Explicación detallada del phishing en Web3: lógica subyacente y medidas de prevención
En el ámbito de Web3, el "phishing por firma" se ha convertido en uno de los métodos de fraude más favoritos de los hackers. A pesar de que muchos expertos en seguridad y compañías de billeteras continúan educando al público, cada día hay una gran cantidad de usuarios que sufren pérdidas. Una de las principales razones de esto es que la mayoría de los usuarios carece de comprensión sobre los mecanismos subyacentes de la interacción con billeteras, y para las personas no técnicas, la barrera de aprendizaje sobre el conocimiento relacionado es bastante alta.
Para ayudar a más personas a entender este problema, explicaremos la lógica subyacente del phishing de firmas a través de ilustraciones y en un lenguaje sencillo y comprensible.
Dos tipos de operaciones de billetera
Al usar una billetera de criptomonedas, realizamos principalmente dos tipos de operaciones: firma e interacción.
Firma: ocurre fuera de la cadena (fuera de la cadena), no se necesita pagar tarifas de Gas.
Interacción: ocurre en la blockchain (en cadena), se requiere pagar una tarifa de Gas.
Las firmas se utilizan comúnmente para la verificación de identidad, como al iniciar sesión en una aplicación descentralizada (DApp). Este proceso no altera los datos o el estado en la blockchain, por lo que no se requiere pagar una tarifa.
La interacción implica operaciones reales en la blockchain. Por ejemplo, al intercambiar tokens en un DEX, primero necesitas autorizar al contrato inteligente del DEX para usar tus tokens (approve), y luego realizar la operación de intercambio real. Ambos pasos requieren el pago de tarifas de Gas.
Métodos comunes de phishing
1. Phishing autorizado
Esta es una técnica clásica de phishing. Los hackers crean un sitio web que se disfraza de un proyecto normal, induciendo a los usuarios a hacer clic en botones como "Reclamar airdrop". En realidad, al hacer clic, se activa una operación de autorización que permite a los hackers acceder a los tokens del usuario.
Ventajas: operación simple y directa.
Desventajas: se necesitan pagar tarifas de Gas, lo que puede alertar a los usuarios.
2. Permiso firma de phishing
Permit es una función extendida del estándar ERC-20, que permite a los usuarios autorizar a otros a usar sus tokens a través de una firma. Los hackers pueden inducir a los usuarios a firmar un Permit y luego usar esa firma para transferir los activos del usuario.
Ventajas: No se requiere que el usuario pague tarifas de Gas, es más fácil de engañar.
Desventajas: Solo es aplicable a los tokens que soportan la función Permit.
3. Phishing con firma de Permit2
Permit2 es una función lanzada por un DEX que tiene como objetivo simplificar las operaciones del usuario. Los usuarios pueden autorizar una gran cantidad a un contrato Permit2 de una sola vez, y luego, para cada transacción, solo necesitan firmar, con el costo de Gas cubierto por el contrato.
Ventajas: Amplio alcance, puede afectar a una gran cantidad de usuarios.
Desventajas: se requiere que el usuario haya utilizado anteriormente este DEX y haya autorizado el contrato Permit2.
Medidas de prevención
Fomentar la conciencia de seguridad: cada vez que realices una operación con la billetera, revisa cuidadosamente la operación que estás llevando a cabo.
Separación de fondos: separar grandes sumas de dinero de la billetera de uso diario para reducir las pérdidas potenciales.
Aprende a identificar solicitudes de firma peligrosas: Presta especial atención a las solicitudes de firma que contengan los siguientes campos:
Interactivo(交互网址)
Propietario(Dirección del otorgante)
Spender (dirección del autorizado)
Valor(授权数量)
Nonce (número aleatorio)
Fecha límite
Al comprender los principios y las formas de estas técnicas de phishing, los usuarios pueden proteger mejor sus activos digitales. Recuerda que, en el mundo de Web3, la conciencia de seguridad y la operación cautelosa son clave para proteger los activos.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
7 me gusta
Recompensa
7
3
Compartir
Comentar
0/400
GateUser-afe07a92
· hace17h
Los novatos van a sufrir otra vez.
Ver originalesResponder0
DegenApeSurfer
· hace20h
Otra vez un consejo de seguridad que ya se ha mencionado muchas veces.
Análisis completo del phishing por firma Web3: análisis de principios y guía de protección
Explicación detallada del phishing en Web3: lógica subyacente y medidas de prevención
En el ámbito de Web3, el "phishing por firma" se ha convertido en uno de los métodos de fraude más favoritos de los hackers. A pesar de que muchos expertos en seguridad y compañías de billeteras continúan educando al público, cada día hay una gran cantidad de usuarios que sufren pérdidas. Una de las principales razones de esto es que la mayoría de los usuarios carece de comprensión sobre los mecanismos subyacentes de la interacción con billeteras, y para las personas no técnicas, la barrera de aprendizaje sobre el conocimiento relacionado es bastante alta.
Para ayudar a más personas a entender este problema, explicaremos la lógica subyacente del phishing de firmas a través de ilustraciones y en un lenguaje sencillo y comprensible.
Dos tipos de operaciones de billetera
Al usar una billetera de criptomonedas, realizamos principalmente dos tipos de operaciones: firma e interacción.
Las firmas se utilizan comúnmente para la verificación de identidad, como al iniciar sesión en una aplicación descentralizada (DApp). Este proceso no altera los datos o el estado en la blockchain, por lo que no se requiere pagar una tarifa.
La interacción implica operaciones reales en la blockchain. Por ejemplo, al intercambiar tokens en un DEX, primero necesitas autorizar al contrato inteligente del DEX para usar tus tokens (approve), y luego realizar la operación de intercambio real. Ambos pasos requieren el pago de tarifas de Gas.
Métodos comunes de phishing
1. Phishing autorizado
Esta es una técnica clásica de phishing. Los hackers crean un sitio web que se disfraza de un proyecto normal, induciendo a los usuarios a hacer clic en botones como "Reclamar airdrop". En realidad, al hacer clic, se activa una operación de autorización que permite a los hackers acceder a los tokens del usuario.
Ventajas: operación simple y directa. Desventajas: se necesitan pagar tarifas de Gas, lo que puede alertar a los usuarios.
2. Permiso firma de phishing
Permit es una función extendida del estándar ERC-20, que permite a los usuarios autorizar a otros a usar sus tokens a través de una firma. Los hackers pueden inducir a los usuarios a firmar un Permit y luego usar esa firma para transferir los activos del usuario.
Ventajas: No se requiere que el usuario pague tarifas de Gas, es más fácil de engañar. Desventajas: Solo es aplicable a los tokens que soportan la función Permit.
3. Phishing con firma de Permit2
Permit2 es una función lanzada por un DEX que tiene como objetivo simplificar las operaciones del usuario. Los usuarios pueden autorizar una gran cantidad a un contrato Permit2 de una sola vez, y luego, para cada transacción, solo necesitan firmar, con el costo de Gas cubierto por el contrato.
Ventajas: Amplio alcance, puede afectar a una gran cantidad de usuarios. Desventajas: se requiere que el usuario haya utilizado anteriormente este DEX y haya autorizado el contrato Permit2.
Medidas de prevención
Fomentar la conciencia de seguridad: cada vez que realices una operación con la billetera, revisa cuidadosamente la operación que estás llevando a cabo.
Separación de fondos: separar grandes sumas de dinero de la billetera de uso diario para reducir las pérdidas potenciales.
Aprende a identificar solicitudes de firma peligrosas: Presta especial atención a las solicitudes de firma que contengan los siguientes campos:
Al comprender los principios y las formas de estas técnicas de phishing, los usuarios pueden proteger mejor sus activos digitales. Recuerda que, en el mundo de Web3, la conciencia de seguridad y la operación cautelosa son clave para proteger los activos.