Анализ методов фишинга в Web3: базовая логика подписного фишинга и меры предосторожности
В последнее время "подписной фишинг" стал одним из самых популярных способов атаки среди хакеров в Web3. Несмотря на то, что эксперты отрасли и крупные компании по безопасности и кошелькам постоянно распространяют соответствующую информацию, все еще много пользователей попадают в ловушку. Одна из основных причин этой ситуации заключается в том, что большинство людей не понимают основную логику взаимодействия с кошельками, а для не технических специалистов уровень сложности обучения довольно высок.
Чтобы помочь большему количеству людей понять эту проблему, мы объясним основную логику фишинга через подписи простым и понятным способом.
Во-первых, нам нужно понять, что при использовании кошелька есть две основные операции: "подпись" и "взаимодействие". Проще говоря, подпись происходит вне блокчейна (офлайн) и не требует оплаты Gas-услуг; тогда как взаимодействие происходит в блокчейне (онлайн) и требует оплаты Gas-услуг.
Подпись обычно используется для аутентификации, например, при входе в кошелек. Например, когда вы хотите обменять токены на каком-либо DEX, вам нужно сначала подключить кошелек, и в этот момент требуется подпись, чтобы подтвердить, что вы являетесь владельцем этого кошелька. Этот процесс не приводит к каким-либо изменениям данных или состояния в блокчейне, поэтому плата не требуется.
В отличие от этого, взаимодействие включает в себя фактические операции на блокчейне. Например, когда вы обмениваете токены на каком-либо DEX, вам сначала нужно заплатить комиссию для авторизации смарт-контракта на управление вашими токенами (то есть операция approve), а затем заплатить еще одну комиссию для выполнения фактической операции обмена.
Поняв разницу между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Авторизация через фишинг — это классическая методика фишинга в Web3, использующая механизм авторизации (approve). Хакеры могут создать фишинговый сайт, маскирующийся под проект NFT, чтобы заманить пользователей нажать кнопку "Получить аирдроп". На самом деле, это действие требует от пользователей авторизации своих токенов на адрес хакера. Однако, поскольку это действие требует оплаты Gas, многие пользователи становятся более настороженными, когда сталкиваются с операциями, требующими денег, поэтому это относительно легко предотвратить.
Фишинг-атаки на подписи Permit и Permit2 являются текущей горячей точкой безопасности активов Web3. Эти два метода сложно предотвратить, потому что пользователи обычно должны подписывать вход в кошелек перед использованием DApp, что может создать привычное мышление о "безопасности". Плюс к этому, подписи не требуют оплаты, и большинство пользователей не понимают значения каждой подписи, что делает такие фишинг-атаки еще более опасными.
Permit - это расширенная функция, предусмотренная стандартом ERC-20. Проще говоря, она позволяет пользователям утверждать других лиц для управления своими токенами с помощью подписи. Хакеры могут использовать фишинговые сайты, чтобы заставить пользователей подписать Permit, тем самым получая доступ к управлению активами пользователей.
Permit2 — это функция, разработанная некоторыми DEX для улучшения пользовательского опыта. Она позволяет пользователям единожды предоставить большое количество разрешений смарт-контракту Permit2, после чего для каждой последующей сделки нужно лишь подписать, без необходимости повторного разрешения. Однако это также предоставляет возможность для хакеров.
Для предотвращения этих фишинговых атак мы рекомендуем:
Развивайте осведомленность о безопасности, каждый раз при выполнении операций с кошельком внимательно проверяйте конкретное содержание операций.
Разделите крупные средства и деньги для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать формат подписей Permit и Permit2. Когда вы видите запрос на подпись, содержащий следующую информацию, обязательно будьте осторожны:
Interactive:интерактивный сайт
Владелец:адрес уполномоченной стороны
Spender: адрес уполномоченного лица
Значение:Доступное количество
Nonce: случайное число
Срок действия:过期时间
Понимая принципы этих фишинговых атак и меры предосторожности, мы можем лучше защитить свои цифровые активы и безопасно исследовать и взаимодействовать в мире Web3.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Анализ фишинга с использованием подписей Web3: Полное руководство по основной логике и мерам предосторожности
Анализ методов фишинга в Web3: базовая логика подписного фишинга и меры предосторожности
В последнее время "подписной фишинг" стал одним из самых популярных способов атаки среди хакеров в Web3. Несмотря на то, что эксперты отрасли и крупные компании по безопасности и кошелькам постоянно распространяют соответствующую информацию, все еще много пользователей попадают в ловушку. Одна из основных причин этой ситуации заключается в том, что большинство людей не понимают основную логику взаимодействия с кошельками, а для не технических специалистов уровень сложности обучения довольно высок.
Чтобы помочь большему количеству людей понять эту проблему, мы объясним основную логику фишинга через подписи простым и понятным способом.
Во-первых, нам нужно понять, что при использовании кошелька есть две основные операции: "подпись" и "взаимодействие". Проще говоря, подпись происходит вне блокчейна (офлайн) и не требует оплаты Gas-услуг; тогда как взаимодействие происходит в блокчейне (онлайн) и требует оплаты Gas-услуг.
Подпись обычно используется для аутентификации, например, при входе в кошелек. Например, когда вы хотите обменять токены на каком-либо DEX, вам нужно сначала подключить кошелек, и в этот момент требуется подпись, чтобы подтвердить, что вы являетесь владельцем этого кошелька. Этот процесс не приводит к каким-либо изменениям данных или состояния в блокчейне, поэтому плата не требуется.
В отличие от этого, взаимодействие включает в себя фактические операции на блокчейне. Например, когда вы обмениваете токены на каком-либо DEX, вам сначала нужно заплатить комиссию для авторизации смарт-контракта на управление вашими токенами (то есть операция approve), а затем заплатить еще одну комиссию для выполнения фактической операции обмена.
Поняв разницу между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.
Авторизация через фишинг — это классическая методика фишинга в Web3, использующая механизм авторизации (approve). Хакеры могут создать фишинговый сайт, маскирующийся под проект NFT, чтобы заманить пользователей нажать кнопку "Получить аирдроп". На самом деле, это действие требует от пользователей авторизации своих токенов на адрес хакера. Однако, поскольку это действие требует оплаты Gas, многие пользователи становятся более настороженными, когда сталкиваются с операциями, требующими денег, поэтому это относительно легко предотвратить.
Фишинг-атаки на подписи Permit и Permit2 являются текущей горячей точкой безопасности активов Web3. Эти два метода сложно предотвратить, потому что пользователи обычно должны подписывать вход в кошелек перед использованием DApp, что может создать привычное мышление о "безопасности". Плюс к этому, подписи не требуют оплаты, и большинство пользователей не понимают значения каждой подписи, что делает такие фишинг-атаки еще более опасными.
Permit - это расширенная функция, предусмотренная стандартом ERC-20. Проще говоря, она позволяет пользователям утверждать других лиц для управления своими токенами с помощью подписи. Хакеры могут использовать фишинговые сайты, чтобы заставить пользователей подписать Permit, тем самым получая доступ к управлению активами пользователей.
Permit2 — это функция, разработанная некоторыми DEX для улучшения пользовательского опыта. Она позволяет пользователям единожды предоставить большое количество разрешений смарт-контракту Permit2, после чего для каждой последующей сделки нужно лишь подписать, без необходимости повторного разрешения. Однако это также предоставляет возможность для хакеров.
Для предотвращения этих фишинговых атак мы рекомендуем:
Развивайте осведомленность о безопасности, каждый раз при выполнении операций с кошельком внимательно проверяйте конкретное содержание операций.
Разделите крупные средства и деньги для повседневного использования, чтобы снизить потенциальные потери.
Научитесь распознавать формат подписей Permit и Permit2. Когда вы видите запрос на подпись, содержащий следующую информацию, обязательно будьте осторожны:
Понимая принципы этих фишинговых атак и меры предосторожности, мы можем лучше защитить свои цифровые активы и безопасно исследовать и взаимодействовать в мире Web3.