- Rubrique
74k Popularité
29k Popularité
9k Popularité
4k Popularité
4k Popularité
29k Popularité
16k Popularité
22k Popularité
12k Popularité
2k Popularité
- Épingler
74k Popularité
29k Popularité
9k Popularité
4k Popularité
4k Popularité
29k Popularité
16k Popularité
22k Popularité
12k Popularité
2k Popularité
Analyse du phishing par signature Web3 : comprendre les principes pour améliorer la sécurité des actifs
La signature de phishing devient le moyen de fraude préféré des hackers dans le Web3. Bien que les experts de l'industrie continuent de promouvoir des connaissances à ce sujet, un grand nombre d'utilisateurs se font toujours avoir chaque jour. Une des raisons importantes de cette situation est que la plupart des gens ne comprennent pas la logique sous-jacente des interactions avec le portefeuille, et pour les non-techniciens, la barrière d'apprentissage est assez élevée.
Pour permettre à un plus grand nombre de personnes de comprendre le principe du phishing par signature, nous allons essayer d'expliquer sa logique sous-jacente de manière simple et accessible.
Tout d'abord, nous devons comprendre qu'il y a principalement deux opérations lors de l'utilisation d'un Portefeuille : "signature" et "interaction". En termes simples, la signature se produit hors de la blockchain ( en dehors de la chaîne ), sans avoir besoin de payer de frais de Gas ; tandis que l'interaction se produit sur la blockchain ( sur la chaîne ), nécessitant le paiement de frais de Gas.
La signature est généralement utilisée pour l'authentification, par exemple pour se connecter à un portefeuille. Par exemple, lorsque vous souhaitez échanger des jetons sur un DEX, vous devez d'abord connecter votre portefeuille. À ce moment-là, vous devez signer pour prouver que vous êtes le propriétaire de ce portefeuille. Cette étape n'aura aucun impact sur la blockchain, donc il n'est pas nécessaire de payer des frais.
L'interaction se produit lors de l'échange réel de jetons. Vous devez d'abord payer des frais et informer le contrat intelligent DEX : "Je veux échanger 100 USDT contre un jeton, je vous autorise à utiliser mes 100 USDT". Cette étape s'appelle l'autorisation (approve). Ensuite, vous devez encore payer des frais pour informer le contrat intelligent : "Je suis maintenant prêt à échanger 100 USDT contre un jeton, vous pouvez exécuter l'opération". Cela complète l'échange de jetons.
Après avoir compris la différence entre la signature et l'interaction, nous allons introduire trois types communs de phishing : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
L'hameçonnage par autorisation est l'une des méthodes de fraude les plus classiques des débuts du Web3. Un hacker va créer un site de phishing déguisé en projet NFT, incitant les utilisateurs à cliquer sur le bouton "Recevoir l'airdrop". En réalité, l'interface de portefeuille qui s'affiche après que l'utilisateur ait cliqué demande l'autorisation de transférer des jetons vers l'adresse du hacker. Une fois que l'utilisateur confirme, le hacker peut réussir à voler des actifs.
Cependant, le phishing autorisé présente un problème : en raison des frais de Gas, de nombreux utilisateurs sont plus vigilants lors des opérations financières, ce qui le rend relativement facile à prévenir.
Les signatures de phishing Permit et Permit2 sont actuellement des zones de catastrophe dans le domaine de la sécurité des actifs Web3. La raison pour laquelle il est difficile de se protéger est que les utilisateurs doivent signer pour se connecter à leur Portefeuille chaque fois qu'ils utilisent une DApp. Beaucoup de gens ont développé une pensée habituelle, pensant que cette opération est sécurisée. De plus, comme il n'est pas nécessaire de payer de frais, et que la plupart des gens ne comprennent pas la signification de chaque signature, cette méthode de phishing devient encore plus trompeuse.
Le mécanisme Permit est une fonctionnalité d'extension de l'autorisation sous le standard ERC-20. En termes simples, vous pouvez autoriser quelqu'un d'autre à déplacer vos jetons par une signature. Contrairement à une autorisation ordinaire, Permit vous permet de signer sur un "papier" pour indiquer "je permets à quelqu'un de déplacer mes xxx jetons". La personne qui détient ce "papier" peut payer les frais de Gas au contrat intelligent, en informant le contrat : "il me permet de déplacer ses xxx jetons". Dans ce processus, vous avez simplement signé, mais en réalité, vous avez autorisé quelqu'un d'autre à appeler la fonction approve et à transférer vos jetons. Les hackers peuvent créer des sites de phishing, remplaçant le bouton de connexion au portefeuille par un phishing Permit, facilitant ainsi le vol des actifs des utilisateurs.
Permit2 n'est pas une fonctionnalité d'ERC-20, mais une fonctionnalité lancée par un certain DEX pour faciliter l'utilisation par les utilisateurs. Elle permet aux utilisateurs d'autoriser un montant élevé en une seule fois, puis chaque échange nécessite uniquement une signature, avec le contrat Permit2 qui paie les frais de Gas (déduits du token échangé final). Cependant, pour être victime de phishing avec Permit2, il faut que l'utilisateur ait déjà utilisé ce DEX et ait autorisé un montant illimité au contrat intelligent Permit2. Étant donné que l'opération par défaut de ce DEX est l'autorisation d'un montant illimité, le nombre d'utilisateurs satisfaisant cette condition est assez élevé.
En résumé, la pêche à l'autorisation consiste essentiellement à ce que l'utilisateur dépense de l'argent pour dire au contrat intelligent : "Je t'autorise à donner mes jetons au Hacker". La pêche par signature, quant à elle, consiste à ce que l'utilisateur signe un "billet" permettant à d'autres de déplacer des actifs au Hacker, qui dépense ensuite de l'argent pour dire au contrat intelligent : "Je veux transférer ses jetons à moi".
Pour prévenir ces attaques de phishing, nous pouvons prendre les mesures suivantes :
Développez une conscience de la sécurité, vérifiez attentivement le contenu spécifique chaque fois que vous effectuez une opération sur le Portefeuille.
Séparez les fonds importants de votre Portefeuille utilisé au quotidien pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2. Soyez particulièrement vigilant lorsque vous voyez le format de signature suivant :
En comprenant les principes et les mesures de prévention de ces techniques de phishing, nous pouvons mieux protéger la sécurité de nos actifs numériques.