Détails sur le phishing par signature Web3 : logique sous-jacente et mesures de prévention
Dans le domaine du Web3, le "phishing par signature" est devenu l'une des méthodes de fraude les plus prisées par les hackers. Bien que de nombreux experts en sécurité et entreprises de portefeuilles s'efforcent d'éduquer le public, un grand nombre d'utilisateurs continuent de subir des pertes chaque jour. Une des principales raisons de cette situation est que la plupart des utilisateurs manquent de compréhension des mécanismes sous-jacents aux interactions avec les portefeuilles, et pour les non-techniciens, la barrière à l'apprentissage des connaissances connexes est assez élevée.
Pour aider davantage de personnes à comprendre ce problème, nous expliquerons la logique sous-jacente du phishing par signature à l'aide d'illustrations et dans un langage simple.
Deux types d'opérations de portefeuille
Lorsque vous utilisez un portefeuille cryptographique, nous effectuons principalement deux opérations : la signature et l'interaction.
Signature : se produit en dehors de la blockchain (hors chaîne), sans frais de Gas.
Interaction : se produit sur la blockchain (on-chain), nécessite le paiement des frais de Gas.
La signature est généralement utilisée pour l'authentification, comme se connecter à une application décentralisée (DApp). Ce processus ne modifie pas les données ou l'état sur la blockchain, donc aucun frais n'est requis.
L'interaction implique des opérations réelles sur la blockchain. Par exemple, lors de l'échange de jetons sur un DEX, vous devez d'abord autoriser le contrat intelligent du DEX à utiliser vos jetons (approve), puis effectuer l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.
Méthodes de phishing courantes
1. Phishing autorisé
C'est une technique de phishing classique. Les hackers créent un site Web déguisé en projet normal, incitant les utilisateurs à cliquer sur des boutons tels que "Recevoir l'airdrop". En réalité, lorsque l'utilisateur clique, cela déclenche une opération d'autorisation, permettant aux hackers d'accéder aux tokens de l'utilisateur.
Avantages : opération simple et directe.
Inconvénients : Nécessite de payer des frais de Gas, ce qui peut alerter les utilisateurs.
2. Permis de signature de phishing
Le Permit est une fonctionnalité étendue du standard ERC-20, permettant aux utilisateurs d'autoriser d'autres à utiliser leurs jetons via une signature. Les hackers peuvent inciter les utilisateurs à signer un Permit, puis utiliser cette signature pour transférer les actifs de l'utilisateur.
Avantages : Pas besoin pour les utilisateurs de payer des frais de Gas, plus facile à tromper.
Inconvénients : ne s'applique qu'aux jetons prenant en charge la fonction Permit.
3. Phishing de signature Permit2
Permit2 est une fonctionnalité lancée par un DEX, visant à simplifier les opérations des utilisateurs. Les utilisateurs peuvent autoriser une grande somme au contrat Permit2 en une seule fois, après quoi chaque transaction ne nécessite qu'une signature, les frais de Gas étant payés par le contrat.
Avantages : large portée d'application, pouvant affecter un grand nombre d'utilisateurs.
Inconvénient : nécessite que l'utilisateur ait déjà utilisé ce DEX et autorisé le contrat Permit2.
Mesures de prévention
Développer une conscience de sécurité : vérifiez attentivement l'opération que vous effectuez à chaque fois que vous manipulez votre portefeuille.
Séparation des fonds : Séparer les fonds importants du portefeuille utilisé au quotidien pour réduire les pertes potentielles.
Apprenez à identifier les signatures dangereuses : Faites particulièrement attention aux demandes de signature contenant les champs suivants :
Interactive (site web interactif)
Propriétaire(adresse de l'autorisateur)
Spender (adresse de l'autorisé)
Valeur(quantité autorisée)
Nonce (nombre aléatoire)
Date limite
En comprenant les principes et les formes de ces méthodes de phishing, les utilisateurs peuvent mieux protéger leurs actifs numériques. N'oubliez pas que dans le monde de Web3, la sensibilisation à la sécurité et la prudence dans les opérations sont essentielles pour protéger les actifs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
7 J'aime
Récompense
7
3
Partager
Commentaire
0/400
GateUser-afe07a92
· Il y a 17h
Les débutants vont encore en baver.
Voir l'originalRépondre0
DegenApeSurfer
· Il y a 20h
Encore un article sur les conseils de sécurité qui reviennent souvent.
Voir l'originalRépondre0
WenMoon42
· Il y a 20h
Encore des pigeons se sont fait avoir, n'est-ce pas ?
Analyse complète du phishing par signature Web3 : Analyse des principes et guide de protection
Détails sur le phishing par signature Web3 : logique sous-jacente et mesures de prévention
Dans le domaine du Web3, le "phishing par signature" est devenu l'une des méthodes de fraude les plus prisées par les hackers. Bien que de nombreux experts en sécurité et entreprises de portefeuilles s'efforcent d'éduquer le public, un grand nombre d'utilisateurs continuent de subir des pertes chaque jour. Une des principales raisons de cette situation est que la plupart des utilisateurs manquent de compréhension des mécanismes sous-jacents aux interactions avec les portefeuilles, et pour les non-techniciens, la barrière à l'apprentissage des connaissances connexes est assez élevée.
Pour aider davantage de personnes à comprendre ce problème, nous expliquerons la logique sous-jacente du phishing par signature à l'aide d'illustrations et dans un langage simple.
Deux types d'opérations de portefeuille
Lorsque vous utilisez un portefeuille cryptographique, nous effectuons principalement deux opérations : la signature et l'interaction.
La signature est généralement utilisée pour l'authentification, comme se connecter à une application décentralisée (DApp). Ce processus ne modifie pas les données ou l'état sur la blockchain, donc aucun frais n'est requis.
L'interaction implique des opérations réelles sur la blockchain. Par exemple, lors de l'échange de jetons sur un DEX, vous devez d'abord autoriser le contrat intelligent du DEX à utiliser vos jetons (approve), puis effectuer l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.
Méthodes de phishing courantes
1. Phishing autorisé
C'est une technique de phishing classique. Les hackers créent un site Web déguisé en projet normal, incitant les utilisateurs à cliquer sur des boutons tels que "Recevoir l'airdrop". En réalité, lorsque l'utilisateur clique, cela déclenche une opération d'autorisation, permettant aux hackers d'accéder aux tokens de l'utilisateur.
Avantages : opération simple et directe. Inconvénients : Nécessite de payer des frais de Gas, ce qui peut alerter les utilisateurs.
2. Permis de signature de phishing
Le Permit est une fonctionnalité étendue du standard ERC-20, permettant aux utilisateurs d'autoriser d'autres à utiliser leurs jetons via une signature. Les hackers peuvent inciter les utilisateurs à signer un Permit, puis utiliser cette signature pour transférer les actifs de l'utilisateur.
Avantages : Pas besoin pour les utilisateurs de payer des frais de Gas, plus facile à tromper. Inconvénients : ne s'applique qu'aux jetons prenant en charge la fonction Permit.
3. Phishing de signature Permit2
Permit2 est une fonctionnalité lancée par un DEX, visant à simplifier les opérations des utilisateurs. Les utilisateurs peuvent autoriser une grande somme au contrat Permit2 en une seule fois, après quoi chaque transaction ne nécessite qu'une signature, les frais de Gas étant payés par le contrat.
Avantages : large portée d'application, pouvant affecter un grand nombre d'utilisateurs. Inconvénient : nécessite que l'utilisateur ait déjà utilisé ce DEX et autorisé le contrat Permit2.
Mesures de prévention
Développer une conscience de sécurité : vérifiez attentivement l'opération que vous effectuez à chaque fois que vous manipulez votre portefeuille.
Séparation des fonds : Séparer les fonds importants du portefeuille utilisé au quotidien pour réduire les pertes potentielles.
Apprenez à identifier les signatures dangereuses : Faites particulièrement attention aux demandes de signature contenant les champs suivants :
En comprenant les principes et les formes de ces méthodes de phishing, les utilisateurs peuvent mieux protéger leurs actifs numériques. N'oubliez pas que dans le monde de Web3, la sensibilisation à la sécurité et la prudence dans les opérations sont essentielles pour protéger les actifs.