Análisis de las técnicas de phishing en Web3: lógica subyacente del phishing por firma y medidas de prevención
Recientemente, el "phishing por firma" se ha convertido en una de las técnicas de ataque más favoritas de los hackers en Web3. A pesar de que expertos de la industria y diversas compañías de billeteras y seguridad continúan promoviendo información relevante, aún hay muchos usuarios que caen en la trampa. Una de las principales razones de esta situación es que la mayoría de las personas carece de comprensión sobre la lógica subyacente de las interacciones con billeteras, y para las personas no técnicas, la barrera de entrada es bastante alta.
Para ayudar a más personas a entender este problema, explicaremos la lógica subyacente del phishing de firmas de una manera sencilla y comprensible.
Primero, necesitamos entender que hay dos operaciones básicas al usar una billetera: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena (off-chain), no requiere pagar tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain), requiere pagar tarifas de Gas.
La firma se utiliza generalmente para la autenticación, como al iniciar sesión en una billetera. Por ejemplo, cuando deseas intercambiar tokens en un DEX, primero necesitas conectar tu billetera, y en ese momento se requiere una firma para demostrar que eres el propietario de esa billetera. Este proceso no causará ningún cambio en los datos o el estado de la blockchain, por lo que no es necesario pagar una tarifa.
En comparación, la interacción implica operaciones reales en la cadena. Por ejemplo, cuando realizas un intercambio de tokens en un DEX, primero necesitas pagar una tarifa para autorizar al contrato inteligente a operar con tus tokens (es decir, la operación de aprobación), y luego pagas otra tarifa para ejecutar la operación de intercambio real.
Después de entender la diferencia entre firmas e interacciones, echemos un vistazo a algunas formas comunes de phishing: phishing de autorización, phishing de firma de Permit y phishing de firma de Permit2.
La autorización de phishing es una técnica clásica de phishing en Web3 que utiliza el mecanismo de autorización (approve). Los hackers pueden crear un sitio web de phishing disfrazado como un proyecto de NFT, induciendo a los usuarios a hacer clic en el botón "reclamar airdrop". En realidad, esta acción pedirá a los usuarios que autoricen sus tokens a la dirección del hacker. Sin embargo, dado que esta operación requiere el pago de tarifas de Gas, muchos usuarios son más cautelosos cuando se encuentran con acciones que requieren gastar dinero, por lo que es relativamente fácil de prevenir.
Las firmas de Permit y Permit2 son actualmente un área crítica de seguridad para los activos Web3. La dificultad para prevenir estos métodos se debe a que los usuarios generalmente necesitan firmar para iniciar sesión en sus billeteras antes de utilizar DApps, lo que puede haber creado una forma de pensamiento "seguro". Además, como no se requieren tarifas para firmar y la mayoría de los usuarios no comprenden el significado detrás de cada firma, este tipo de ataques de phishing se vuelve aún más peligroso.
Permit es una función de extensión autorizada bajo el estándar ERC-20. En términos simples, permite a los usuarios aprobar a otras personas para que operen con su token a través de una firma. Los hackers pueden inducir a los usuarios a firmar Permit a través de sitios web de phishing, obteniendo así permiso para operar los activos de los usuarios.
Permit2 es una función lanzada por un DEX para mejorar la experiencia del usuario. Permite a los usuarios autorizar una gran cantidad de fondos a un contrato inteligente de Permit2 de una sola vez, y luego cada vez que se realiza una transacción solo se requiere una firma, sin necesidad de autorizar repetidamente. Sin embargo, esto también proporciona una oportunidad para los hackers.
Para prevenir estos ataques de phishing, recomendamos:
Fomentar la conciencia de seguridad, cada vez que realice operaciones con la billetera, debe verificar cuidadosamente el contenido específico de la operación.
Separar grandes fondos del dinero utilizado en el día a día para reducir las pérdidas potenciales.
Aprenda a identificar el formato de firma de Permit y Permit2. Cuando vea una solicitud de firma que contenga la siguiente información, mantenga la vigilancia:
Interactivo:sitio web interactivo
Propietario: dirección del autorizador
Spender: dirección del autorizado
Valor:Cantidad autorizada
Nonce: número aleatorio
Deadline:fecha de vencimiento
Al comprender los principios de estos ataques de phishing y las medidas de prevención, podemos proteger mejor nuestros activos digitales y explorar e interactuar de manera segura en el mundo Web3.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
19 me gusta
Recompensa
19
5
Compartir
Comentar
0/400
ApeEscapeArtist
· 08-04 00:11
Otra vez los tontos han caído en la trampa.
Ver originalesResponder0
GateUser-40edb63b
· 08-04 00:11
¿Otra vez engañando con firmas, verdad?
Ver originalesResponder0
pvt_key_collector
· 08-03 23:58
Vaya, me han engañado otra vez.
Ver originalesResponder0
MissedAirdropBro
· 08-03 23:50
No es un robo, es que la DIRECCIÓN está marcada. Estoy cansado.
Ver originalesResponder0
ForkItAll
· 08-03 23:49
"tontos que llevan dos años y medio en el círculo"
Análisis de ataques de phishing con firmas Web3: guía completa sobre la lógica subyacente y las medidas de prevención
Análisis de las técnicas de phishing en Web3: lógica subyacente del phishing por firma y medidas de prevención
Recientemente, el "phishing por firma" se ha convertido en una de las técnicas de ataque más favoritas de los hackers en Web3. A pesar de que expertos de la industria y diversas compañías de billeteras y seguridad continúan promoviendo información relevante, aún hay muchos usuarios que caen en la trampa. Una de las principales razones de esta situación es que la mayoría de las personas carece de comprensión sobre la lógica subyacente de las interacciones con billeteras, y para las personas no técnicas, la barrera de entrada es bastante alta.
Para ayudar a más personas a entender este problema, explicaremos la lógica subyacente del phishing de firmas de una manera sencilla y comprensible.
Primero, necesitamos entender que hay dos operaciones básicas al usar una billetera: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena (off-chain), no requiere pagar tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain), requiere pagar tarifas de Gas.
La firma se utiliza generalmente para la autenticación, como al iniciar sesión en una billetera. Por ejemplo, cuando deseas intercambiar tokens en un DEX, primero necesitas conectar tu billetera, y en ese momento se requiere una firma para demostrar que eres el propietario de esa billetera. Este proceso no causará ningún cambio en los datos o el estado de la blockchain, por lo que no es necesario pagar una tarifa.
En comparación, la interacción implica operaciones reales en la cadena. Por ejemplo, cuando realizas un intercambio de tokens en un DEX, primero necesitas pagar una tarifa para autorizar al contrato inteligente a operar con tus tokens (es decir, la operación de aprobación), y luego pagas otra tarifa para ejecutar la operación de intercambio real.
Después de entender la diferencia entre firmas e interacciones, echemos un vistazo a algunas formas comunes de phishing: phishing de autorización, phishing de firma de Permit y phishing de firma de Permit2.
La autorización de phishing es una técnica clásica de phishing en Web3 que utiliza el mecanismo de autorización (approve). Los hackers pueden crear un sitio web de phishing disfrazado como un proyecto de NFT, induciendo a los usuarios a hacer clic en el botón "reclamar airdrop". En realidad, esta acción pedirá a los usuarios que autoricen sus tokens a la dirección del hacker. Sin embargo, dado que esta operación requiere el pago de tarifas de Gas, muchos usuarios son más cautelosos cuando se encuentran con acciones que requieren gastar dinero, por lo que es relativamente fácil de prevenir.
Las firmas de Permit y Permit2 son actualmente un área crítica de seguridad para los activos Web3. La dificultad para prevenir estos métodos se debe a que los usuarios generalmente necesitan firmar para iniciar sesión en sus billeteras antes de utilizar DApps, lo que puede haber creado una forma de pensamiento "seguro". Además, como no se requieren tarifas para firmar y la mayoría de los usuarios no comprenden el significado detrás de cada firma, este tipo de ataques de phishing se vuelve aún más peligroso.
Permit es una función de extensión autorizada bajo el estándar ERC-20. En términos simples, permite a los usuarios aprobar a otras personas para que operen con su token a través de una firma. Los hackers pueden inducir a los usuarios a firmar Permit a través de sitios web de phishing, obteniendo así permiso para operar los activos de los usuarios.
Permit2 es una función lanzada por un DEX para mejorar la experiencia del usuario. Permite a los usuarios autorizar una gran cantidad de fondos a un contrato inteligente de Permit2 de una sola vez, y luego cada vez que se realiza una transacción solo se requiere una firma, sin necesidad de autorizar repetidamente. Sin embargo, esto también proporciona una oportunidad para los hackers.
Para prevenir estos ataques de phishing, recomendamos:
Fomentar la conciencia de seguridad, cada vez que realice operaciones con la billetera, debe verificar cuidadosamente el contenido específico de la operación.
Separar grandes fondos del dinero utilizado en el día a día para reducir las pérdidas potenciales.
Aprenda a identificar el formato de firma de Permit y Permit2. Cuando vea una solicitud de firma que contenga la siguiente información, mantenga la vigilancia:
Al comprender los principios de estos ataques de phishing y las medidas de prevención, podemos proteger mejor nuestros activos digitales y explorar e interactuar de manera segura en el mundo Web3.