Аналіз методів фішингу в Web3: базова логіка фішингу через підпис і заходи запобігання
Останнім часом "фішинг за підписами" став одним з найулюбленіших методів атаки хакерів у Web3. Незважаючи на те, що експерти галузі та провідні компанії з безпеки постійно розповідають про відповідні знання, все ще багато користувачів потрапляють у пастку. Основною причиною цього є те, що більшість людей не розуміють основну логіку взаємодії з гаманцями, а для нетехнічних користувачів бар'єр для навчання є досить високим.
Щоб допомогти більшій кількості людей зрозуміти це питання, ми пояснимо основну логіку підписного фішингу простими і зрозумілими словами.
По-перше, нам потрібно зрозуміти, що при використанні гаманця існує дві основні операції: "підпис" та "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не вимагає сплати Gas-кошту; тоді як взаємодія відбувається в блокчейні (в межах ланцюга) і вимагає сплати Gas-кошту.
Підпис зазвичай використовується для аутентифікації, наприклад, для входу в гаманці. Наприклад, коли ви хочете обміняти токени на певному DEX, вам спочатку потрібно підключити гаманець, і в цей момент необхідно підписати, щоб підтвердити, що ви є власником цього гаманця. Цей процес не призводить до жодних змін даних або стану в блокчейні, тому плата не потрібна.
Натомість, взаємодія передбачає фактичні операції на ланцюгу. Наприклад, коли ви обмінюєте токени на певному DEX, спочатку вам потрібно сплатити комісію за надання дозволу смарт-контракту на роботу з вашими токенами (тобто операція approve), а потім сплатити ще одну комісію за виконання фактичної операції обміну.
Після того, як ми зрозуміли різницю між підписом та взаємодією, давайте розглянемо кілька поширених методів фішингу: фішинг через авторизацію, фішинг через підпис Permit та фішинг через підпис Permit2.
Авторизаційна риболовля – це класичний метод риболовлі в Web3, що використовує механізм авторизації (approve). Хакери можуть створити фішинговий сайт, що маскується під NFT проект, спонукати користувачів натиснути кнопку "Отримати аеродроп". Насправді, ця дія вимагатиме від користувачів авторизувати свої токени на адресу хакера. Однак, оскільки ця дія потребує сплати Gas-кошту, багато користувачів стають більш обережними, коли стикаються з операціями, що потребують витрат, тому їх відносно легко запобігти.
Phishing на підписах Permit і Permit2 є серйозною проблемою безпеки активів Web3. Ці два методи важко запобігти, оскільки користувачі зазвичай повинні підписувати вхід до гаманця перед використанням DApp, що може сформувати певну "безпечну" інерцію мислення. Додатково, оскільки підписання не вимагає сплати зборів, а більшість користувачів не розуміє значення кожного підпису, такі фішингові атаки стають ще небезпечнішими.
Permit є розширеною функцією авторизації в рамках стандарту ERC-20. Простими словами, вона дозволяє користувачам схвалювати інших осіб для управління своїми токенами за допомогою підпису. Хакери можуть спонукати користувачів підписувати Permit через фішингові сайти, щоб отримати доступ до управління активами користувачів.
Permit2 - це функція, яку певний DEX запровадив для покращення користувацького досвіду. Вона дозволяє користувачам одноразово надати велику суму дозволу смарт-контракту Permit2, після чого для кожної угоди потрібно лише підписати, без необхідності повторного надання дозволу. Однак це також створює можливості для хакерів.
Щоб запобігти цим фішинговим атакам, ми рекомендуємо:
Розвивайте свідомість безпеки, кожного разу, коли ви виконуєте операції з гаманцем, уважно перевіряйте конкретні деталі операції.
Розділіть великі суми грошей та гроші для повсякденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підписів Permit та Permit2. Коли ви бачите запит на підпис, що містить наступну інформацію, будьте обережні:
Interactive:інтерактивний веб-сайт
Власник:адреса уповноваженого
Spender: адреса уповноваженої особи
Значення:Кількість дозволів
Nonce:випадкове число
Дедлайн:термін дії
Зрозумівши принципи цих фішингових атак і заходи запобігання, ми можемо краще захистити свої цифрові активи та безпечно досліджувати та взаємодіяти у світі Web3.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Аналіз фішинг-атак на підпис Web3: всебічний посібник з основної логіки та заходів запобігання
Аналіз методів фішингу в Web3: базова логіка фішингу через підпис і заходи запобігання
Останнім часом "фішинг за підписами" став одним з найулюбленіших методів атаки хакерів у Web3. Незважаючи на те, що експерти галузі та провідні компанії з безпеки постійно розповідають про відповідні знання, все ще багато користувачів потрапляють у пастку. Основною причиною цього є те, що більшість людей не розуміють основну логіку взаємодії з гаманцями, а для нетехнічних користувачів бар'єр для навчання є досить високим.
Щоб допомогти більшій кількості людей зрозуміти це питання, ми пояснимо основну логіку підписного фішингу простими і зрозумілими словами.
По-перше, нам потрібно зрозуміти, що при використанні гаманця існує дві основні операції: "підпис" та "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не вимагає сплати Gas-кошту; тоді як взаємодія відбувається в блокчейні (в межах ланцюга) і вимагає сплати Gas-кошту.
Підпис зазвичай використовується для аутентифікації, наприклад, для входу в гаманці. Наприклад, коли ви хочете обміняти токени на певному DEX, вам спочатку потрібно підключити гаманець, і в цей момент необхідно підписати, щоб підтвердити, що ви є власником цього гаманця. Цей процес не призводить до жодних змін даних або стану в блокчейні, тому плата не потрібна.
Натомість, взаємодія передбачає фактичні операції на ланцюгу. Наприклад, коли ви обмінюєте токени на певному DEX, спочатку вам потрібно сплатити комісію за надання дозволу смарт-контракту на роботу з вашими токенами (тобто операція approve), а потім сплатити ще одну комісію за виконання фактичної операції обміну.
Після того, як ми зрозуміли різницю між підписом та взаємодією, давайте розглянемо кілька поширених методів фішингу: фішинг через авторизацію, фішинг через підпис Permit та фішинг через підпис Permit2.
Авторизаційна риболовля – це класичний метод риболовлі в Web3, що використовує механізм авторизації (approve). Хакери можуть створити фішинговий сайт, що маскується під NFT проект, спонукати користувачів натиснути кнопку "Отримати аеродроп". Насправді, ця дія вимагатиме від користувачів авторизувати свої токени на адресу хакера. Однак, оскільки ця дія потребує сплати Gas-кошту, багато користувачів стають більш обережними, коли стикаються з операціями, що потребують витрат, тому їх відносно легко запобігти.
Phishing на підписах Permit і Permit2 є серйозною проблемою безпеки активів Web3. Ці два методи важко запобігти, оскільки користувачі зазвичай повинні підписувати вхід до гаманця перед використанням DApp, що може сформувати певну "безпечну" інерцію мислення. Додатково, оскільки підписання не вимагає сплати зборів, а більшість користувачів не розуміє значення кожного підпису, такі фішингові атаки стають ще небезпечнішими.
Permit є розширеною функцією авторизації в рамках стандарту ERC-20. Простими словами, вона дозволяє користувачам схвалювати інших осіб для управління своїми токенами за допомогою підпису. Хакери можуть спонукати користувачів підписувати Permit через фішингові сайти, щоб отримати доступ до управління активами користувачів.
Permit2 - це функція, яку певний DEX запровадив для покращення користувацького досвіду. Вона дозволяє користувачам одноразово надати велику суму дозволу смарт-контракту Permit2, після чого для кожної угоди потрібно лише підписати, без необхідності повторного надання дозволу. Однак це також створює можливості для хакерів.
Щоб запобігти цим фішинговим атакам, ми рекомендуємо:
Розвивайте свідомість безпеки, кожного разу, коли ви виконуєте операції з гаманцем, уважно перевіряйте конкретні деталі операції.
Розділіть великі суми грошей та гроші для повсякденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підписів Permit та Permit2. Коли ви бачите запит на підпис, що містить наступну інформацію, будьте обережні:
Зрозумівши принципи цих фішингових атак і заходи запобігання, ми можемо краще захистити свої цифрові активи та безпечно досліджувати та взаємодіяти у світі Web3.