Analyse des techniques de phishing Web3 : la logique sous-jacente du phishing par signature et les mesures de prévention
Récemment, la "phishing par signature" est devenue l'une des méthodes d'attaque préférées des hackers Web3. Bien que des experts de l'industrie et des entreprises de portefeuilles et de sécurité continuent de promouvoir des connaissances à ce sujet, de nombreux utilisateurs tombent encore dans le piège. Une des principales raisons de cette situation est que la plupart des gens manquent de compréhension des logiques sous-jacentes des interactions avec les portefeuilles, et pour les non-techniciens, la barrière d'apprentissage est élevée.
Pour aider un plus grand nombre de personnes à comprendre ce problème, nous expliquerons la logique sous-jacente de la pêche aux signatures de manière simple et accessible.
Tout d'abord, nous devons comprendre qu'il existe deux opérations de base lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de payer des frais de Gas ; tandis que l'interaction se produit sur la blockchain (en chaîne) et nécessite le paiement de frais de Gas.
Une signature est généralement utilisée pour l'authentification, comme la connexion à un portefeuille. Par exemple, lorsque vous souhaitez échanger des jetons sur un DEX, vous devez d'abord connecter votre portefeuille, et à ce moment-là, une signature est nécessaire pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus n'apporte aucun changement aux données ou à l'état de la blockchain, donc aucun frais n'est à payer.
En revanche, l'interaction implique des opérations réelles sur la chaîne. Par exemple, lorsque vous effectuez un échange de jetons sur un DEX, vous devez d'abord payer des frais pour autoriser le contrat intelligent à manipuler vos jetons (c'est-à-dire l'opération approve), puis payer des frais supplémentaires pour exécuter l'opération d'échange réelle.
Après avoir compris la différence entre la signature et l'interaction, examinons quelques méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing par autorisation est une méthode classique de phishing Web3, utilisant le mécanisme d'autorisation (approve). Les hackers peuvent créer un site de phishing déguisé en projet NFT, incitant les utilisateurs à cliquer sur le bouton "Réclamer l'airdrop". En réalité, cette opération demande aux utilisateurs d'autoriser leurs jetons à l'adresse du hacker. Cependant, comme cette opération nécessite de payer des frais de Gas, de nombreux utilisateurs deviennent plus vigilants lorsqu'ils rencontrent des opérations nécessitant des dépenses, ce qui rend la prévention relativement facile.
Les signatures Permit et Permit2 pour le phishing représentent actuellement une zone de grande vulnérabilité pour la sécurité des actifs Web3. Ces deux méthodes sont difficiles à prévenir car les utilisateurs doivent généralement signer pour se connecter à leur portefeuille avant d'utiliser un DApp, ce qui peut avoir créé une pensée habituelle de "sécurité". De plus, comme la signature ne nécessite pas de frais et que la plupart des utilisateurs ne comprennent pas la signification de chaque signature, ce type d'attaque par phishing devient encore plus dangereux.
Le Permit est une fonctionnalité d'extension autorisée sous la norme ERC-20. En termes simples, cela permet aux utilisateurs d'approuver d'autres personnes pour manipuler leurs jetons via une signature. Les hackers peuvent inciter les utilisateurs à signer le Permit via des sites de phishing, obtenant ainsi le droit de manipuler les actifs des utilisateurs.
Permit2 est une fonctionnalité introduite par certains DEX pour améliorer l'expérience utilisateur. Il permet aux utilisateurs d'autoriser une grande somme en une seule fois au contrat intelligent Permit2, après quoi chaque transaction nécessite uniquement une signature, sans avoir à réautoriser. Cependant, cela offre également une opportunité aux hackers.
Pour prévenir ces attaques de phishing, nous recommandons :
Développez une conscience de la sécurité, vérifiez toujours attentivement le contenu spécifique de l'opération lors de chaque opération de portefeuille.
Séparer les fonds importants de l'argent utilisé quotidiennement pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2. Lorsque vous voyez une demande de signature contenant les informations suivantes, restez vigilant :
Interactif : URL interactif
Propriétaire : adresse de l'autorisé
Spender : adresse du titulaire de l'autorisation
Valeur : quantité autorisée
Nonce : nombre aléatoire
Deadline : date d'expiration
En comprenant les principes de ces attaques de phishing et les mesures de prévention, nous pouvons mieux protéger nos actifs numériques et explorer et interagir en toute sécurité dans le monde du Web3.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
18 J'aime
Récompense
18
5
Partager
Commentaire
0/400
ApeEscapeArtist
· Il y a 17h
Encore des pigeons ont été attrapés, n'est-ce pas ?
Voir l'originalRépondre0
GateUser-40edb63b
· Il y a 17h
Encore une fois, tu fais des faux en signant, c'est ça ?
Voir l'originalRépondre0
pvt_key_collector
· Il y a 18h
Eh bien, je suis encore tombé dans le piège.
Voir l'originalRépondre0
MissedAirdropBro
· Il y a 18h
C'est soit volé, soit l'adresse est marquée, c'est énervant.
Analyse des attaques de phishing par signature Web3 : Guide complet des logiques sous-jacentes et des mesures de prévention
Analyse des techniques de phishing Web3 : la logique sous-jacente du phishing par signature et les mesures de prévention
Récemment, la "phishing par signature" est devenue l'une des méthodes d'attaque préférées des hackers Web3. Bien que des experts de l'industrie et des entreprises de portefeuilles et de sécurité continuent de promouvoir des connaissances à ce sujet, de nombreux utilisateurs tombent encore dans le piège. Une des principales raisons de cette situation est que la plupart des gens manquent de compréhension des logiques sous-jacentes des interactions avec les portefeuilles, et pour les non-techniciens, la barrière d'apprentissage est élevée.
Pour aider un plus grand nombre de personnes à comprendre ce problème, nous expliquerons la logique sous-jacente de la pêche aux signatures de manière simple et accessible.
Tout d'abord, nous devons comprendre qu'il existe deux opérations de base lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de payer des frais de Gas ; tandis que l'interaction se produit sur la blockchain (en chaîne) et nécessite le paiement de frais de Gas.
Une signature est généralement utilisée pour l'authentification, comme la connexion à un portefeuille. Par exemple, lorsque vous souhaitez échanger des jetons sur un DEX, vous devez d'abord connecter votre portefeuille, et à ce moment-là, une signature est nécessaire pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus n'apporte aucun changement aux données ou à l'état de la blockchain, donc aucun frais n'est à payer.
En revanche, l'interaction implique des opérations réelles sur la chaîne. Par exemple, lorsque vous effectuez un échange de jetons sur un DEX, vous devez d'abord payer des frais pour autoriser le contrat intelligent à manipuler vos jetons (c'est-à-dire l'opération approve), puis payer des frais supplémentaires pour exécuter l'opération d'échange réelle.
Après avoir compris la différence entre la signature et l'interaction, examinons quelques méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing par autorisation est une méthode classique de phishing Web3, utilisant le mécanisme d'autorisation (approve). Les hackers peuvent créer un site de phishing déguisé en projet NFT, incitant les utilisateurs à cliquer sur le bouton "Réclamer l'airdrop". En réalité, cette opération demande aux utilisateurs d'autoriser leurs jetons à l'adresse du hacker. Cependant, comme cette opération nécessite de payer des frais de Gas, de nombreux utilisateurs deviennent plus vigilants lorsqu'ils rencontrent des opérations nécessitant des dépenses, ce qui rend la prévention relativement facile.
Les signatures Permit et Permit2 pour le phishing représentent actuellement une zone de grande vulnérabilité pour la sécurité des actifs Web3. Ces deux méthodes sont difficiles à prévenir car les utilisateurs doivent généralement signer pour se connecter à leur portefeuille avant d'utiliser un DApp, ce qui peut avoir créé une pensée habituelle de "sécurité". De plus, comme la signature ne nécessite pas de frais et que la plupart des utilisateurs ne comprennent pas la signification de chaque signature, ce type d'attaque par phishing devient encore plus dangereux.
Le Permit est une fonctionnalité d'extension autorisée sous la norme ERC-20. En termes simples, cela permet aux utilisateurs d'approuver d'autres personnes pour manipuler leurs jetons via une signature. Les hackers peuvent inciter les utilisateurs à signer le Permit via des sites de phishing, obtenant ainsi le droit de manipuler les actifs des utilisateurs.
Permit2 est une fonctionnalité introduite par certains DEX pour améliorer l'expérience utilisateur. Il permet aux utilisateurs d'autoriser une grande somme en une seule fois au contrat intelligent Permit2, après quoi chaque transaction nécessite uniquement une signature, sans avoir à réautoriser. Cependant, cela offre également une opportunité aux hackers.
Pour prévenir ces attaques de phishing, nous recommandons :
Développez une conscience de la sécurité, vérifiez toujours attentivement le contenu spécifique de l'opération lors de chaque opération de portefeuille.
Séparer les fonds importants de l'argent utilisé quotidiennement pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2. Lorsque vous voyez une demande de signature contenant les informations suivantes, restez vigilant :
En comprenant les principes de ces attaques de phishing et les mesures de prévention, nous pouvons mieux protéger nos actifs numériques et explorer et interagir en toute sécurité dans le monde du Web3.