Детальний аналіз фішингу у Web3: базова логіка та заходи запобігання
У сфері Web3 "фішинг через підпис" став одним з найулюбленіших методів шахрайства серед хакерів. Незважаючи на те, що багато експертів з безпеки та компаній, які займаються гаманцями, постійно займаються просвітою, щодня велика кількість користувачів зазнає втрат. Однією з основних причин цього є те, що більшість користувачів не розуміють основні механізми взаємодії з гаманцями, а для нетехнічних осіб поріг навчання відповідним знанням є досить високим.
Щоб допомогти більшій кількості людей зрозуміти це питання, ми пояснимо основну логіку підписного фішингу за допомогою ілюстрацій та зрозумілої мови.
Два типи операцій з гаманцем
При використанні криптогаманця ми в основному виконуємо дві операції: підписання та взаємодію.
Підпис: відбувається поза блокчейном (поза ланцюгом), не потребує сплати газового збору.
Взаємодія: відбувається в блокчейні (в мережі), потрібно сплатити Gas-витрати.
Підпис зазвичай використовується для автентифікації, наприклад, при вході в певний децентралізований додаток (DApp). Цей процес не змінює дані або стан в блокчейні, тому плата не потрібна.
Взаємодія включає в себе фактичні операції з блокчейном. Наприклад, під час обміну токенів на певному DEX, вам спочатку потрібно надати дозвіл смарт-контракту DEX на використання ваших токенів (approve), а потім виконати фактичну операцію обміну. Обидва етапи потребують сплати Gas-кошту.
Поширені способи фішингу
1. Авторизаційна риболовля
Це класичний метод риболовлі. Хакери створюють веб-сайт, що маскується під нормальний проект, спонукаючи користувачів натискати кнопки "Отримати аерозоль" та інші. Насправді, після натискання, користувач ініціює операцію авторизації, яка дозволяє хакерам отримати доступ до токенів користувача.
Переваги: простота та прямолінійність у використанні.
Недоліки: потрібно сплачувати Gas-кошти, що може насторожити користувачів.
2. Дозвіл підписування фішинг
Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам через підпис уповноважувати інших використовувати свої токени. Хакери можуть спонукати користувачів підписати Permit, а потім використовувати цей підпис для переміщення активів користувача.
Переваги: не потрібно, щоб користувачі сплачували Gas-кошти, легше обманути.
Недоліки: підходить лише для токенів, що підтримують функцію Permit.
3. Фішинг підпису Permit2
Permit2 - це функція, яку запровадила певна DEX, спрямована на спрощення дій користувачів. Користувачі можуть одноразово надати велику суму дозволу контракту Permit2, після чого для кожної угоди достатньо буде підпису, а витрати на Gas покриває контракт.
Переваги: широкий діапазон застосування, може вплинути на велику кількість користувачів.
Недолік: потрібно, щоб користувач раніше користувався цим DEX і надав дозвіл на контракт Permit2.
Заходи запобігання
Виховуйте свідомість безпеки: кожного разу, коли ви виконуєте операції з гаманцем, уважно перевіряйте, які дії ви виконуєте.
Розділення коштів: відокремте великі суми від щоденного гаманця, щоб зменшити потенційні втрати.
Навчіться розпізнавати небезпечні підписи: особливо звертайте увагу на запити підпису, які містять такі поля:
Інтерактивний(交互网址)
Власник(адреса уповноваженої особи)
Spender (адреса уповноваженої особи)
Значення(授权数量)
Нонси (випадкове число)
Крайній термін(过期时间)
Зрозумівши принципи та форми прояву цих способів фішингу, користувачі можуть краще захистити свої цифрові активи. Пам'ятайте, що у світі Web3 усвідомленість щодо безпеки та обережні дії є ключем до захисту активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Всі аспекти веб3-риболовлі на підписах: аналіз принципів та посібник із захисту
Детальний аналіз фішингу у Web3: базова логіка та заходи запобігання
У сфері Web3 "фішинг через підпис" став одним з найулюбленіших методів шахрайства серед хакерів. Незважаючи на те, що багато експертів з безпеки та компаній, які займаються гаманцями, постійно займаються просвітою, щодня велика кількість користувачів зазнає втрат. Однією з основних причин цього є те, що більшість користувачів не розуміють основні механізми взаємодії з гаманцями, а для нетехнічних осіб поріг навчання відповідним знанням є досить високим.
Щоб допомогти більшій кількості людей зрозуміти це питання, ми пояснимо основну логіку підписного фішингу за допомогою ілюстрацій та зрозумілої мови.
Два типи операцій з гаманцем
При використанні криптогаманця ми в основному виконуємо дві операції: підписання та взаємодію.
Підпис зазвичай використовується для автентифікації, наприклад, при вході в певний децентралізований додаток (DApp). Цей процес не змінює дані або стан в блокчейні, тому плата не потрібна.
Взаємодія включає в себе фактичні операції з блокчейном. Наприклад, під час обміну токенів на певному DEX, вам спочатку потрібно надати дозвіл смарт-контракту DEX на використання ваших токенів (approve), а потім виконати фактичну операцію обміну. Обидва етапи потребують сплати Gas-кошту.
Поширені способи фішингу
1. Авторизаційна риболовля
Це класичний метод риболовлі. Хакери створюють веб-сайт, що маскується під нормальний проект, спонукаючи користувачів натискати кнопки "Отримати аерозоль" та інші. Насправді, після натискання, користувач ініціює операцію авторизації, яка дозволяє хакерам отримати доступ до токенів користувача.
Переваги: простота та прямолінійність у використанні. Недоліки: потрібно сплачувати Gas-кошти, що може насторожити користувачів.
2. Дозвіл підписування фішинг
Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам через підпис уповноважувати інших використовувати свої токени. Хакери можуть спонукати користувачів підписати Permit, а потім використовувати цей підпис для переміщення активів користувача.
Переваги: не потрібно, щоб користувачі сплачували Gas-кошти, легше обманути. Недоліки: підходить лише для токенів, що підтримують функцію Permit.
3. Фішинг підпису Permit2
Permit2 - це функція, яку запровадила певна DEX, спрямована на спрощення дій користувачів. Користувачі можуть одноразово надати велику суму дозволу контракту Permit2, після чого для кожної угоди достатньо буде підпису, а витрати на Gas покриває контракт.
Переваги: широкий діапазон застосування, може вплинути на велику кількість користувачів. Недолік: потрібно, щоб користувач раніше користувався цим DEX і надав дозвіл на контракт Permit2.
Заходи запобігання
Виховуйте свідомість безпеки: кожного разу, коли ви виконуєте операції з гаманцем, уважно перевіряйте, які дії ви виконуєте.
Розділення коштів: відокремте великі суми від щоденного гаманця, щоб зменшити потенційні втрати.
Навчіться розпізнавати небезпечні підписи: особливо звертайте увагу на запити підпису, які містять такі поля:
Зрозумівши принципи та форми прояву цих способів фішингу, користувачі можуть краще захистити свої цифрові активи. Пам'ятайте, що у світі Web3 усвідомленість щодо безпеки та обережні дії є ключем до захисту активів.