Análise das técnicas de phishing em Web3: a lógica subjacente do phishing por assinatura e medidas de prevenção
Recentemente, "phishing por assinatura" tornou-se uma das métodos de ataque preferidos pelos hackers do Web3. Apesar de especialistas da indústria e diversas carteiras e empresas de segurança estarem constantemente divulgando informações relacionadas, ainda há muitos usuários que caem na armadilha. Uma das principais razões para isso é que a maioria das pessoas carece de entendimento sobre a lógica subjacente das interações com carteiras, e para pessoas não técnicas, a barreira de aprendizado é alta.
Para ajudar mais pessoas a entender esta questão, vamos explicar a lógica subjacente da phishing de assinatura de uma forma acessível.
Primeiro, precisamos entender que existem duas operações básicas ao usar uma carteira: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), não requerendo o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento de taxas de Gas.
As assinaturas são normalmente usadas para autenticação, como ao fazer login em uma carteira. Por exemplo, quando você deseja trocar tokens em um determinado DEX, primeiro precisa conectar sua carteira, e nesse momento uma assinatura é necessária para provar que você é o proprietário daquela carteira. Esse processo não causa nenhuma alteração nos dados ou no estado da blockchain, portanto, não há necessidade de pagar taxas.
Em comparação, a interação envolve operações reais na blockchain. Por exemplo, quando você realiza uma troca de tokens em um determinado DEX, primeiro precisa pagar uma taxa para autorizar o contrato inteligente a operar seus tokens (ou seja, a operação de approve), e depois paga outra taxa para executar a operação de troca real.
Após entender a diferença entre assinatura e interação, vamos dar uma olhada em alguns métodos comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.
A autorização de phishing é uma técnica clássica de phishing em Web3, que utiliza o mecanismo de autorização (approve). Hackers podem criar um site de phishing disfarçado como um projeto NFT, induzindo os usuários a clicarem no botão "reclamar airdrop". Na realidade, esta ação pedirá aos usuários que autorizem seus tokens para o endereço dos hackers. No entanto, como essa operação exige o pagamento de taxas de Gas, muitos usuários ficam mais alertas quando se deparam com operações que custam dinheiro, tornando-se relativamente fácil de prevenir.
As assinaturas Permit e Permit2 são atualmente uma zona de desastre para a segurança dos ativos Web3. A razão pela qual essas duas formas são difíceis de prevenir é que os usuários geralmente precisam assinar para fazer login na carteira antes de usar DApps, o que pode já ter formado um tipo de pensamento habitual de "segurança". Além disso, como a assinatura não requer pagamento de taxas e a maioria dos usuários não entende o significado de cada assinatura, isso torna esse tipo de ataque de phishing ainda mais perigoso.
Permit é uma funcionalidade de extensão autorizada sob o padrão ERC-20. Simplificando, permite que os usuários aprovem outras pessoas para operar seus tokens através de uma assinatura. Hackers podem induzir os usuários a assinar o Permit através de sites de phishing, obtendo assim permissão para operar os ativos dos usuários.
Permit2 é uma funcionalidade introduzida por um DEX para melhorar a experiência do utilizador. Permite que os utilizadores autorizem uma grande quantia de uma só vez ao contrato inteligente Permit2, e depois, para cada transação, só precisam de assinar, sem necessidade de autorizações repetidas. Contudo, isso também oferece uma oportunidade para os hackers.
Para prevenir esses ataques de phishing, recomendamos:
Promover a consciência de segurança, verificando cuidadosamente os detalhes da operação a cada vez que realizar uma operação na carteira.
Separe grandes quantias de dinheiro das carteiras usadas diariamente para reduzir perdas potenciais.
Aprenda a identificar o formato de assinatura do Permit e do Permit2. Quando você vir um pedido de assinatura que contenha as seguintes informações, mantenha-se alerta:
Interativo: URL de interação
Proprietário:endereço do autorizador
Spender: Endereço da parte autorizada
Valor:quantidade autorizada
Nonce: número aleatório
Prazo: Data de vencimento
Ao compreender os princípios e as medidas de prevenção contra esses ataques de phishing, podemos proteger melhor os nossos ativos digitais e explorar e interagir com segurança no mundo Web3.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
19 gostos
Recompensa
19
5
Partilhar
Comentar
0/400
ApeEscapeArtist
· 08-04 00:11
又有idiotas被钓了吧
Ver originalResponder0
GateUser-40edb63b
· 08-04 00:11
Então você está enganando com assinaturas novamente, certo?
Ver originalResponder0
pvt_key_collector
· 08-03 23:58
Boa sorte, caí na armadilha novamente.
Ver originalResponder0
MissedAirdropBro
· 08-03 23:50
Não foi roubado, é um endereço marcado. Estou farto.
Análise de ataques de phishing com assinatura Web3: guia completo sobre a lógica subjacente e medidas de prevenção
Análise das técnicas de phishing em Web3: a lógica subjacente do phishing por assinatura e medidas de prevenção
Recentemente, "phishing por assinatura" tornou-se uma das métodos de ataque preferidos pelos hackers do Web3. Apesar de especialistas da indústria e diversas carteiras e empresas de segurança estarem constantemente divulgando informações relacionadas, ainda há muitos usuários que caem na armadilha. Uma das principais razões para isso é que a maioria das pessoas carece de entendimento sobre a lógica subjacente das interações com carteiras, e para pessoas não técnicas, a barreira de aprendizado é alta.
Para ajudar mais pessoas a entender esta questão, vamos explicar a lógica subjacente da phishing de assinatura de uma forma acessível.
Primeiro, precisamos entender que existem duas operações básicas ao usar uma carteira: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), não requerendo o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento de taxas de Gas.
As assinaturas são normalmente usadas para autenticação, como ao fazer login em uma carteira. Por exemplo, quando você deseja trocar tokens em um determinado DEX, primeiro precisa conectar sua carteira, e nesse momento uma assinatura é necessária para provar que você é o proprietário daquela carteira. Esse processo não causa nenhuma alteração nos dados ou no estado da blockchain, portanto, não há necessidade de pagar taxas.
Em comparação, a interação envolve operações reais na blockchain. Por exemplo, quando você realiza uma troca de tokens em um determinado DEX, primeiro precisa pagar uma taxa para autorizar o contrato inteligente a operar seus tokens (ou seja, a operação de approve), e depois paga outra taxa para executar a operação de troca real.
Após entender a diferença entre assinatura e interação, vamos dar uma olhada em alguns métodos comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.
A autorização de phishing é uma técnica clássica de phishing em Web3, que utiliza o mecanismo de autorização (approve). Hackers podem criar um site de phishing disfarçado como um projeto NFT, induzindo os usuários a clicarem no botão "reclamar airdrop". Na realidade, esta ação pedirá aos usuários que autorizem seus tokens para o endereço dos hackers. No entanto, como essa operação exige o pagamento de taxas de Gas, muitos usuários ficam mais alertas quando se deparam com operações que custam dinheiro, tornando-se relativamente fácil de prevenir.
As assinaturas Permit e Permit2 são atualmente uma zona de desastre para a segurança dos ativos Web3. A razão pela qual essas duas formas são difíceis de prevenir é que os usuários geralmente precisam assinar para fazer login na carteira antes de usar DApps, o que pode já ter formado um tipo de pensamento habitual de "segurança". Além disso, como a assinatura não requer pagamento de taxas e a maioria dos usuários não entende o significado de cada assinatura, isso torna esse tipo de ataque de phishing ainda mais perigoso.
Permit é uma funcionalidade de extensão autorizada sob o padrão ERC-20. Simplificando, permite que os usuários aprovem outras pessoas para operar seus tokens através de uma assinatura. Hackers podem induzir os usuários a assinar o Permit através de sites de phishing, obtendo assim permissão para operar os ativos dos usuários.
Permit2 é uma funcionalidade introduzida por um DEX para melhorar a experiência do utilizador. Permite que os utilizadores autorizem uma grande quantia de uma só vez ao contrato inteligente Permit2, e depois, para cada transação, só precisam de assinar, sem necessidade de autorizações repetidas. Contudo, isso também oferece uma oportunidade para os hackers.
Para prevenir esses ataques de phishing, recomendamos:
Promover a consciência de segurança, verificando cuidadosamente os detalhes da operação a cada vez que realizar uma operação na carteira.
Separe grandes quantias de dinheiro das carteiras usadas diariamente para reduzir perdas potenciais.
Aprenda a identificar o formato de assinatura do Permit e do Permit2. Quando você vir um pedido de assinatura que contenha as seguintes informações, mantenha-se alerta:
Ao compreender os princípios e as medidas de prevenção contra esses ataques de phishing, podemos proteger melhor os nossos ativos digitais e explorar e interagir com segurança no mundo Web3.