Подробное объяснение фишинга в Web3: базовая логика и меры предосторожности
В области Web3 "подпись-фишинг" стала одной из самых любимых мошеннических схем хакеров. Несмотря на то, что многие эксперты по безопасности и компании, занимающиеся кошельками, постоянно проводят разъяснительные работы, каждый день большое количество пользователей терпят убытки. Одной из основных причин этого является то, что большинство пользователей не понимают основные механизмы взаимодействия с кошельками, а для нетехнических специалистов порог входа для изучения связанных знаний довольно высок.
Чтобы помочь большему числу людей понять эту проблему, мы объясним основные принципы фишинга с помощью подписей в доступной и понятной форме с помощью иллюстраций.
Два типа операций с кошельком
При использовании криптокошелька мы в основном выполняем два типа операций: подпись и взаимодействие.
Подпись: происходит вне блокчейна (вне цепи), не требует оплаты Gas.
Взаимодействие: происходит на блокчейне (в цепи), требуется оплатить газ.
Подпись обычно используется для аутентификации, например, для входа в какое-либо децентрализованное приложение (DApp). Этот процесс не изменяет данные или состояние в блокчейне, поэтому не требуется оплачивать сборы.
Взаимодействие включает в себя реальные операции с блокчейном. Например, при обмене токенов на DEX, вам необходимо сначала разрешить смарт-контракту DEX использовать ваши токены (approve), а затем выполнить фактическую операцию обмена. Обе эти стадии требуют оплаты Gas.
Распространенные способы фишинга
1. Авторизация фишинга
Это классический метод фишинга. Хакеры создают сайт, маскирующийся под нормальный проект, чтобы诱导 пользователей нажать на кнопки типа "Получить аирдроп". На самом деле, после нажатия пользователем происходит авторизация, позволяющая хакерам получить доступ к токенам пользователей.
Преимущества: простота и прямота в управлении.
Недостатки: необходимо платить Gas-су fees, что может вызвать настороженность у пользователей.
2. Разрешение подписывать фишинг
Permit является расширенной функцией стандарта ERC-20, позволяющей пользователям авторизовать других использовать свои токены через подпись. Хакеры могут склонить пользователей подписать Permit, а затем использовать эту подпись для перемещения активов пользователя.
Преимущества: пользователям не нужно платить Gas- сбор, легче обмануть.
Недостатки: подходит только для токенов, поддерживающих функцию Permit.
3. Фишинг с подписями Permit2
Permit2 — это функция, представленная некоторыми DEX, направленная на упрощение операций для пользователей. Пользователи могут единовременно предоставить разрешение на крупную сумму для контракта Permit2, после чего для каждой последующей сделки потребуется только подпись, а газовые расходы оплачиваются контрактом.
Преимущества: широкий диапазон применения, может повлиять на большое количество пользователей.
Недостатки: требуется, чтобы пользователь ранее использовал этот DEX и авторизовал контракт Permit2.
Меры предосторожности
Формирование безопасности: каждый раз, когда вы выполняете операции с кошельком, тщательно проверяйте, какие действия вы выполняете.
Разделение средств: отделите крупные суммы от денег, используемых в повседневной жизни, чтобы снизить потенциальные потери.
Научитесь распознавать опасные подписи: особенно обращайте внимание на запросы подписи, содержащие следующие поля:
Интерактивный(交互网址)
Владелец(адрес уполномоченного лица)
Spender (адрес уполномоченного лица)
Значение(授权数量)
Нонс (случайное число)
Дедлайн(过期时间)
Поняв принципы и проявления этих методов фишинга, пользователи могут лучше защищать свои цифровые активы. Помните, что в мире Web3 осведомленность о безопасности и осторожные действия являются ключом к защите активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
3
Поделиться
комментарий
0/400
GateUser-afe07a92
· 08-03 03:28
новичок пользователи снова столкнутся с трудностями
Полный анализ фишинга с использованием Web3: анализ принципов и руководство по защите
Подробное объяснение фишинга в Web3: базовая логика и меры предосторожности
В области Web3 "подпись-фишинг" стала одной из самых любимых мошеннических схем хакеров. Несмотря на то, что многие эксперты по безопасности и компании, занимающиеся кошельками, постоянно проводят разъяснительные работы, каждый день большое количество пользователей терпят убытки. Одной из основных причин этого является то, что большинство пользователей не понимают основные механизмы взаимодействия с кошельками, а для нетехнических специалистов порог входа для изучения связанных знаний довольно высок.
Чтобы помочь большему числу людей понять эту проблему, мы объясним основные принципы фишинга с помощью подписей в доступной и понятной форме с помощью иллюстраций.
Два типа операций с кошельком
При использовании криптокошелька мы в основном выполняем два типа операций: подпись и взаимодействие.
Подпись обычно используется для аутентификации, например, для входа в какое-либо децентрализованное приложение (DApp). Этот процесс не изменяет данные или состояние в блокчейне, поэтому не требуется оплачивать сборы.
Взаимодействие включает в себя реальные операции с блокчейном. Например, при обмене токенов на DEX, вам необходимо сначала разрешить смарт-контракту DEX использовать ваши токены (approve), а затем выполнить фактическую операцию обмена. Обе эти стадии требуют оплаты Gas.
Распространенные способы фишинга
1. Авторизация фишинга
Это классический метод фишинга. Хакеры создают сайт, маскирующийся под нормальный проект, чтобы诱导 пользователей нажать на кнопки типа "Получить аирдроп". На самом деле, после нажатия пользователем происходит авторизация, позволяющая хакерам получить доступ к токенам пользователей.
Преимущества: простота и прямота в управлении. Недостатки: необходимо платить Gas-су fees, что может вызвать настороженность у пользователей.
2. Разрешение подписывать фишинг
Permit является расширенной функцией стандарта ERC-20, позволяющей пользователям авторизовать других использовать свои токены через подпись. Хакеры могут склонить пользователей подписать Permit, а затем использовать эту подпись для перемещения активов пользователя.
Преимущества: пользователям не нужно платить Gas- сбор, легче обмануть. Недостатки: подходит только для токенов, поддерживающих функцию Permit.
3. Фишинг с подписями Permit2
Permit2 — это функция, представленная некоторыми DEX, направленная на упрощение операций для пользователей. Пользователи могут единовременно предоставить разрешение на крупную сумму для контракта Permit2, после чего для каждой последующей сделки потребуется только подпись, а газовые расходы оплачиваются контрактом.
Преимущества: широкий диапазон применения, может повлиять на большое количество пользователей. Недостатки: требуется, чтобы пользователь ранее использовал этот DEX и авторизовал контракт Permit2.
Меры предосторожности
Формирование безопасности: каждый раз, когда вы выполняете операции с кошельком, тщательно проверяйте, какие действия вы выполняете.
Разделение средств: отделите крупные суммы от денег, используемых в повседневной жизни, чтобы снизить потенциальные потери.
Научитесь распознавать опасные подписи: особенно обращайте внимание на запросы подписи, содержащие следующие поля:
Поняв принципы и проявления этих методов фишинга, пользователи могут лучше защищать свои цифровые активы. Помните, что в мире Web3 осведомленность о безопасности и осторожные действия являются ключом к защите активов.