Web3 İmza Phishing İlkeleri Analizi: Yetkilendirme, Permit ve Permit2 Arasındaki Farklar
Web3 dünyasında, "imza oltası" hackerların en yaygın dolandırıcılık yöntemlerinden biri haline geldi. Güvenlik uzmanları sürekli olarak farkındalık yaratmaya çalışsalar da, her gün birçok kullanıcı tuzağa düşüyor. Bunun başlıca nedenlerinden biri, çoğu insanın cüzdan etkileşimlerinin temel mantığını anlamakta yetersiz kalması ve teknik olmayan kişiler için öğrenme eşiğinin yüksek olmasıdır. Bu makale, imza oltasının temel prensiplerini anlaşılır bir şekilde açıklamayı deneyecektir.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imza" ve "etkileşim". Kısaca, imza blok zincirinin dışında (off-chain) gerçekleşir, Gas ücreti ödenmesi gerekmez; etkileşim ise blok zincirinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekir.
İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yapmak veya bir DApp'e bağlanmak. Bu süreç, blok zincirinde herhangi bir maddi etki yaratmaz, bu nedenle ücret ödenmesine gerek yoktur.
Etkileşim, gerçek zincir üstü işlemleri içerir. Örneğin, bir DEX'te token değişimi yaparken, öncelikle akıllı sözleşmeye token'larınızı kullanma izni vermeniz gerekir, ardından değişim işlemini gerçekleştirirsiniz. Bu iki adım da Gas ücreti ödemeyi gerektirir.
İmza ve etkileşim arasındaki farkı anladıktan sonra, birkaç yaygın dolandırıcılık yöntemine bakalım:
Yetki Phishing:
Bu klasik bir oltalama yöntemidir. Hackerlar, kullanıcıları "Airdrop'u al" gibi düğmelere tıklamaya yönlendirmek için şık bir web sitesi (örneğin sahte bir NFT projesi) sahte olarak oluştururlar. Aslında, kullanıcı tıkladığında hacker adresine kendi token'larını kullanma izni vermiş olur. Bu yöntem Gas ücreti ödemeyi gerektirir, bu nedenle dikkatli kullanıcılar tarafından görece kolay bir şekilde fark edilir.
Permit imza phishing:
Permit, ERC-20 standardının bir genişletme özelliğidir ve kullanıcılara kendi token'larını başkalarının kullanmasına izin vermek için imza ile onay verme imkanı tanır. Hackerlar, kullanıcılara zararsız görünen bir mesaj imzalamaya ikna edebilirler, bu aslında hacker'ın kullanıcının varlıklarını transfer etmesine yetki vermektedir. Bu yöntem, Gas ücreti ödemeden gerçekleştirilebilir ve kullanıcıların dikkatini dağıtmakta kolaylık sağlar.
Permit2 imza oltalama:
Permit2, bazı DEX'ler tarafından başlatılan bir özellik olup, kullanıcı işlemlerini basitleştirmeyi amaçlamaktadır. Kullanıcılara bir kerede yüksek limit yetkisi verme imkanı tanırken, her işlemde sadece imza atmak yeterlidir. Ancak, kullanıcı daha önce bu DEX'i kullanıp sınırsız yetki vermişse, bir hacker bu mekanizmayı kullanarak oltalama yapabilir.
İmza oltalama saldırılarına karşı önlem almak için aşağıdaki önlemleri almanız önerilir:
Güvenlik bilincini geliştirin, cüzdan işlemleri yaparken her zaman dikkatlice kontrol edin.
Büyük miktardaki fonları günlük kullanılan cüzdanlardan ayırarak potansiyel kayıpları azaltın.
Permit ve Permit2'nin imza formatını tanımayı öğrenin, aşağıdaki ana bilgileri içermektedir:
İnteraktif:etkileşimli web sitesi
Sahibi:Yetki veren adres
Harcayan: Yetkilendirilmiş tarafın adresi
Değer: Yetkilendirilmiş Miktar
Nonce:rastgele sayı
Son Tarih:geçerlilik süresi
Bu balıkçılık ilkeleri ve önleme tedbirlerini anlayarak, kullanıcılar Web3 varlıklarının güvenliğini daha iyi koruyabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 Likes
Reward
17
8
Repost
Share
Comment
0/400
NotSatoshi
· 07-23 20:48
İmza at, imza at, paranın hepsi yok.
View OriginalReply0
WealthCoffee
· 07-22 10:47
Yine ne kadar w balıklandı?
View OriginalReply0
LiquidationSurvivor
· 07-20 21:37
Acemi her zaman en kolay şekilde oltaya gelir.
View OriginalReply0
gas_fee_trauma
· 07-20 21:37
Bir enayiler daha piyasadan ayrıldı.
View OriginalReply0
RugResistant
· 07-20 21:29
Yine balık tutma, bu ne zaman bitecek?
View OriginalReply0
ValidatorViking
· 07-20 21:28
savaş tecrübesi olan altyapı uzmanı burada... bu imza numaralarına çok fazla cüzdanın düşüşüne tanık oldum smh
Web3 İmzalı Phishing Saldırı Analizi: Yetkilendirme, Permit ve Permit2 Risklerinin Yorumu
Web3 İmza Phishing İlkeleri Analizi: Yetkilendirme, Permit ve Permit2 Arasındaki Farklar
Web3 dünyasında, "imza oltası" hackerların en yaygın dolandırıcılık yöntemlerinden biri haline geldi. Güvenlik uzmanları sürekli olarak farkındalık yaratmaya çalışsalar da, her gün birçok kullanıcı tuzağa düşüyor. Bunun başlıca nedenlerinden biri, çoğu insanın cüzdan etkileşimlerinin temel mantığını anlamakta yetersiz kalması ve teknik olmayan kişiler için öğrenme eşiğinin yüksek olmasıdır. Bu makale, imza oltasının temel prensiplerini anlaşılır bir şekilde açıklamayı deneyecektir.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imza" ve "etkileşim". Kısaca, imza blok zincirinin dışında (off-chain) gerçekleşir, Gas ücreti ödenmesi gerekmez; etkileşim ise blok zincirinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekir.
İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yapmak veya bir DApp'e bağlanmak. Bu süreç, blok zincirinde herhangi bir maddi etki yaratmaz, bu nedenle ücret ödenmesine gerek yoktur.
Etkileşim, gerçek zincir üstü işlemleri içerir. Örneğin, bir DEX'te token değişimi yaparken, öncelikle akıllı sözleşmeye token'larınızı kullanma izni vermeniz gerekir, ardından değişim işlemini gerçekleştirirsiniz. Bu iki adım da Gas ücreti ödemeyi gerektirir.
İmza ve etkileşim arasındaki farkı anladıktan sonra, birkaç yaygın dolandırıcılık yöntemine bakalım:
Yetki Phishing: Bu klasik bir oltalama yöntemidir. Hackerlar, kullanıcıları "Airdrop'u al" gibi düğmelere tıklamaya yönlendirmek için şık bir web sitesi (örneğin sahte bir NFT projesi) sahte olarak oluştururlar. Aslında, kullanıcı tıkladığında hacker adresine kendi token'larını kullanma izni vermiş olur. Bu yöntem Gas ücreti ödemeyi gerektirir, bu nedenle dikkatli kullanıcılar tarafından görece kolay bir şekilde fark edilir.
Permit imza phishing: Permit, ERC-20 standardının bir genişletme özelliğidir ve kullanıcılara kendi token'larını başkalarının kullanmasına izin vermek için imza ile onay verme imkanı tanır. Hackerlar, kullanıcılara zararsız görünen bir mesaj imzalamaya ikna edebilirler, bu aslında hacker'ın kullanıcının varlıklarını transfer etmesine yetki vermektedir. Bu yöntem, Gas ücreti ödemeden gerçekleştirilebilir ve kullanıcıların dikkatini dağıtmakta kolaylık sağlar.
Permit2 imza oltalama: Permit2, bazı DEX'ler tarafından başlatılan bir özellik olup, kullanıcı işlemlerini basitleştirmeyi amaçlamaktadır. Kullanıcılara bir kerede yüksek limit yetkisi verme imkanı tanırken, her işlemde sadece imza atmak yeterlidir. Ancak, kullanıcı daha önce bu DEX'i kullanıp sınırsız yetki vermişse, bir hacker bu mekanizmayı kullanarak oltalama yapabilir.
İmza oltalama saldırılarına karşı önlem almak için aşağıdaki önlemleri almanız önerilir:
Bu balıkçılık ilkeleri ve önleme tedbirlerini anlayarak, kullanıcılar Web3 varlıklarının güvenliğini daha iyi koruyabilir.