Analyse complète du phishing par signature Web3 : Analyse des principes et guide de protection

Détails sur le phishing par signature Web3 : logique sous-jacente et mesures de prévention

Dans le domaine du Web3, le "phishing par signature" est devenu l'une des méthodes de fraude les plus prisées par les hackers. Bien que de nombreux experts en sécurité et entreprises de portefeuilles s'efforcent d'éduquer le public, un grand nombre d'utilisateurs continuent de subir des pertes chaque jour. Une des principales raisons de cette situation est que la plupart des utilisateurs manquent de compréhension des mécanismes sous-jacents aux interactions avec les portefeuilles, et pour les non-techniciens, la barrière à l'apprentissage des connaissances connexes est assez élevée.

Pour aider davantage de personnes à comprendre ce problème, nous expliquerons la logique sous-jacente du phishing par signature à l'aide d'illustrations et dans un langage simple.

Interprétation simplifiée de la logique sous-jacente du phishing par signature Web3 : Différence entre le phishing d'autorisation, Permit et Permit2

Deux types d'opérations de portefeuille

Lorsque vous utilisez un portefeuille cryptographique, nous effectuons principalement deux opérations : la signature et l'interaction.

  1. Signature : se produit en dehors de la blockchain (hors chaîne), sans frais de Gas.
  2. Interaction : se produit sur la blockchain (on-chain), nécessite le paiement des frais de Gas.

La signature est généralement utilisée pour l'authentification, comme se connecter à une application décentralisée (DApp). Ce processus ne modifie pas les données ou l'état sur la blockchain, donc aucun frais n'est requis.

L'interaction implique des opérations réelles sur la blockchain. Par exemple, lors de l'échange de jetons sur un DEX, vous devez d'abord autoriser le contrat intelligent du DEX à utiliser vos jetons (approve), puis effectuer l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.

Interprétation en langage courant de la logique sous-jacente de la signature de phishing Web3 : phishing par autorisation, différences entre Permit et Permit2

Méthodes de phishing courantes

1. Phishing autorisé

C'est une technique de phishing classique. Les hackers créent un site Web déguisé en projet normal, incitant les utilisateurs à cliquer sur des boutons tels que "Recevoir l'airdrop". En réalité, lorsque l'utilisateur clique, cela déclenche une opération d'autorisation, permettant aux hackers d'accéder aux tokens de l'utilisateur.

Avantages : opération simple et directe. Inconvénients : Nécessite de payer des frais de Gas, ce qui peut alerter les utilisateurs.

2. Permis de signature de phishing

Le Permit est une fonctionnalité étendue du standard ERC-20, permettant aux utilisateurs d'autoriser d'autres à utiliser leurs jetons via une signature. Les hackers peuvent inciter les utilisateurs à signer un Permit, puis utiliser cette signature pour transférer les actifs de l'utilisateur.

Avantages : Pas besoin pour les utilisateurs de payer des frais de Gas, plus facile à tromper. Inconvénients : ne s'applique qu'aux jetons prenant en charge la fonction Permit.

3. Phishing de signature Permit2

Permit2 est une fonctionnalité lancée par un DEX, visant à simplifier les opérations des utilisateurs. Les utilisateurs peuvent autoriser une grande somme au contrat Permit2 en une seule fois, après quoi chaque transaction ne nécessite qu'une signature, les frais de Gas étant payés par le contrat.

Avantages : large portée d'application, pouvant affecter un grand nombre d'utilisateurs. Inconvénient : nécessite que l'utilisateur ait déjà utilisé ce DEX et autorisé le contrat Permit2.

Interprétation en langage simple de la logique sous-jacente de la pêche aux signatures Web3 : différence entre la pêche autorisée, Permit et Permit2

Mesures de prévention

  1. Développer une conscience de sécurité : vérifiez attentivement l'opération que vous effectuez à chaque fois que vous manipulez votre portefeuille.

  2. Séparation des fonds : Séparer les fonds importants du portefeuille utilisé au quotidien pour réduire les pertes potentielles.

  3. Apprenez à identifier les signatures dangereuses : Faites particulièrement attention aux demandes de signature contenant les champs suivants :

    • Interactive (site web interactif)
    • Propriétaire(adresse de l'autorisateur)
    • Spender (adresse de l'autorisé)
    • Valeur(quantité autorisée)
    • Nonce (nombre aléatoire)
    • Date limite

En comprenant les principes et les formes de ces méthodes de phishing, les utilisateurs peuvent mieux protéger leurs actifs numériques. N'oubliez pas que dans le monde de Web3, la sensibilisation à la sécurité et la prudence dans les opérations sont essentielles pour protéger les actifs.

Interprétation en langage simple de la logique sous-jacente de la signature de phishing Web3 : distinction entre le phishing par autorisation, Permit et Permit2

DAPP0.23%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • 3
  • Partager
Commentaire
0/400
GateUser-afe07a92vip
· Il y a 17h
Les débutants vont encore en baver.
Voir l'originalRépondre0
DegenApeSurfervip
· Il y a 20h
Encore un article sur les conseils de sécurité qui reviennent souvent.
Voir l'originalRépondre0
WenMoon42vip
· Il y a 20h
Encore des pigeons se sont fait avoir, n'est-ce pas ?
Voir l'originalRépondre0
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)