Análisis de phishing de firma Web3: comprender los principios para mejorar la seguridad del activo

La firma de phishing se está convirtiendo en la forma de estafa más preferida por los hackers de Web3. A pesar de que los expertos de la industria continúan promoviendo el conocimiento relacionado, aún hay una gran cantidad de usuarios que caen en la trampa todos los días. Una de las razones importantes de esta situación es que la mayoría de las personas no comprenden la lógica subyacente de la interacción con la billetera, y para los no técnicos, la barrera de aprendizaje es bastante alta.

Para que más personas entiendan el principio del phishing de firma, intentaremos explicar su lógica subyacente de una manera simple y comprensible.

Primero, necesitamos entender que al usar una billetera, hay principalmente dos operaciones: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena (, no requiere el pago de tarifas de Gas; mientras que la interacción ocurre en la cadena ), requiere el pago de tarifas de Gas.

La firma se utiliza comúnmente para la verificación de identidad, como al iniciar sesión en una Billetera. Por ejemplo, cuando deseas intercambiar tokens en algún DEX, primero necesitas conectar tu Billetera. En este momento, necesitas firmar para demostrar que eres el propietario de esa Billetera. Este paso no tiene ningún impacto en la blockchain, por lo que no es necesario pagar una tarifa.

La interacción ocurre cuando se lleva a cabo el intercambio de tokens en la práctica. Primero necesitas pagar una tarifa y decirle al contrato inteligente del DEX: "Quiero intercambiar 100USDT por un token, te autorizo a usar mis 100USDT". Este paso se llama autorización (approve). Luego, también necesitas pagar otra tarifa y decirle al contrato inteligente: "Ahora quiero intercambiar 100USDT por un token, puedes ejecutar la operación". De esta manera, se completa el intercambio de tokens.

Después de entender la diferencia entre firma e interacción, presentamos tres métodos comunes de phishing: phishing de autorización, phishing de firma Permit y phishing de firma Permit2.

La autorización de pesca es una de las técnicas de fraude más clásicas en las primeras etapas de Web3. Los hackers crean un sitio web de phishing disfrazado como un proyecto de NFT, engañando a los usuarios para que hagan clic en el botón "reclamar airdrop". En realidad, la interfaz de billetera que aparece al hacer clic está solicitando autorización para transferir tokens a la dirección del hacker. Una vez que el usuario confirma, el hacker puede robar activos con éxito.

Sin embargo, hay un problema con la pesca autorizada: debido a la necesidad de pagar tarifas de Gas, muchos usuarios son más cautelosos al realizar operaciones con fondos, por lo que es relativamente fácil de prevenir.

La firma de phishing de Permit y Permit2 es una de las principales áreas de riesgo en la seguridad de los activos Web3. La razón por la que es difícil de prevenir es que los usuarios deben firmar para iniciar sesión en su billetera cada vez que utilizan una DApp. Muchas personas ya han desarrollado un pensamiento habitual que considera que esta operación es segura. Además, como no se requieren tarifas, y la mayoría de las personas no entienden el significado detrás de cada firma, este método de phishing se vuelve aún más engañoso.

El mecanismo Permit es una función extendida de autorización bajo el estándar ERC-20. En términos simples, puedes autorizar a otros a mover tus tokens mediante una firma. A diferencia de la autorización normal, Permit te permite firmar en un "papel" que indica "autorizo a alguien a mover mis xxx cantidad de tokens". La persona que posea este "papel" puede pagar la tarifa de Gas al contrato inteligente, informando al contrato: "él me permite mover su xxx cantidad de tokens". En este proceso, solo has firmado, pero en realidad has autorizado a otros a llamar a la función approve y transferir tus tokens. Los hackers pueden crear sitios de phishing, reemplazando el botón de inicio de sesión de la billetera por phishing de Permit, facilitando así el robo de los activos de los usuarios.

Permit2 no es una función de ERC-20, sino una funcionalidad que algunos DEX han lanzado para facilitar a los usuarios. Permite a los usuarios autorizar un gran monto de una sola vez, y luego cada intercambio solo requiere una firma, con el contrato Permit2 pagando el Gas (deducido de los tokens intercambiados al final). Sin embargo, para caer en la pesca de Permit2, el requisito es que el usuario haya utilizado anteriormente ese DEX y haya autorizado un monto ilimitado al contrato inteligente Permit2. Dado que la operación predeterminada de ese DEX es la autorización de monto ilimitado, el número de usuarios que cumplen con esta condición es bastante alto.

En resumen, la esencia del phishing de autorización es que el usuario gasta dinero para decirle al contrato inteligente: "Te autorizo a que le des mis tokens al Hacker". El phishing de firma, por otro lado, es cuando el usuario firma un "papel" que permite a otros mover activos al Hacker, quien luego gasta dinero para decirle al contrato inteligente: "Quiero transferir sus tokens a mí".

Para prevenir estos ataques de phishing, podemos tomar las siguientes medidas:

1. Cultivar la conciencia de seguridad, cada vez que realice operaciones con la billetera, debe revisar cuidadosamente el contenido específico.

2. Separar los fondos grandes de la Billetera de uso diario para reducir pérdidas potenciales.

3. Aprende a reconocer el formato de firma de Permit y Permit2. Debes tener especial cuidado al ver el siguiente formato de firma:

• Interactivo: sitio web de interacción
• Propietario: dirección del autorizador
• Spender: Dirección del autorizado
• Valor：Cantidad autorizada
• Nonce: número aleatorio
• Deadline：Tiempo de expiración

Al comprender los principios de estos métodos de phishing y las medidas de prevención, podemos proteger mejor la seguridad de nuestros activos digitales.