запросов на подпись.
Формат подписи обычно содержит следующую информацию:
Взаимодействующий сайт
Адрес правообладателя
Адрес уполномоченного лица
Количество разрешений
Случайное число
Время истечения
Понимая эти принципы и принимая соответствующие меры предосторожности, пользователи могут лучше защитить свои цифровые активы и избежать того, чтобы стать жертвой фишинга подписей.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
15 Лайков
Награда
15
4
Репост
Поделиться
комментарий
0/400
GateUser-74b10196
· 08-14 05:55
Когда неудачникам дадут страховку?
Посмотреть ОригиналОтветить0
Ser_Liquidated
· 08-14 05:53
Снова разыгрывают людей как лохов, да? Видел своими глазами.
Посмотреть ОригиналОтветить0
ForkThisDAO
· 08-14 05:44
Подписавшись, я попал под клиповые купоны.
Посмотреть ОригиналОтветить0
0xTherapist
· 08-14 05:26
Тс-тс, за менее чем минуту потерял большую часть состояния.
Web3 предупреждение: фишинг через подписи стал любимым занятием хакеров. Как защитить себя.
Подписной фишинг: ловушка, любимая веб3 Хакерами
В мире Web3 "фишинг с подписями" становится новым излюбленным методом обмана для хакеров. Несмотря на то, что эксперты по безопасности и компании по производству кошельков продолжают просвещать пользователей, ежедневно множество людей попадают в ловушки. Одной из основных причин этого является то, что большинство пользователей не понимает базовые механизмы взаимодействия с кошельком, и для нетехнических специалистов порог обучения в этой области достаточно высок.
Чтобы помочь большему числу людей понять эту проблему, мы объясним принцип фишинга с помощью подписи простым и понятным языком.
Прежде всего, нам нужно понять, что операции с кошельками делятся на две категории: "подпись" и "взаимодействие". Проще говоря, подпись - это операция, происходящая вне блокчейна, которая не требует оплаты Gas; а взаимодействие - это операции, выполняемые на блокчейне, которые требуют оплаты Gas.
Подпись обычно используется для аутентификации, например, для входа в кошелек. Когда вы хотите использовать какое-либо децентрализованное приложение (DApp), вам необходимо сначала подписать, чтобы подтвердить, что вы являетесь владельцем кошелька. Этот процесс не изменит никаких данных или состояния в блокчейне, поэтому не требуется оплачивать сборы.
Взаимодействие включает в себя фактические операции на цепочке. Например, когда вы хотите обменять токены на каком-либо децентрализованном обмене (DEX), вам сначала нужно разрешить смарт-контракту DEX использовать ваши токены, что называется "разрешением" (approve). Затем вам также нужно снова взаимодействовать с контрактом, чтобы подтвердить выполнение операции обмена. За оба эти шага необходимо оплатитьGas.
После того как мы разобрались в различии между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Авторизация фишинга — это классическая мошенническая схема. Хакер создает поддельный сайт, обычно маскирующийся под проект NFT или акцию airdrop. Когда пользователь нажимает на кнопки "Получить airdrop" и т. д., он на самом деле авторизует адрес хакера на использование своих токенов. Поскольку эта операция требует оплаты Gas, многие пользователи становятся осторожными, когда видят всплывающее уведомление о платеже в кошельке, что дает им возможность избежать обмана.
Подписи Permit и Permit2 для фишинга более скрытны и сложнее для предотвращения. Это связано с тем, что пользователи привыкли выполнять операции подписания перед использованием DApp и легко игнорируют связанные с этим риски.
Permit является расширенной функцией стандарта ERC-20, позволяющей пользователям одобрять использование своих токенов другими лицами через подпись. В отличие от традиционной авторизации, Permit не требует от пользователя оплаты Gas. Хакеры могут использовать это, чтобы заставить пользователей подписывать на вид безобидные сообщения, которые на самом деле являются разрешением хакерам на перевод активов пользователей.
Permit2 — это функция, предложенная некоторыми DEX для оптимизации пользовательского опыта. Она позволяет пользователям один раз предоставить большую сумму разрешений контракту Permit2, после чего для каждой сделки требуется только подпись для подтверждения, без необходимости повторного разрешения. Хотя этот механизм удобен, он также увеличивает риск фишинга, особенно для тех пользователей, которые ранее использовали этот DEX и предоставили неограниченные разрешения.
Чтобы предотвратить фишинг подписей, пользователям следует:
Формат подписи обычно содержит следующую информацию:
Понимая эти принципы и принимая соответствующие меры предосторожности, пользователи могут лучше защитить свои цифровые активы и избежать того, чтобы стать жертвой фишинга подписей.