This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Web3署名フィッシングの解析:原理を把握して資産の安全性を高める意識
署名フィッシングはWeb3ハッカーが最も好む詐欺手法となっています。業界の専門家が関連知識を広め続けているにもかかわらず、毎日多くのユーザーが騙されています。この状況の一因は、大多数の人々がウォレットのインタラクションの基本的な論理を理解しておらず、非技術者にとって学習のハードルが高いことです。
より多くの人に署名フィッシングの原理を理解してもらうために、私たちはその基本的な論理をわかりやすい方法で説明しようとしています。
まず、ウォレットを使用する際には主に二つの操作があることを理解する必要があります:"署名"と"インタラクション"。簡単に言うと、署名はブロックチェーンの外部(オフチェーン)で発生し、Gas代を支払う必要はありません。一方、インタラクションはブロックチェーン上(オンチェーン)で発生し、Gas代を支払う必要があります。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
署名は通常、ウォレットにログインするなどの認証に使用されます。たとえば、DEXでトークンを交換する場合、最初にウォレットを接続する必要があります。この時、あなたはそのウォレットの所有者であることを証明するために署名をする必要があります。このステップはブロックチェーンに影響を及ぼすことはないため、手数料を支払う必要はありません。
そして、インタラクションは実際にトークンを交換する際に発生します。最初に手数料を支払い、DEXのスマートコントラクトに「100USDTを使って1つのトークンを交換したい、私の100USDTを使用することを許可します」と伝えます。このステップは承認(approve)と呼ばれます。次に、もう一度手数料を支払い、スマートコントラクトに「今、100USDTを使って1つのトークンを交換したい、操作を実行できます」と伝える必要があります。これでトークンの交換が完了します。
署名とインタラクションの違いを理解した後、一般的なフィッシングの3つの方法を紹介します:承認フィッシング、Permit署名フィッシング、Permit2署名フィッシング。
権限フィッシングはWeb3初期の最もクラシックな詐欺手法の一つです。ハッカーはNFTプロジェクトを装ったフィッシングサイトを作成し、ユーザーに「エアドロップを受け取る」ボタンをクリックさせようとします。実際には、ユーザーがクリックするとポップアップするウォレット画面は、ハッカーのアドレスにトークンを転送する権限を要求しています。ユーザーが確認すると、ハッカーは資産を成功裏に盗むことができます。
しかし、承認フィッシングには問題があります。Gas代を支払う必要があるため、多くのユーザーは資金操作に関与する際により警戒し、比較的防ぎやすくなります。
PermitとPermit2の署名フィッシングは、現在のWeb3資産の安全性において深刻な問題です。防止が難しい理由は、ユーザーがDAppを使用するたびにウォレットに署名してログインする必要があるからです。多くの人がこの操作は安全だと考える習慣を身につけています。さらに、費用を支払う必要がなく、ほとんどの人が各署名の背後にある意味を理解していないため、このフィッシング手法はより欺瞞的です。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
PermitメカニズムはERC-20標準における承認の拡張機能です。簡単に言えば、あなたはサインを通じて他者にあなたのトークンを移動させることを許可できます。通常の承認とは異なり、Permitでは「私は誰かに私のxxx数量のトークンを移動させることを許可します」と示す「条子」にサインをすることができます。この「条子」を持っている人は、スマートコントラクトに対してガス代を支払い、「彼は私が彼のxxx数量のトークンを移動させることを許可します」と契約に知らせることができます。このプロセスでは、あなたはただサインをしただけですが、実際には他者にapprove関数を呼び出してあなたのトークンを移転することを許可しています。ハッカーはフィッシングサイトを作成し、ウォレットにログインするボタンをPermitフィッシングに置き換えることで、ユーザーの資産を簡単に盗むことができます。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:認証フィッシング、Permit、Permit2の違い
Permit2はERC-20の機能ではなく、あるDEXがユーザーの利便性のために導入した機能です。これにより、ユーザーは一度に大きな額を承認でき、その後は毎回の交換に対して署名するだけで済み、Permit2契約がガス代を代わりに支払います(最終的に交換されたトークンから差し引かれます)。しかし、Permit2のフィッシングを行うためには、ユーザーがそのDEXを使用したことがあり、Permit2スマートコントラクトに無制限の額を承認している必要があります。現在、そのDEXのデフォルト操作は無制限の額の承認であるため、この条件を満たすユーザーの数はかなり多いです。
まとめると、権限フィッシングの本質は、ユーザーがスマートコントラクトにお金を払って「私はあなたが私のトークンをハッカーに渡すことを承認します」と伝えることです。署名フィッシングは、ユーザーが他の人に資産を移動することを許可する「メモ」をハッカーに署名した後、ハッカーがスマートコントラクトにお金を払って「私は彼のトークンを自分に転送します」と伝えることです。
これらのフィッシング攻撃を防ぐために、私たちは以下の対策を講じることができます:
セキュリティ意識を高め、ウォレット操作を行うたびに具体的な内容を慎重に確認すること。
大きな資金を日常使用のウォレットと分けて、潜在的な損失を減らします。
PermitとPermit2の署名フォーマットを識別することを学びます。以下の署名フォーマットを見たときは特に注意してください:
これらのフィッシング手法の原理と防止策を理解することで、私たちは自分のデジタル資産の安全をより良く守ることができます。
! Web3シグネチャフィッシングの根底にあるロジックの現地語の解釈:許可されたフィッシング、Permit、Permit2の違い