# Web3サインフィッシングの基本ロジック解析最近、「署名フィッシング」がWeb3ハッカーに最も好まれる詐欺手段となっています。セキュリティ専門家やウォレット会社が関連知識を広めているにもかかわらず、毎日多くのユーザーが罠にかかっています。この状況の主な原因の一つは、大多数の人々がウォレットのインタラクションの基礎原理を理解しておらず、非技術者にとっては学習のハードルが高いことです。より多くの人々がこの問題を理解できるように、この記事では図解を用いて署名フィッシングの根本的な論理を深く探求し、できるだけわかりやすい言葉で説明します。まず、ウォレットを使用する際には主に2つの操作があることを理解する必要があります:"署名"と"インタラクション"。簡単に言えば、署名はブロックチェーンの外部(オフチェーン)で発生し、Gas料金は不要です。一方、インタラクションはブロックチェーン上(オンチェーン)で発生し、Gas料金が必要です。署名は通常、認証に使用されます。たとえば、ウォレットにログインする際です。DEXでトークンを交換したい場合は、まずウォレットを接続する必要があり、その際に自分がそのウォレットの所有者であることを証明するために署名が必要です。このプロセスはブロックチェーンにデータや状態の変化を引き起こさないため、手数料は発生しません。インタラクションは、実際の操作を実行する際に発生します。たとえば、DEXでトークンを交換する場合、最初に手数料を支払う必要があり、スマートコントラクトに「私の100USDTを使用することを許可します」と通知します。このステップは承認(approve)と呼ばれます。その後、もう一度手数料を支払い、スマートコントラクトに「交換操作を開始します」と通知する必要があります。その後、100USDTを他のトークンに交換する取引が完了します。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-c0d8fb648e2a1c778bf4d6d452b831ba)署名とインタラクションの違いを理解した後、3つの一般的なフィッシング手法を紹介します:承認フィッシング、Permit署名フィッシング、Permit2署名フィッシング。権限フィッシングはWeb3における最も古典的な詐欺手法の一つです。ハッカーはNFTプロジェクトを装った偽のウェブサイトを作成し、ページの中央には通常、「エアドロップを受け取る」という目立つボタンがあります。ユーザーがクリックすると、ウォレットが表示され、実際にはユーザーにトークンをハッカーのアドレスに移転する権限を与えるよう求められます。ユーザーが操作を確認すると、ハッカーはユーザーの資産を成功裏に取得することができます。しかし、承認フィッシングには弱点があります:ガス料金を支払う必要があるため、多くのユーザーはお金の操作に関与する際により警戒し、少し注意を払えば異常を発見できるため、比較的簡単に防ぐことができます。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-3b06429868156f2e7a86fabadf9b60bb)PermitとPermit2の署名フィッシングは、現在のWeb3資産の安全性において深刻な問題です。この手法が防止しづらい理由は、ユーザーがDAppを使用する前に常にウォレットに署名してログインする必要があるからです。多くの人々は「この操作は安全である」という思考の癖を形成しており、さらに手数料が不要であり、ほとんどの人が各署名の背後にある意味を理解していないため、このフィッシング手法は特に危険です。PermitメカニズムはERC-20標準の承認機能の拡張です。簡単に言えば、他の人があなたのトークンを移動することを署名によって承認することを可能にします。従来の承認とは異なり、Permitはあなたが「証明書」に署名し、誰かがあなたのトークンを移動することを許可するものです。この「証明書」を持っている人は、スマートコントラクトにガス代を支払い、コントラクトに「彼は私に彼のトークンを移動させることを許可しています」と告げることで、資産の移転を実現します。このプロセスでは、ユーザーはただ署名をしただけですが、実際には他の人が承認を呼び出し、トークンを移転させることを許可しています。ハッカーはフィッシングサイトを作成し、ウォレットにログインするボタンをPermitフィッシングに置き換え、ユーザーの資産を簡単に取得することができます。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-6827d41535e9df00e1cade401b548d21)Permit2はERC-20の機能ではなく、あるDEXがユーザー体験を向上させるために導入した機能です。これにより、ユーザーはDEXに対して一度に大額を承認でき、その後の取引では署名のみで済み、Permit2コントラクトがGas費を代わりに支払います(最終的に交換されるトークンから差し引かれます)。しかし、Permit2のフィッシングの被害者になるためには、ユーザーがそのDEXを以前に使用し、Permit2スマートコントラクトに無制限の額を承認していることが前提です。現在、そのDEXのデフォルトの操作は無制限の額の承認であるため、この条件を満たすユーザーの数は相当数に上ります。要約すると、認可フィッシングは本質的にユーザーが料金を支払い、スマートコントラクトに「私はあなたが私のトークンをハッカーに転送することに同意します」と知らせることです。署名フィッシングは、ユーザーが他の人に資産を移動することを許可する「証明書」に署名し、ハッカーが料金を支払い、スマートコントラクトに「彼のトークンを自分に転送したい」と通知することです。PermitとPermit2は現在、署名フィッシングの高発生地域です。PermitはERC-20の認可拡張機能であり、Permit2は特定のDEXが導入した新機能です。では、これらのフィッシング攻撃をどのように防ぐことができますか?1. セキュリティ意識を育てることは非常に重要です。ウォレット操作を行うたびに、実行している操作が何であるかを注意深く確認してください。2. 大きな資金と日常使用の財布を分けて、損失の可能性を減らす。3. PermitとPermit2の署名形式を識別することを学びましょう。以下の情報を含む署名を見たときは、特に注意してください: - インタラクティブ:インタラクティブウェブサイト - 所有者:権限を持つ者のアドレス - Spender:承認されたアドレス - 値:認証の数 - ノンス:ランダム数 - Deadline:有効期限これらの基本原理を理解し、適切な予防策を講じることで、私たちは自分のWeb3資産の安全性をより良く保護することができます。! [Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:許可されたフィッシング、Permit、Permit2の違い](https://img-cdn.gateio.im/social/moments-57e4524b41cb7a5843654fa84ec8fe25)
デプス解析Web3サインフィッシング:リスク識別と防止戦略
Web3サインフィッシングの基本ロジック解析
最近、「署名フィッシング」がWeb3ハッカーに最も好まれる詐欺手段となっています。セキュリティ専門家やウォレット会社が関連知識を広めているにもかかわらず、毎日多くのユーザーが罠にかかっています。この状況の主な原因の一つは、大多数の人々がウォレットのインタラクションの基礎原理を理解しておらず、非技術者にとっては学習のハードルが高いことです。
より多くの人々がこの問題を理解できるように、この記事では図解を用いて署名フィッシングの根本的な論理を深く探求し、できるだけわかりやすい言葉で説明します。
まず、ウォレットを使用する際には主に2つの操作があることを理解する必要があります:"署名"と"インタラクション"。簡単に言えば、署名はブロックチェーンの外部(オフチェーン)で発生し、Gas料金は不要です。一方、インタラクションはブロックチェーン上(オンチェーン)で発生し、Gas料金が必要です。
署名は通常、認証に使用されます。たとえば、ウォレットにログインする際です。DEXでトークンを交換したい場合は、まずウォレットを接続する必要があり、その際に自分がそのウォレットの所有者であることを証明するために署名が必要です。このプロセスはブロックチェーンにデータや状態の変化を引き起こさないため、手数料は発生しません。
インタラクションは、実際の操作を実行する際に発生します。たとえば、DEXでトークンを交換する場合、最初に手数料を支払う必要があり、スマートコントラクトに「私の100USDTを使用することを許可します」と通知します。このステップは承認(approve)と呼ばれます。その後、もう一度手数料を支払い、スマートコントラクトに「交換操作を開始します」と通知する必要があります。その後、100USDTを他のトークンに交換する取引が完了します。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
署名とインタラクションの違いを理解した後、3つの一般的なフィッシング手法を紹介します:承認フィッシング、Permit署名フィッシング、Permit2署名フィッシング。
権限フィッシングはWeb3における最も古典的な詐欺手法の一つです。ハッカーはNFTプロジェクトを装った偽のウェブサイトを作成し、ページの中央には通常、「エアドロップを受け取る」という目立つボタンがあります。ユーザーがクリックすると、ウォレットが表示され、実際にはユーザーにトークンをハッカーのアドレスに移転する権限を与えるよう求められます。ユーザーが操作を確認すると、ハッカーはユーザーの資産を成功裏に取得することができます。
しかし、承認フィッシングには弱点があります:ガス料金を支払う必要があるため、多くのユーザーはお金の操作に関与する際により警戒し、少し注意を払えば異常を発見できるため、比較的簡単に防ぐことができます。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
PermitとPermit2の署名フィッシングは、現在のWeb3資産の安全性において深刻な問題です。この手法が防止しづらい理由は、ユーザーがDAppを使用する前に常にウォレットに署名してログインする必要があるからです。多くの人々は「この操作は安全である」という思考の癖を形成しており、さらに手数料が不要であり、ほとんどの人が各署名の背後にある意味を理解していないため、このフィッシング手法は特に危険です。
PermitメカニズムはERC-20標準の承認機能の拡張です。簡単に言えば、他の人があなたのトークンを移動することを署名によって承認することを可能にします。従来の承認とは異なり、Permitはあなたが「証明書」に署名し、誰かがあなたのトークンを移動することを許可するものです。この「証明書」を持っている人は、スマートコントラクトにガス代を支払い、コントラクトに「彼は私に彼のトークンを移動させることを許可しています」と告げることで、資産の移転を実現します。このプロセスでは、ユーザーはただ署名をしただけですが、実際には他の人が承認を呼び出し、トークンを移転させることを許可しています。ハッカーはフィッシングサイトを作成し、ウォレットにログインするボタンをPermitフィッシングに置き換え、ユーザーの資産を簡単に取得することができます。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
Permit2はERC-20の機能ではなく、あるDEXがユーザー体験を向上させるために導入した機能です。これにより、ユーザーはDEXに対して一度に大額を承認でき、その後の取引では署名のみで済み、Permit2コントラクトがGas費を代わりに支払います(最終的に交換されるトークンから差し引かれます)。しかし、Permit2のフィッシングの被害者になるためには、ユーザーがそのDEXを以前に使用し、Permit2スマートコントラクトに無制限の額を承認していることが前提です。現在、そのDEXのデフォルトの操作は無制限の額の承認であるため、この条件を満たすユーザーの数は相当数に上ります。
要約すると、認可フィッシングは本質的にユーザーが料金を支払い、スマートコントラクトに「私はあなたが私のトークンをハッカーに転送することに同意します」と知らせることです。署名フィッシングは、ユーザーが他の人に資産を移動することを許可する「証明書」に署名し、ハッカーが料金を支払い、スマートコントラクトに「彼のトークンを自分に転送したい」と通知することです。PermitとPermit2は現在、署名フィッシングの高発生地域です。PermitはERC-20の認可拡張機能であり、Permit2は特定のDEXが導入した新機能です。
では、これらのフィッシング攻撃をどのように防ぐことができますか?
セキュリティ意識を育てることは非常に重要です。ウォレット操作を行うたびに、実行している操作が何であるかを注意深く確認してください。
大きな資金と日常使用の財布を分けて、損失の可能性を減らす。
PermitとPermit2の署名形式を識別することを学びましょう。以下の情報を含む署名を見たときは、特に注意してください:
これらの基本原理を理解し、適切な予防策を講じることで、私たちは自分のWeb3資産の安全性をより良く保護することができます。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:許可されたフィッシング、Permit、Permit2の違い