Explicação detalhada sobre phishing de assinatura Web3: lógica subjacente e medidas de prevenção
No domínio do Web3, "phishing por assinatura" tornou-se uma das táticas de fraude favoritas dos hackers. Embora muitos especialistas em segurança e empresas de carteiras estejam constantemente educando o público, ainda há um grande número de usuários que sofre perdas diariamente. Uma das principais razões para isso é que a maioria dos usuários carece de compreensão sobre os mecanismos subjacentes da interação com carteiras, e para os não-técnicos, a barreira de aprendizado do conhecimento relacionado é bastante alta.
Para ajudar mais pessoas a entender este problema, vamos explicar a lógica subjacente da pesca por assinatura de uma forma gráfica, utilizando uma linguagem simples e fácil de entender.
Dois tipos de operações de carteira
Ao usar uma carteira de criptomoedas, realizamos principalmente duas operações: assinatura e interação.
Assinatura: ocorre fora da blockchain (off-chain), não necessita de pagamento de taxa de Gas.
Interação: ocorre na blockchain (on-chain), requer pagamento de taxa de Gas.
A assinatura é geralmente usada para autenticação, como ao fazer login em uma aplicação descentralizada (DApp). Esse processo não altera os dados ou o estado na blockchain, portanto, não há necessidade de pagar taxas.
A interação envolve operações reais na blockchain. Por exemplo, ao realizar a troca de tokens em um DEX, você precisa primeiro autorizar o contrato inteligente do DEX a usar seus tokens (approve), e então executar a operação de troca real. Ambas as etapas requerem o pagamento de taxas de Gas.
Métodos Comuns de Phishing
1. Phishing autorizado
Esta é uma técnica clássica de phishing. Os hackers criam um site disfarçado como um projeto normal, induzindo os usuários a clicar em botões como "Receber airdrop". Na verdade, ao clicar, o usuário acionará uma operação de autorização que permitirá aos hackers acessar os tokens do usuário.
Vantagens: operação simples e direta.
Desvantagens: é necessário pagar a taxa de Gas, o que pode despertar a atenção dos usuários.
2. Permissão de assinatura de phishing
Permit é uma funcionalidade de extensão do padrão ERC-20, que permite aos usuários autorizar outros a usar seus tokens através de uma assinatura. Hackers podem induzir os usuários a assinar um Permit e, em seguida, usar essa assinatura para transferir os ativos do usuário.
Vantagens: não é necessário que os usuários paguem taxas de Gas, é mais fácil de enganar.
Desvantagens: apenas aplicável a tokens que suportam a funcionalidade Permit.
3. Permissão2 assinatura phishing
Permit2 é uma funcionalidade lançada por uma DEX, destinada a simplificar as operações dos usuários. Os usuários podem autorizar um grande montante de uma só vez ao contrato Permit2, e em seguida, para cada transação, basta assinar, com as taxas de Gas sendo pagas pelo contrato.
Vantagens: Ampla aplicabilidade, pode afetar um grande número de usuários.
Desvantagens: é necessário que o utilizador tenha utilizado anteriormente essa DEX e autorizado o contrato Permit2.
Medidas de prevenção
Desenvolver a consciência de segurança: a cada operação da carteira, verifique cuidadosamente a operação que está a realizar.
Separação de fundos: separar grandes quantias de dinheiro da carteira usada no dia a dia, reduzindo as perdas potenciais.
Aprenda a identificar assinaturas perigosas: preste atenção especial às solicitações de assinatura que contêm os seguintes campos:
Interativo(交互网址)
Proprietário(endereço do autorizador)
Spender (endereço autorizado)
Valor(授权数量)
Nonce (número aleatório)
Prazo (data de expiração)
Ao entender os princípios e as formas de atuação desses métodos de phishing, os usuários podem proteger melhor os seus ativos digitais. Lembre-se, no mundo Web3, a consciência de segurança e a operação cautelosa são fundamentais para proteger os ativos.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
7 Curtidas
Recompensa
7
3
Compartilhar
Comentário
0/400
GateUser-afe07a92
· 17h atrás
novato usuário novamente vai sofrer
Ver originalResponder0
DegenApeSurfer
· 20h atrás
Mais uma vez, um conselho de segurança que já foi muito discutido.
Análise completa da Phishing de assinaturas Web3: Análise dos princípios e guia de proteção
Explicação detalhada sobre phishing de assinatura Web3: lógica subjacente e medidas de prevenção
No domínio do Web3, "phishing por assinatura" tornou-se uma das táticas de fraude favoritas dos hackers. Embora muitos especialistas em segurança e empresas de carteiras estejam constantemente educando o público, ainda há um grande número de usuários que sofre perdas diariamente. Uma das principais razões para isso é que a maioria dos usuários carece de compreensão sobre os mecanismos subjacentes da interação com carteiras, e para os não-técnicos, a barreira de aprendizado do conhecimento relacionado é bastante alta.
Para ajudar mais pessoas a entender este problema, vamos explicar a lógica subjacente da pesca por assinatura de uma forma gráfica, utilizando uma linguagem simples e fácil de entender.
Dois tipos de operações de carteira
Ao usar uma carteira de criptomoedas, realizamos principalmente duas operações: assinatura e interação.
A assinatura é geralmente usada para autenticação, como ao fazer login em uma aplicação descentralizada (DApp). Esse processo não altera os dados ou o estado na blockchain, portanto, não há necessidade de pagar taxas.
A interação envolve operações reais na blockchain. Por exemplo, ao realizar a troca de tokens em um DEX, você precisa primeiro autorizar o contrato inteligente do DEX a usar seus tokens (approve), e então executar a operação de troca real. Ambas as etapas requerem o pagamento de taxas de Gas.
Métodos Comuns de Phishing
1. Phishing autorizado
Esta é uma técnica clássica de phishing. Os hackers criam um site disfarçado como um projeto normal, induzindo os usuários a clicar em botões como "Receber airdrop". Na verdade, ao clicar, o usuário acionará uma operação de autorização que permitirá aos hackers acessar os tokens do usuário.
Vantagens: operação simples e direta. Desvantagens: é necessário pagar a taxa de Gas, o que pode despertar a atenção dos usuários.
2. Permissão de assinatura de phishing
Permit é uma funcionalidade de extensão do padrão ERC-20, que permite aos usuários autorizar outros a usar seus tokens através de uma assinatura. Hackers podem induzir os usuários a assinar um Permit e, em seguida, usar essa assinatura para transferir os ativos do usuário.
Vantagens: não é necessário que os usuários paguem taxas de Gas, é mais fácil de enganar. Desvantagens: apenas aplicável a tokens que suportam a funcionalidade Permit.
3. Permissão2 assinatura phishing
Permit2 é uma funcionalidade lançada por uma DEX, destinada a simplificar as operações dos usuários. Os usuários podem autorizar um grande montante de uma só vez ao contrato Permit2, e em seguida, para cada transação, basta assinar, com as taxas de Gas sendo pagas pelo contrato.
Vantagens: Ampla aplicabilidade, pode afetar um grande número de usuários. Desvantagens: é necessário que o utilizador tenha utilizado anteriormente essa DEX e autorizado o contrato Permit2.
Medidas de prevenção
Desenvolver a consciência de segurança: a cada operação da carteira, verifique cuidadosamente a operação que está a realizar.
Separação de fundos: separar grandes quantias de dinheiro da carteira usada no dia a dia, reduzindo as perdas potenciais.
Aprenda a identificar assinaturas perigosas: preste atenção especial às solicitações de assinatura que contêm os seguintes campos:
Ao entender os princípios e as formas de atuação desses métodos de phishing, os usuários podem proteger melhor os seus ativos digitais. Lembre-se, no mundo Web3, a consciência de segurança e a operação cautelosa são fundamentais para proteger os ativos.