Аналіз принципів фішингу в Web3: відмінності між авторизацією, Permit та Permit2
У світі Web3 "фішинг підписів" став одним із найпоширеніших методів шахрайства серед хакерів. Незважаючи на те, що експерти з безпеки постійно проводять просвітницьку роботу, щодня багато користувачів потрапляють у пастки. Однією з основних причин цього є те, що більшість людей не розуміє базову логіку взаємодії з гаманцями, і для непрофесіоналів поріг входження досить високий. У цій статті ми спробуємо пояснити базові принципи фішингу підписів у зрозумілій формі.
По-перше, ми повинні зрозуміти, що при використанні гаманця існує два основні типи операцій: "підпис" та "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не потребує сплати плати за газ; тоді як взаємодія відбувається в блокчейні (в ланцюзі) і вимагає сплати плати за газ.
Підпис зазвичай використовується для автентифікації, наприклад, для входу в гаманець або підключення до певного DApp. Цей процес не має суттєвого впливу на блокчейн, тому немає необхідності сплачувати збори.
Взаємодія включає фактичні операції на ланцюгу. Наприклад, під час обміну токенів на деякому DEX вам спочатку потрібно надати дозвіл смарт-контракту використовувати ваші токени, а потім виконати операцію обміну. Обидва ці кроки вимагають сплати Gas-кошту.
Зрозумівши різницю між підписом і взаємодією, давайте розглянемо кілька поширених способів фішингу:
Авторизаційна рибалка:
Це класичний метод риболовлі. Хакери підробляють красивий веб-сайт (наприклад, підроблений NFT проект), щоб спонукати користувачів натискати кнопки "отримати аеродроп" тощо. Насправді, після натискання користувачі надають хакерським адресам доступ до своїх токенів. Цей спосіб потребує сплати Gas-кошту, тому відносно легко може бути виявлений настороженими користувачами.
Підписування фішингу Permit:
Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам через підпис схвалювати інших на використання своїх токенів. Хакери можуть спонукати користувачів підписати на перший погляд безневинне повідомлення, яке насправді є авторизацією хакера на переказ активів користувача. Цей спосіб не вимагає сплати Gas-кошту, що робить користувачів більш уразливими.
Фішинг підписів Permit2:
Permit2 – це функція, запроваджена певним DEX, що має на меті спростити процеси користувачів. Вона дозволяє користувачам одноразово авторизувати великі суми, після чого для кожної угоди достатньо лише підписати її. Однак, якщо користувач раніше використовував цей DEX і надав безмежний ліміт, зловмисники можуть скористатися цією механікою для фішингу.
Для запобігання фішингу підписів рекомендується вжити такі заходи:
Виховуйте свідомість безпеки, щоразу ретельно перевіряйте під час операцій з гаманцем.
Розділіть великі суми грошей та гроші для щоденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підписів Permit і Permit2, включаючи такі ключові дані:
Interactive:інтерактивний веб-сайт
Власник:адреса уповноваженої особи
Spender: адреса уповноваженої особи
Значення:Кількість авторизацій
Нонс: випадкове число
Deadline:строк придатності
Зрозумівши ці принципи фішингу та заходи запобігання, користувачі можуть краще захистити свої активи Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
8
Поділіться
Прокоментувати
0/400
NotSatoshi
· 07-23 20:48
Підписуйтесь на підпис, а грошей немає.
Переглянути оригіналвідповісти на0
WealthCoffee
· 07-22 10:47
Скільки W знову було зірвано через фішинг?
Переглянути оригіналвідповісти на0
LiquidationSurvivor
· 07-20 21:37
новачок завжди найпростіше клює
Переглянути оригіналвідповісти на0
gas_fee_trauma
· 07-20 21:37
Ще один невдаха покинув ринок.
Переглянути оригіналвідповісти на0
RugResistant
· 07-20 21:29
Знову рибалка, коли це закінчиться?
Переглянути оригіналвідповісти на0
ValidatorViking
· 07-20 21:28
ветеран інфраструктури, загартований у битвах... бачив занадто багато гаманців, що падіння через ці підписні трюки smh
Аналіз фішингових атак з підписом Web3: роз'яснення ризиків авторизації, Permit та Permit2
Аналіз принципів фішингу в Web3: відмінності між авторизацією, Permit та Permit2
У світі Web3 "фішинг підписів" став одним із найпоширеніших методів шахрайства серед хакерів. Незважаючи на те, що експерти з безпеки постійно проводять просвітницьку роботу, щодня багато користувачів потрапляють у пастки. Однією з основних причин цього є те, що більшість людей не розуміє базову логіку взаємодії з гаманцями, і для непрофесіоналів поріг входження досить високий. У цій статті ми спробуємо пояснити базові принципи фішингу підписів у зрозумілій формі.
По-перше, ми повинні зрозуміти, що при використанні гаманця існує два основні типи операцій: "підпис" та "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не потребує сплати плати за газ; тоді як взаємодія відбувається в блокчейні (в ланцюзі) і вимагає сплати плати за газ.
Підпис зазвичай використовується для автентифікації, наприклад, для входу в гаманець або підключення до певного DApp. Цей процес не має суттєвого впливу на блокчейн, тому немає необхідності сплачувати збори.
Взаємодія включає фактичні операції на ланцюгу. Наприклад, під час обміну токенів на деякому DEX вам спочатку потрібно надати дозвіл смарт-контракту використовувати ваші токени, а потім виконати операцію обміну. Обидва ці кроки вимагають сплати Gas-кошту.
Зрозумівши різницю між підписом і взаємодією, давайте розглянемо кілька поширених способів фішингу:
Авторизаційна рибалка: Це класичний метод риболовлі. Хакери підробляють красивий веб-сайт (наприклад, підроблений NFT проект), щоб спонукати користувачів натискати кнопки "отримати аеродроп" тощо. Насправді, після натискання користувачі надають хакерським адресам доступ до своїх токенів. Цей спосіб потребує сплати Gas-кошту, тому відносно легко може бути виявлений настороженими користувачами.
Підписування фішингу Permit: Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам через підпис схвалювати інших на використання своїх токенів. Хакери можуть спонукати користувачів підписати на перший погляд безневинне повідомлення, яке насправді є авторизацією хакера на переказ активів користувача. Цей спосіб не вимагає сплати Gas-кошту, що робить користувачів більш уразливими.
Фішинг підписів Permit2: Permit2 – це функція, запроваджена певним DEX, що має на меті спростити процеси користувачів. Вона дозволяє користувачам одноразово авторизувати великі суми, після чого для кожної угоди достатньо лише підписати її. Однак, якщо користувач раніше використовував цей DEX і надав безмежний ліміт, зловмисники можуть скористатися цією механікою для фішингу.
Для запобігання фішингу підписів рекомендується вжити такі заходи:
Зрозумівши ці принципи фішингу та заходи запобігання, користувачі можуть краще захистити свої активи Web3.