- Tema
57k Popularidad
17k Popularidad
5k Popularidad
3k Popularidad
4k Popularidad
29k Popularidad
16k Popularidad
22k Popularidad
12k Popularidad
2k Popularidad
- Anclado
57k Popularidad
17k Popularidad
5k Popularidad
3k Popularidad
4k Popularidad
29k Popularidad
16k Popularidad
22k Popularidad
12k Popularidad
2k Popularidad
Revelando el principio del phishing en Web3: Análisis completo de la lógica subyacente y las medidas de prevención.
Principios subyacentes de la pesca de firmas en Web3 y medidas de prevención
Recientemente, el "phishing por firma" se ha convertido en uno de los métodos de estafa más utilizados por los hackers en Web3. A pesar de que los expertos en seguridad y las compañías de billeteras continúan promoviendo el conocimiento relacionado, cada día muchos usuarios caen en la trampa. Una de las razones importantes de esto es que la mayoría de las personas carecen de comprensión sobre la lógica subyacente de la interacción con las billeteras, y para las personas no técnicas, la barrera de aprendizaje es bastante alta.
Para ayudar a más personas a entender este problema, este artículo analizará la lógica subyacente del phishing de firmas de una manera sencilla y comprensible.
Dos tipos básicos de operaciones de billetera
Al usar una billetera de criptomonedas, principalmente tenemos dos tipos de operaciones: "firma" e "interacción".
La firma se utiliza generalmente para la autenticación de identidad, como iniciar sesión en una billetera o conectarse a un DApp. Este proceso no cambia ningún dato o estado en la cadena de bloques, por lo que no se requiere gasto.
La interacción implica operaciones reales en la blockchain. Por ejemplo, al intercambiar tokens en un DEX, primero necesitas autorizar al contrato inteligente para usar tus tokens (approve), y luego ejecutar la operación de intercambio real. Ambos pasos requieren el pago de tarifas de Gas.
Métodos comunes de phishing
1. Phishing autorizado
Esta es una técnica tradicional de phishing en Web3. Los hackers suelen crear un sitio web que se disfraza como un proyecto legítimo, engañando a los usuarios para que hagan clic en botones como "reclamar airdrop". En realidad, al hacer clic, se les pedirá a los usuarios que autoricen (approve) la dirección del hacker a utilizar sus tokens.
Aunque este método requiere el pago de tarifas de Gas, aún hay usuarios que pueden caer en la trampa sin querer.
2. Permiso de firma de phishing
Permit es una función de extensión del estándar ERC-20 que permite a los usuarios aprobar a otros para usar sus tokens a través de una firma. A diferencia de la autorización tradicional, Permit no requiere que el usuario pague tarifas de Gas.
Los hackers pueden aprovechar este mecanismo para inducir a los usuarios a firmar un mensaje que parece inofensivo, pero que en realidad autoriza a los hackers a usar el Permiso de los tokens del usuario.
3. Phishing de firma Permit2
Permit2 es una función lanzada por un DEX, diseñada para simplificar las operaciones del usuario y ahorrar en costos de Gas. Los usuarios pueden autorizar una gran cantidad a un contrato inteligente de Permit2 de una sola vez, y luego, en cada transacción, solo necesitan firmar; los costos de Gas son pagados por el contrato (deducidos de los tokens intercambiados al final).
Sin embargo, esto también proporciona nuevas vías de ataque para los hackers. Si el usuario ha utilizado alguna vez este DEX y ha autorizado un límite infinito al contrato Permit2, los hackers pueden inducir al usuario a firmar para transferir los tokens del usuario.
Medidas de prevención
Aumentar la conciencia de seguridad: cada vez que realices operaciones en la billetera, debes revisar cuidadosamente la operación específica que estás realizando.
Separación de fondos: separar grandes sumas de dinero de la billetera que se utiliza a diario para reducir las pérdidas potenciales.
Aprende a reconocer el formato de firma de Permit y Permit2: cuando veas una solicitud de firma que contenga la siguiente información, presta especial atención:
Al comprender estos mecanismos subyacentes y tomar las precauciones adecuadas, los usuarios pueden reducir significativamente el riesgo de convertirse en víctimas de phishing de firmas. En el mundo de Web3, mantenerse alerta y aprender de manera continua es clave para proteger sus activos.