Web3 dünyasında, "imza oltalama" hackerların tercih ettiği yeni bir dolandırıcılık yöntemi haline geliyor. Güvenlik uzmanları ve cüzdan şirketleri sürekli olarak bu konuda bilgi vermesine rağmen, her gün büyük sayıda kullanıcı tuzağa düşüyor. Bu durumun başlıca nedenlerinden biri, çoğu kullanıcının cüzdan etkileşimlerinin altyapı mekanizmasını anlamaması ve teknik olmayan kişiler için bu alandaki öğrenme eşiğinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, imza phishinginin prensiplerini basit ve anlaşılır bir şekilde açıklayacağız.
Öncelikle, cüzdan işlemlerinin esasen iki ana kategoriye ayrıldığını anlamamız gerekiyor: "imza" ve "etkileşim". Kısacası, imza, blok zincirinin dışında gerçekleşen ve Gas ücreti ödenmesini gerektirmeyen bir işlemdir; etkileşim ise blok zincirinde gerçekleştirilen ve Gas ücreti ödenmesini gerektiren bir işlemdir.
İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yaparken. Bir merkeziyetsiz uygulamayı (DApp) kullanmak istediğinizde, önce cüzdanın sahibi olduğunuzu kanıtlamak için imza atmanız gerekir. Bu süreç, blok zincirindeki herhangi bir veriyi veya durumu değiştirmediğinden, herhangi bir ücret ödemeniz gerekmez.
Etkileşim, gerçek zincir üzerindeki işlemleri içerir. Örneğin, belirli bir merkeziyetsiz borsa (DEX) üzerinde token değiştirmek istediğinizde, öncelikle DEX'in akıllı sözleşmesine token'larınızı kullanması için yetki vermeniz gerekir; bu "yetkilendirme" (approve) işlemi olarak bilinir. Ardından, değişim işleminin gerçekleştirilmesini onaylamak için sözleşme ile tekrar etkileşimde bulunmanız gerekir. Bu iki adım da Gas ücreti ödemeyi gerektirir.
İmza ve etkileşim arasındaki farkı anladıktan sonra, yaygın birkaç oltalama yöntemine bakalım: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.
Yetki avcılığı, klasik bir dolandırıcılık yöntemidir. Hackerlar sahte bir web sitesi oluşturur, genellikle NFT projeleri veya airdrop etkinlikleri olarak kamufle edilir. Kullanıcılar "Airdrop'u al" gibi butonlara tıkladıklarında, aslında hacker adresine kendi token'larını kullanma yetkisi vermektedirler. Bu işlem Gas ücreti ödemeyi gerektirdiğinden, birçok kullanıcı cüzdanlarının ödeme talebi pop-up'ını gördüğünde dikkatli hale gelir ve dolandırılmaktan kaçınma fırsatı bulur.
Permit ve Permit2 imza phishing'i daha gizli ve daha zor önlenebilir. Bunun nedeni, kullanıcıların DApp kullanmadan önce imza işlemi yapmaya alışkın olmaları ve bu süreçteki riskleri kolayca gözden kaçırmalarıdır.
Permit, ERC-20 standardının bir genişletme fonksiyonudur ve kullanıcılara imza ile başkalarının kendi token'larını kullanmasına izin verir. Geleneksel yetkilendirmeden farklı olarak, Permit kullanıcıların Gas ücreti ödemesini gerektirmez. Hacker'lar bunu kullanarak, kullanıcılara görünüşte zararsız mesajlar imzalatabilir ve aslında hacker'a kullanıcı varlıklarını transfer etme izni vermiş olurlar.
Permit2, bir DEX'in kullanıcı deneyimini optimize etmek için sunduğu bir işlevdir. Kullanıcıların Permit2 sözleşmesine büyük bir miktar için tek seferlik yetki vermesine olanak tanır, ardından her işlem için yalnızca imza onayı gereklidir, tekrar yetki vermeye gerek yoktur. Bu mekanizma kolaylık sağlasa da, özellikle daha önce bu DEX'i kullanmış ve sınırsız yetki vermiş kullanıcılar için oltalama riski artırmaktadır.
Kullanıcıların imza phishing'ine karşı önlem alması için:
Güvenlik bilincini geliştirin, her işlemde ne yaptığınızı dikkatlice kontrol edin.
Ana fonları günlük kullanılan cüzdanlardan ayırın, potansiyel kayıpları azaltın.
Permit ve Permit2'nin imza formatlarını tanımayı öğrenin, ilgili imza talepleriyle karşılaştığınızda ekstra dikkatli olun.
İmza formatı genellikle aşağıdaki bilgileri içerir:
Etkileşimli web sitesi
Yetki veren adres
Yetkili taraf adresi
Yetkilendirme Miktarı
Rastgele sayı
Son Tarih
Bu prensipleri anlamak ve uygun önlemleri almak yoluyla, kullanıcılar dijital varlıklarını daha iyi koruyabilir ve imza oltalarına kurban olmaktan kaçınabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
4
Repost
Share
Comment
0/400
GateUser-74b10196
· 12h ago
Ne zaman enayilere sigorta yapılacak?
View OriginalReply0
Ser_Liquidated
· 12h ago
Yine emiciler tarafından oyuna getirilmek oldu değil mi, gözlerimle gördüm.
View OriginalReply0
ForkThisDAO
· 12h ago
İmza atıldıktan sonra Klip Kuponlar ile kandırıldım.
View OriginalReply0
0xTherapist
· 12h ago
Tsk tsk, bir dakikadan kısa sürede imza ile servetinin yarısından fazlasını kaybetmek.
Web3'te Dikkat: İmza Phishing, Hackerların En Sevdiği Yöntem - Nasıl Korunursunuz
İmza Phishing: Web3 Hacker'ların En Sevdiği Tuzak
Web3 dünyasında, "imza oltalama" hackerların tercih ettiği yeni bir dolandırıcılık yöntemi haline geliyor. Güvenlik uzmanları ve cüzdan şirketleri sürekli olarak bu konuda bilgi vermesine rağmen, her gün büyük sayıda kullanıcı tuzağa düşüyor. Bu durumun başlıca nedenlerinden biri, çoğu kullanıcının cüzdan etkileşimlerinin altyapı mekanizmasını anlamaması ve teknik olmayan kişiler için bu alandaki öğrenme eşiğinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, imza phishinginin prensiplerini basit ve anlaşılır bir şekilde açıklayacağız.
Öncelikle, cüzdan işlemlerinin esasen iki ana kategoriye ayrıldığını anlamamız gerekiyor: "imza" ve "etkileşim". Kısacası, imza, blok zincirinin dışında gerçekleşen ve Gas ücreti ödenmesini gerektirmeyen bir işlemdir; etkileşim ise blok zincirinde gerçekleştirilen ve Gas ücreti ödenmesini gerektiren bir işlemdir.
İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yaparken. Bir merkeziyetsiz uygulamayı (DApp) kullanmak istediğinizde, önce cüzdanın sahibi olduğunuzu kanıtlamak için imza atmanız gerekir. Bu süreç, blok zincirindeki herhangi bir veriyi veya durumu değiştirmediğinden, herhangi bir ücret ödemeniz gerekmez.
Etkileşim, gerçek zincir üzerindeki işlemleri içerir. Örneğin, belirli bir merkeziyetsiz borsa (DEX) üzerinde token değiştirmek istediğinizde, öncelikle DEX'in akıllı sözleşmesine token'larınızı kullanması için yetki vermeniz gerekir; bu "yetkilendirme" (approve) işlemi olarak bilinir. Ardından, değişim işleminin gerçekleştirilmesini onaylamak için sözleşme ile tekrar etkileşimde bulunmanız gerekir. Bu iki adım da Gas ücreti ödemeyi gerektirir.
İmza ve etkileşim arasındaki farkı anladıktan sonra, yaygın birkaç oltalama yöntemine bakalım: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.
Yetki avcılığı, klasik bir dolandırıcılık yöntemidir. Hackerlar sahte bir web sitesi oluşturur, genellikle NFT projeleri veya airdrop etkinlikleri olarak kamufle edilir. Kullanıcılar "Airdrop'u al" gibi butonlara tıkladıklarında, aslında hacker adresine kendi token'larını kullanma yetkisi vermektedirler. Bu işlem Gas ücreti ödemeyi gerektirdiğinden, birçok kullanıcı cüzdanlarının ödeme talebi pop-up'ını gördüğünde dikkatli hale gelir ve dolandırılmaktan kaçınma fırsatı bulur.
Permit ve Permit2 imza phishing'i daha gizli ve daha zor önlenebilir. Bunun nedeni, kullanıcıların DApp kullanmadan önce imza işlemi yapmaya alışkın olmaları ve bu süreçteki riskleri kolayca gözden kaçırmalarıdır.
Permit, ERC-20 standardının bir genişletme fonksiyonudur ve kullanıcılara imza ile başkalarının kendi token'larını kullanmasına izin verir. Geleneksel yetkilendirmeden farklı olarak, Permit kullanıcıların Gas ücreti ödemesini gerektirmez. Hacker'lar bunu kullanarak, kullanıcılara görünüşte zararsız mesajlar imzalatabilir ve aslında hacker'a kullanıcı varlıklarını transfer etme izni vermiş olurlar.
Permit2, bir DEX'in kullanıcı deneyimini optimize etmek için sunduğu bir işlevdir. Kullanıcıların Permit2 sözleşmesine büyük bir miktar için tek seferlik yetki vermesine olanak tanır, ardından her işlem için yalnızca imza onayı gereklidir, tekrar yetki vermeye gerek yoktur. Bu mekanizma kolaylık sağlasa da, özellikle daha önce bu DEX'i kullanmış ve sınırsız yetki vermiş kullanıcılar için oltalama riski artırmaktadır.
Kullanıcıların imza phishing'ine karşı önlem alması için:
İmza formatı genellikle aşağıdaki bilgileri içerir:
Bu prensipleri anlamak ve uygun önlemleri almak yoluyla, kullanıcılar dijital varlıklarını daha iyi koruyabilir ve imza oltalarına kurban olmaktan kaçınabilir.