У світі Web3 "фішинг через підпис" стає новим видом шахрайства, який користується популярністю у хакерів. Незважаючи на те, що фахівці з безпеки та компанії-гаманці постійно поширюють відповідну інформацію, щодня велика кількість користувачів потрапляє в пастки. Однією з головних причин цього є те, що більшість користувачів не розуміють основні механізми взаємодії з гаманцем, і для нетехнічних осіб поріг навчання в цій сфері є досить високим.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, ми пояснимо принципи підписного фішингу простими та зрозумілими словами.
По-перше, нам потрібно зрозуміти, що операції з гаманцем в основному поділяються на два типи: "підпис" і "взаємодія". Простими словами, підпис є операцією, що відбувається поза блокчейном, і не вимагає сплати Gas-кошту; тоді як взаємодія відбувається на блокчейні і вимагає сплати Gas-кошту.
Підпис зазвичай використовується для автентифікації, наприклад, для входу в гаманець. Коли ви хочете використовувати якийсь децентралізований додаток (DApp), вам потрібно спочатку підписати, щоб підтвердити, що ви є власником гаманця. Цей процес не змінює жодних даних або стану на блокчейні, тому не потрібно платити комісію.
Взаємодія, таким чином, передбачає фактичні операції на ланцюзі. Наприклад, коли ви хочете обміняти токени на певній децентралізованій біржі (DEX), спочатку вам потрібно надати дозвіл смарт-контракту DEX на використання ваших токенів, що називається "авторизацією" (approve). Потім вам знову потрібно взаємодіяти з контрактом, щоб підтвердити виконання операції обміну. Обидва етапи вимагають сплати Gas-кошту.
Зрозумівши різницю між підписами та взаємодією, давайте розглянемо кілька поширених способів фішингу: авторизаційний фішинг, фішинг підпису Permit та фішинг підпису Permit2.
Авторизаційна фішинг-атака є класичним методом обману. Хакер створює підроблений веб-сайт, зазвичай маскуючись під NFT проект або аеродроп. Коли користувач натискає кнопки "Отримати аеродроп" та інші, насправді він авторизує адресу хакера на використання своїх токенів. Оскільки ця операція потребує сплати Gas-кошту, багато користувачів стають настороженими, коли бачать запит на оплату від гаманця, що дає їм можливість уникнути обману.
Підписування Permit і Permit2 фішингом є більш прихованим і важким для запобігання. Це пов'язано з тим, що користувачі звикли виконувати операції підпису перед використанням DApp, і легко ігнорують пов'язані ризики.
Permit є розширенням стандарту ERC-20, яке дозволяє користувачам затверджувати інших для використання своїх токенів через підпис. На відміну від традиційного авторизації, Permit не вимагає від користувачів сплачувати Gas-кошти. Хакер може скористатися цим, спонукаючи користувачів підписувати, на перший погляд, нешкідливі повідомлення, які насправді є дозволом хакера на переміщення активів користувача.
Permit2 - це функція, яку певний DEX запровадив для оптимізації користувацького досвіду. Вона дозволяє користувачам одноразово надати великий обсяг дозволів для контракту Permit2, після чого для кожної угоди потрібно лише підписати підтвердження, без повторного надання дозволів. Цей механізм хоча й зручний, але також збільшує ризик фішингу, особливо для тих, хто раніше користувався цим DEX і надав безмежні дозволи.
Щоб запобігти фішингу підписів, користувачі повинні:
Виховувати свідомість безпеки, кожного разу під час виконання операцій уважно перевіряйте, що ви робите.
Розділіть основні кошти та гроші для щоденного використання, щоб знизити потенційні втрати.
Навчіться розпізнавати формати підпису Permit та Permit2, будьте особливо обережні при отриманні відповідних запитів на підпис.
Формат підпису зазвичай містить таку інформацію:
Інтерактивний сайт
Адреса уповноваженої особи
Адреса уповноваженої особи
Кількість авторизацій
Випадкове число
Час закінчення
Зрозумівши ці принципи та вживаючи відповідних запобіжних заходів, користувачі можуть краще захистити свої цифрові активи та уникнути того, щоб стати жертвою фішингу підписів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
4
Репост
Поділіться
Прокоментувати
0/400
GateUser-74b10196
· 08-14 05:55
Коли невдахам дадуть страховку?
Переглянути оригіналвідповісти на0
Ser_Liquidated
· 08-14 05:53
Знову обдурили людей, як лохів, так? Я це бачив на власні очі.
Переглянути оригіналвідповісти на0
ForkThisDAO
· 08-14 05:44
Підписавши, мене обдурили на Кліпові купони.
Переглянути оригіналвідповісти на0
0xTherapist
· 08-14 05:26
Тс-тс, за менше ніж за хвилину підпис втрачає більше половини статку.
Web3 насторожено: фішинг підписом став улюбленим серед хакерів Як себе захистити
Підписна фішинг: Улюблена пастка хакерів Web3
У світі Web3 "фішинг через підпис" стає новим видом шахрайства, який користується популярністю у хакерів. Незважаючи на те, що фахівці з безпеки та компанії-гаманці постійно поширюють відповідну інформацію, щодня велика кількість користувачів потрапляє в пастки. Однією з головних причин цього є те, що більшість користувачів не розуміють основні механізми взаємодії з гаманцем, і для нетехнічних осіб поріг навчання в цій сфері є досить високим.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, ми пояснимо принципи підписного фішингу простими та зрозумілими словами.
По-перше, нам потрібно зрозуміти, що операції з гаманцем в основному поділяються на два типи: "підпис" і "взаємодія". Простими словами, підпис є операцією, що відбувається поза блокчейном, і не вимагає сплати Gas-кошту; тоді як взаємодія відбувається на блокчейні і вимагає сплати Gas-кошту.
Підпис зазвичай використовується для автентифікації, наприклад, для входу в гаманець. Коли ви хочете використовувати якийсь децентралізований додаток (DApp), вам потрібно спочатку підписати, щоб підтвердити, що ви є власником гаманця. Цей процес не змінює жодних даних або стану на блокчейні, тому не потрібно платити комісію.
Взаємодія, таким чином, передбачає фактичні операції на ланцюзі. Наприклад, коли ви хочете обміняти токени на певній децентралізованій біржі (DEX), спочатку вам потрібно надати дозвіл смарт-контракту DEX на використання ваших токенів, що називається "авторизацією" (approve). Потім вам знову потрібно взаємодіяти з контрактом, щоб підтвердити виконання операції обміну. Обидва етапи вимагають сплати Gas-кошту.
Зрозумівши різницю між підписами та взаємодією, давайте розглянемо кілька поширених способів фішингу: авторизаційний фішинг, фішинг підпису Permit та фішинг підпису Permit2.
Авторизаційна фішинг-атака є класичним методом обману. Хакер створює підроблений веб-сайт, зазвичай маскуючись під NFT проект або аеродроп. Коли користувач натискає кнопки "Отримати аеродроп" та інші, насправді він авторизує адресу хакера на використання своїх токенів. Оскільки ця операція потребує сплати Gas-кошту, багато користувачів стають настороженими, коли бачать запит на оплату від гаманця, що дає їм можливість уникнути обману.
Підписування Permit і Permit2 фішингом є більш прихованим і важким для запобігання. Це пов'язано з тим, що користувачі звикли виконувати операції підпису перед використанням DApp, і легко ігнорують пов'язані ризики.
Permit є розширенням стандарту ERC-20, яке дозволяє користувачам затверджувати інших для використання своїх токенів через підпис. На відміну від традиційного авторизації, Permit не вимагає від користувачів сплачувати Gas-кошти. Хакер може скористатися цим, спонукаючи користувачів підписувати, на перший погляд, нешкідливі повідомлення, які насправді є дозволом хакера на переміщення активів користувача.
Permit2 - це функція, яку певний DEX запровадив для оптимізації користувацького досвіду. Вона дозволяє користувачам одноразово надати великий обсяг дозволів для контракту Permit2, після чого для кожної угоди потрібно лише підписати підтвердження, без повторного надання дозволів. Цей механізм хоча й зручний, але також збільшує ризик фішингу, особливо для тих, хто раніше користувався цим DEX і надав безмежні дозволи.
Щоб запобігти фішингу підписів, користувачі повинні:
Формат підпису зазвичай містить таку інформацію:
Зрозумівши ці принципи та вживаючи відповідних запобіжних заходів, користувачі можуть краще захистити свої цифрові активи та уникнути того, щоб стати жертвою фішингу підписів.