Web3'te İmza Phishing: İlkeler ve Önleme Yöntemleri
Son zamanlarda, "imza oltası" Web3 korsanları tarafından en çok tercih edilen dolandırıcılık yöntemlerinden biri haline geldi. Güvenlik uzmanları ve cüzdan şirketleri sürekli olarak farkındalık yaratmaya çalışsalar da, her gün birçok kullanıcı mağdur olmaya devam ediyor. Bu fenomenin başlıca nedenlerinden biri, çoğu kişinin cüzdan etkileşimlerinin temel mantığını anlamaması ve teknik olmayan kişilerin öğrenme eşiğinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, bu yazı imza phishing'inin temel mantığını anlaşılır bir şekilde açıklayacaktır.
Cüzdan işlemleri için iki yöntem
Web3 cüzdanını kullanırken, temel olarak iki tür işlemimiz var: "imza" ve "etkileşim".
İmza: Blok zinciri dışında (off-chain) gerçekleşir, Gas ücreti ödemez.
Etkileşim: Blockchain üzerinde (on-chain) gerçekleşir, Gas ücreti ödenmesi gerekmektedir.
İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yapmak veya DApp'e bağlanmak. Bu işlem, blok zinciri verilerini etkilemez, bu nedenle herhangi bir ücret ödemeniz gerekmez.
Etkileşim, gerçek blockchain işlemlerini içerir. Örneğin, belirli bir DEX'te token takası yaparken önce akıllı sözleşmeye token'larınızı kullanması için yetki vermeniz (approve) gerekir, ardından gerçek takas işlemini gerçekleştirmeniz gerekir. Bu iki adım da Gas ücreti ödemeyi gerektirir.
Yaygın Phishing Yöntemleri
1. Yetki Phishing
Bu, geleneksel bir Web3 oltalama yöntemidir. Hacker, meşru görünen bir web sitesi oluşturur ve kullanıcıları yetkilendirme işlemleri yapmaya teşvik eder. Kullanıcılar "Airdrop al" gibi butonlara tıkladığında, aslında hacker adresine kendi token'larını kullanma yetkisi vermektedir.
2. Permit imza oltalama
Permit, ERC-20 standardının bir genişletme özelliğidir ve kullanıcıların imza ile başkalarına kendi token'larını kullanma izni vermesine olanak tanır. Hackerlar, kullanıcıları bu tür bir izni imzalamaya ikna edebilir ve ardından bu imzayı kullanarak kullanıcıların varlıklarını transfer edebilir.
3. Permit2 imza oltası
Permit2, kullanıcı işlemlerini basitleştirmek için bazı DEX'ler tarafından sunulan bir özelliktir. Kullanıcıların bir kez yüksek bir yetki vermesine izin verir, ardından yalnızca imza atarak işlem yapabilirler. Ancak, kullanıcı daha önce bu DEX'i kullanmış ve sınırsız yetki vermişse, bir hacker bu mekanizmayı kullanarak kullanıcının varlıklarını transfer edebilir.
Önlemler
Güvenlik bilincini geliştirin: Cüzdan işlemleri yaparken, gerçekleştirdiğiniz işlemi dikkatlice kontrol edin.
Varlık ayrımı: Büyük miktardaki fonları günlük kullanılan cüzdanlardan ayırarak olası kayıpları azaltın.
Permit ve Permit2 imza formatlarını tanımayı öğrenin: Aşağıdaki alanları içeren imza taleplerine dikkat edin:
Etkileşimli(交互网址)
Sahibi(Yetki Veren Adres)
Harcayan (Yetkilendirilmiş taraf adresi)
Değer (Yetkilendirme Miktarı)
Nonce (Rasgele Sayı)
Son Tarih(过期时间)
Bu oltalama yöntemlerinin prensiplerini anlamak ve uygun önlemler almak yoluyla, kullanıcılar dijital varlıklarının güvenliğini daha iyi koruyabilirler. Web3 dünyasında, dikkatli olmak ve sürekli öğrenmek son derece önemlidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
11 Likes
Reward
11
6
Repost
Share
Comment
0/400
GasOptimizer
· 08-09 19:28
gas ücreti gitmesi sorun değil, ama oltaya gelmek işte o zaman iş biter.
View OriginalReply0
LeverageAddict
· 08-09 18:30
Borç almayı sevenler buraya~ Yine zarardayım, ağlıyorum.
View OriginalReply0
rugpull_survivor
· 08-09 18:28
Yine sorabilir miyim? Herkes çok dolandırıldı.
View OriginalReply0
Token_Sherpa
· 08-09 18:28
of... bir hafta daha, bir noob tuzağı daha. insanlar ne zaman rtfm okumayı öğrenecek smh
View OriginalReply0
SurvivorshipBias
· 08-09 18:25
Cüzdanlar boşaldıktan sonra bu işe bakmayı biliyoruz.
Web3 İmza Phishing Tüm Analizi: Prensip Analizi ve Önleme Stratejileri
Web3'te İmza Phishing: İlkeler ve Önleme Yöntemleri
Son zamanlarda, "imza oltası" Web3 korsanları tarafından en çok tercih edilen dolandırıcılık yöntemlerinden biri haline geldi. Güvenlik uzmanları ve cüzdan şirketleri sürekli olarak farkındalık yaratmaya çalışsalar da, her gün birçok kullanıcı mağdur olmaya devam ediyor. Bu fenomenin başlıca nedenlerinden biri, çoğu kişinin cüzdan etkileşimlerinin temel mantığını anlamaması ve teknik olmayan kişilerin öğrenme eşiğinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, bu yazı imza phishing'inin temel mantığını anlaşılır bir şekilde açıklayacaktır.
Cüzdan işlemleri için iki yöntem
Web3 cüzdanını kullanırken, temel olarak iki tür işlemimiz var: "imza" ve "etkileşim".
İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yapmak veya DApp'e bağlanmak. Bu işlem, blok zinciri verilerini etkilemez, bu nedenle herhangi bir ücret ödemeniz gerekmez.
Etkileşim, gerçek blockchain işlemlerini içerir. Örneğin, belirli bir DEX'te token takası yaparken önce akıllı sözleşmeye token'larınızı kullanması için yetki vermeniz (approve) gerekir, ardından gerçek takas işlemini gerçekleştirmeniz gerekir. Bu iki adım da Gas ücreti ödemeyi gerektirir.
Yaygın Phishing Yöntemleri
1. Yetki Phishing
Bu, geleneksel bir Web3 oltalama yöntemidir. Hacker, meşru görünen bir web sitesi oluşturur ve kullanıcıları yetkilendirme işlemleri yapmaya teşvik eder. Kullanıcılar "Airdrop al" gibi butonlara tıkladığında, aslında hacker adresine kendi token'larını kullanma yetkisi vermektedir.
2. Permit imza oltalama
Permit, ERC-20 standardının bir genişletme özelliğidir ve kullanıcıların imza ile başkalarına kendi token'larını kullanma izni vermesine olanak tanır. Hackerlar, kullanıcıları bu tür bir izni imzalamaya ikna edebilir ve ardından bu imzayı kullanarak kullanıcıların varlıklarını transfer edebilir.
3. Permit2 imza oltası
Permit2, kullanıcı işlemlerini basitleştirmek için bazı DEX'ler tarafından sunulan bir özelliktir. Kullanıcıların bir kez yüksek bir yetki vermesine izin verir, ardından yalnızca imza atarak işlem yapabilirler. Ancak, kullanıcı daha önce bu DEX'i kullanmış ve sınırsız yetki vermişse, bir hacker bu mekanizmayı kullanarak kullanıcının varlıklarını transfer edebilir.
Önlemler
Güvenlik bilincini geliştirin: Cüzdan işlemleri yaparken, gerçekleştirdiğiniz işlemi dikkatlice kontrol edin.
Varlık ayrımı: Büyük miktardaki fonları günlük kullanılan cüzdanlardan ayırarak olası kayıpları azaltın.
Permit ve Permit2 imza formatlarını tanımayı öğrenin: Aşağıdaki alanları içeren imza taleplerine dikkat edin:
Bu oltalama yöntemlerinin prensiplerini anlamak ve uygun önlemler almak yoluyla, kullanıcılar dijital varlıklarının güvenliğini daha iyi koruyabilirler. Web3 dünyasında, dikkatli olmak ve sürekli öğrenmek son derece önemlidir.