Останнім часом "фішинг підписів" став одним з найулюбленіших методів шахрайства серед хакерів Web3. Незважаючи на те, що експерти з безпеки та компанії-гаманці постійно поширюють відповідну інформацію, щодня багато користувачів потрапляють у пастку. Однією з основних причин цього є те, що більшість людей не розуміють основні принципи взаємодії з гаманцями, і для нетехнічних осіб поріг навчання є досить високим.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, у цій статті ми поглиблено розглянемо підґрунтя фішингу з підписами в ілюстраціях і намагатимемося пояснити це зрозумілою мовою.
По-перше, нам потрібно зрозуміти, що при використанні гаманця є дві основні операції: "підпис" та "взаємодія". Простими словами, підпис відбувається поза блокчейном (позначеному як off-chain) і не вимагає сплати Gas; тоді як взаємодія відбувається в блокчейні (on-chain) і потребує сплати Gas.
Підпис зазвичай використовується для автентифікації, наприклад, під час входу в гаманець. Коли ви хочете обміняти токени на певному DEX, вам спочатку потрібно підключити гаманець, і для цього потрібна підпис, щоб підтвердити, що ви є власником цього гаманця. Цей процес не призводить до жодних змін у даних або стані блокчейну, тому плата не стягується.
Взаємодія відбувається під час фактичного виконання дій. Наприклад, коли ви хочете обміняти токени на DEX, спочатку потрібно сплатити комісію, щоб повідомити смарт-контракт: "Я дозволяю тобі використовувати мої 100USDT", цей етап називається авторизацією (approve). Потім вам потрібно ще раз сплатити комісію, щоб повідомити смарт-контракт: "Тепер почніть виконувати операцію обміну", після чого ви завершите угоду обміну 100USDT на інші токени.
Зрозумівши різницю між підписом та взаємодією, ми представляємо три поширені способи фішингу: фішинг на авторизацію, фішинг на підпис Permit та фішинг на підпис Permit2.
Авторизаційна рибалка є одним з найкласичніших методів шахрайства в Web3. Хакери створюють підроблений веб-сайт, що маскується під NFT проект, на якому зазвичай у центрі сторінки розташована помітна кнопка «Отримати аеродроп». Коли користувач натискає на неї, спливаюче вікно гаманця насправді просить користувача дозволити передачу токенів на адресу хакера. Якщо користувач підтверджує операцію, хакер успішно отримує активи користувача.
Однак, авторизований фішинг має одну слабкість: через необхідність сплачувати Gas-кошти багато користувачів стають більш обережними під час фінансових операцій, і трохи уваги дозволяє виявити аномалії, що робить його відносно легким для запобігання.
Фішинг підписів Permit та Permit2 є нині важкою проблемою безпеки активів Web3. Цей метод важко запобігти, оскільки користувачі завжди повинні підписуватися для входу в гаманець перед використанням DApp. Багато людей вже сформували звичку думати "ця дія безпечна", в поєднанні з тим, що не потрібно платити комісії, та більшості людей не зрозуміло значення кожного підпису, що робить цей вид фішингу особливо небезпечним.
Механізм Permit є розширенням функції авторизації в стандарті ERC-20. Простими словами, він дозволяє вам через підпис дозволити іншим переміщувати ваші токени. На відміну від традиційної авторизації, Permit — це коли ви підписуєте «свідоцтво», яке дозволяє комусь переміщувати ваші токени. Той, хто має це «свідоцтво», може сплатити Gas-кошти смарт-контракту, повідомивши контракт: «він дозволяє мені переміщувати його токени», що дозволяє здійснити переміщення активів. У цьому процесі користувач лише поставив підпис, але фактично дозволив іншим викликати авторизацію та переміщувати токени. Хакери можуть створювати фішингові сайти, замінюючи кнопку входу в гаманець на фішинг Permit, легко отримуючи активи користувачів.
Permit2 не є функцією ERC-20, а є функцією, яку впровадив певний DEX для покращення користувацького досвіду. Вона дозволяє користувачам одноразово надати велику суму дозволу DEX, після чого для кожної угоди потрібно лише підписати, а витрати на газ покриває контракт Permit2 (вираховується з токенів, отриманих в результаті обміну). Однак, щоб стати жертвою фішингу Permit2, потрібно, щоб користувач раніше користувався цим DEX і надав безмежний дозвіл контракту Permit2. Оскільки наразі за замовчуванням DEX виконує безмежне надання дозволу, кількість користувачів, які відповідають цим умовам, є досить значною.
Підсумовуючи, авторизаційна фішинг суть полягає в тому, що користувач платить плату, щоб повідомити смарт-контракт: "Я згоден, щоб ти передав мої токени хакеру". Підписний фішинг - це коли користувач підписує "документ", що дозволяє іншим переміщувати активи, для хакера, а хакер потім платить плату, щоб повідомити смарт-контракт: "Я хочу перевести його токени на себе". Permit і Permit2 - це наразі часті місця підписного фішингу, Permit - це розширена можливість авторизації ERC-20, а Permit2 - нова функція, яку запустив певний DEX.
Отже, як захиститися від цих фішингових атак?
Важливо формувати усвідомлення безпеки. Щоразу, коли ви виконуєте операції з гаманцем, уважно перевіряйте, що саме ви робите.
Розділіть великі кошти та кошти для повсякденного використання, щоб зменшити можливі втрати.
Навчіться розпізнавати формат підпису Permit і Permit2. Коли ви бачите підпис, що містить наступну інформацію, будьте особливо обережні:
Interactive:інтерактивний сайт
Власник:адреса уповноваженої сторони
Spender: адреса уповноваженої особи
Значення:дозволена кількість
Нонс: випадкове число
Deadline:термін
Зрозумівши ці основні принципи та вживаючи належні запобіжні заходи, ми можемо краще захистити безпеку своїх активів Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
6
Поділіться
Прокоментувати
0/400
MemeCurator
· 11год тому
Знову невдахи попалися на гачок
Переглянути оригіналвідповісти на0
AlgoAlchemist
· 11год тому
Новачки всі знають, як уникнути шахрайства, але невдахи все ще попадаються.
Переглянути оригіналвідповісти на0
MEVHunterZhang
· 11год тому
Знову когось обдурили на кілька десятків тисяч.
Переглянути оригіналвідповісти на0
WalletDetective
· 11год тому
Знову вкрали? Не дивно, що не уважно подивилися на вміст підпису.
Переглянути оригіналвідповісти на0
OnchainArchaeologist
· 11год тому
Знову обдурюють людей, як лохів. Взагалі не можу навчитися.
Переглянути оригіналвідповісти на0
SolidityNewbie
· 11год тому
обдурювати людей, як лохів один раз, пам'ятати надовго
Глибина аналізу підробки підписів Web3: виявлення ризиків та стратегії запобігання
Аналіз основної логіки веб3-фішингу
Останнім часом "фішинг підписів" став одним з найулюбленіших методів шахрайства серед хакерів Web3. Незважаючи на те, що експерти з безпеки та компанії-гаманці постійно поширюють відповідну інформацію, щодня багато користувачів потрапляють у пастку. Однією з основних причин цього є те, що більшість людей не розуміють основні принципи взаємодії з гаманцями, і для нетехнічних осіб поріг навчання є досить високим.
Щоб допомогти більшій кількості людей зрозуміти цю проблему, у цій статті ми поглиблено розглянемо підґрунтя фішингу з підписами в ілюстраціях і намагатимемося пояснити це зрозумілою мовою.
По-перше, нам потрібно зрозуміти, що при використанні гаманця є дві основні операції: "підпис" та "взаємодія". Простими словами, підпис відбувається поза блокчейном (позначеному як off-chain) і не вимагає сплати Gas; тоді як взаємодія відбувається в блокчейні (on-chain) і потребує сплати Gas.
Підпис зазвичай використовується для автентифікації, наприклад, під час входу в гаманець. Коли ви хочете обміняти токени на певному DEX, вам спочатку потрібно підключити гаманець, і для цього потрібна підпис, щоб підтвердити, що ви є власником цього гаманця. Цей процес не призводить до жодних змін у даних або стані блокчейну, тому плата не стягується.
Взаємодія відбувається під час фактичного виконання дій. Наприклад, коли ви хочете обміняти токени на DEX, спочатку потрібно сплатити комісію, щоб повідомити смарт-контракт: "Я дозволяю тобі використовувати мої 100USDT", цей етап називається авторизацією (approve). Потім вам потрібно ще раз сплатити комісію, щоб повідомити смарт-контракт: "Тепер почніть виконувати операцію обміну", після чого ви завершите угоду обміну 100USDT на інші токени.
Зрозумівши різницю між підписом та взаємодією, ми представляємо три поширені способи фішингу: фішинг на авторизацію, фішинг на підпис Permit та фішинг на підпис Permit2.
Авторизаційна рибалка є одним з найкласичніших методів шахрайства в Web3. Хакери створюють підроблений веб-сайт, що маскується під NFT проект, на якому зазвичай у центрі сторінки розташована помітна кнопка «Отримати аеродроп». Коли користувач натискає на неї, спливаюче вікно гаманця насправді просить користувача дозволити передачу токенів на адресу хакера. Якщо користувач підтверджує операцію, хакер успішно отримує активи користувача.
Однак, авторизований фішинг має одну слабкість: через необхідність сплачувати Gas-кошти багато користувачів стають більш обережними під час фінансових операцій, і трохи уваги дозволяє виявити аномалії, що робить його відносно легким для запобігання.
Фішинг підписів Permit та Permit2 є нині важкою проблемою безпеки активів Web3. Цей метод важко запобігти, оскільки користувачі завжди повинні підписуватися для входу в гаманець перед використанням DApp. Багато людей вже сформували звичку думати "ця дія безпечна", в поєднанні з тим, що не потрібно платити комісії, та більшості людей не зрозуміло значення кожного підпису, що робить цей вид фішингу особливо небезпечним.
Механізм Permit є розширенням функції авторизації в стандарті ERC-20. Простими словами, він дозволяє вам через підпис дозволити іншим переміщувати ваші токени. На відміну від традиційної авторизації, Permit — це коли ви підписуєте «свідоцтво», яке дозволяє комусь переміщувати ваші токени. Той, хто має це «свідоцтво», може сплатити Gas-кошти смарт-контракту, повідомивши контракт: «він дозволяє мені переміщувати його токени», що дозволяє здійснити переміщення активів. У цьому процесі користувач лише поставив підпис, але фактично дозволив іншим викликати авторизацію та переміщувати токени. Хакери можуть створювати фішингові сайти, замінюючи кнопку входу в гаманець на фішинг Permit, легко отримуючи активи користувачів.
Permit2 не є функцією ERC-20, а є функцією, яку впровадив певний DEX для покращення користувацького досвіду. Вона дозволяє користувачам одноразово надати велику суму дозволу DEX, після чого для кожної угоди потрібно лише підписати, а витрати на газ покриває контракт Permit2 (вираховується з токенів, отриманих в результаті обміну). Однак, щоб стати жертвою фішингу Permit2, потрібно, щоб користувач раніше користувався цим DEX і надав безмежний дозвіл контракту Permit2. Оскільки наразі за замовчуванням DEX виконує безмежне надання дозволу, кількість користувачів, які відповідають цим умовам, є досить значною.
Підсумовуючи, авторизаційна фішинг суть полягає в тому, що користувач платить плату, щоб повідомити смарт-контракт: "Я згоден, щоб ти передав мої токени хакеру". Підписний фішинг - це коли користувач підписує "документ", що дозволяє іншим переміщувати активи, для хакера, а хакер потім платить плату, щоб повідомити смарт-контракт: "Я хочу перевести його токени на себе". Permit і Permit2 - це наразі часті місця підписного фішингу, Permit - це розширена можливість авторизації ERC-20, а Permit2 - нова функція, яку запустив певний DEX.
Отже, як захиститися від цих фішингових атак?
Важливо формувати усвідомлення безпеки. Щоразу, коли ви виконуєте операції з гаманцем, уважно перевіряйте, що саме ви робите.
Розділіть великі кошти та кошти для повсякденного використання, щоб зменшити можливі втрати.
Навчіться розпізнавати формат підпису Permit і Permit2. Коли ви бачите підпис, що містить наступну інформацію, будьте особливо обережні:
Зрозумівши ці основні принципи та вживаючи належні запобіжні заходи, ми можемо краще захистити безпеку своїх активів Web3.