Análise de phishing de assinatura Web3: dominar os princípios para melhorar a consciência sobre a segurança do ativo

A assinatura de phishing está se tornando o método de fraude favorito dos hackers no Web3. Embora especialistas da indústria continuem a divulgar conhecimento relacionado, ainda há um grande número de usuários sendo enganados a cada dia. Uma das principais razões para isso é que a maioria das pessoas não entende a lógica subjacente das interações com a Carteira, e para não-técnicos, a barreira de entrada é alta.

Para que mais pessoas compreendam os princípios da phishing de assinatura, tentaremos explicar sua lógica subjacente de uma maneira acessível e fácil de entender.

Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações: "assinatura" e "interação". Simplificando, a assinatura ocorre fora da blockchain (, fora da cadeia ), e não requer o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (, na cadeia ), e requer o pagamento de taxas de Gas.

A assinatura é geralmente usada para autenticação, como fazer login na Carteira. Por exemplo, quando você deseja trocar tokens em um DEX, primeiro precisa conectar a Carteira. Neste momento, você precisa assinar para provar que é o proprietário da Carteira. Este passo não terá qualquer impacto na blockchain, portanto, não é necessário pagar taxas.

A interação ocorre quando a troca de tokens é realizada. Você precisa primeiro pagar uma taxa e informar ao contrato inteligente da DEX: "Eu quero trocar 100USDT por um token, eu autorizo você a usar meu 100USDT". Este passo é chamado de autorização (approve). Depois, você também precisa pagar uma taxa e informar ao contrato inteligente: "Agora eu quero trocar 100USDT por um token, você pode executar a operação". Assim, a troca de tokens é concluída.

Após entender a diferença entre assinatura e interação, vamos apresentar três tipos comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.

A autorização de phishing é um dos métodos de fraude mais clássicos do início do Web3. Os hackers criam um site de phishing disfarçado de projeto NFT, induzindo os usuários a clicar no botão "Receber airdrop". Na verdade, a interface da carteira que aparece após o clique do usuário está solicitando autorização para transferir tokens para o endereço do hacker. Uma vez que o usuário confirma, o hacker consegue roubar os ativos com sucesso.

No entanto, existe um problema com a autorização de phishing: devido à necessidade de pagar taxas de Gas, muitos usuários tornam-se mais cautelosos quando se trata de operações financeiras, o que torna relativamente fácil de prevenir.

A assinatura de phishing do Permit e Permit2 é uma área de grande preocupação na segurança de ativos Web3 atualmente. A dificuldade em prevenir isso ocorre porque os usuários precisam assinar para entrar na Carteira sempre que utilizam um DApp. Muitas pessoas desenvolveram um pensamento habitual de que essa operação é segura. Além disso, como não é necessário pagar taxas e a maioria das pessoas não compreende o significado por trás de cada assinatura, esse método de phishing torna-se ainda mais enganador.

O mecanismo Permit é uma funcionalidade de extensão da autorização sob o padrão ERC-20. Simplificando, você pode autorizar outra pessoa a mover seus tokens através de uma assinatura. Ao contrário da autorização normal, o Permit permite que você assine em um "papel", indicando "eu permito que alguém mova meus xxx tokens". A pessoa que possui este "papel" pode pagar a taxa de Gas ao contrato inteligente, informando ao contrato: "ele me permite mover seus xxx tokens". Neste processo, você apenas assinou, mas na verdade autorizou outra pessoa a chamar a função approve e transferir seus tokens. Hackers podem criar sites de phishing, substituindo o botão de login da carteira por um phishing de Permit, permitindo assim que facilmente roubem os ativos dos usuários.

Permit2 não é uma funcionalidade do ERC-20, mas sim uma funcionalidade lançada por algum DEX para facilitar os usuários. Ele permite que os usuários autorizem um grande montante de uma só vez, e depois, para cada troca, só precisam assinar, com a taxa de Gas sendo paga pelo contrato Permit2 (deduzida dos tokens trocados no final). No entanto, para que a phishing do Permit2 ocorra, é necessário que o usuário tenha utilizado anteriormente esse DEX e tenha autorizado um limite ilimitado ao contrato inteligente Permit2. Como atualmente a operação padrão desse DEX é a autorização de limite ilimitado, o número de usuários que atendem a essa condição é bastante elevado.

Resumindo, a essência da pesca de autorização é que o usuário gasta dinheiro para informar o contrato inteligente: "Eu autorizo você a entregar meus tokens ao Hacker". A pesca de assinatura é quando o usuário assina um "bilhete" permitindo que outra pessoa mova ativos para o Hacker, que então gasta dinheiro para informar o contrato inteligente: "Eu quero transferir os tokens dele para mim".

Para prevenir esses ataques de phishing, podemos tomar as seguintes medidas:

1. Desenvolver a consciência de segurança, verificando cuidadosamente o conteúdo específico sempre que realizar operações na Carteira.

2. Separar grandes quantias de dinheiro da Carteira utilizada diariamente para reduzir perdas potenciais.

3. Aprenda a identificar o formato de assinatura do Permit e Permit2. Fique especialmente atento ao ver os seguintes formatos de assinatura:

• Interativo：endereço de interação
• Proprietário：Endereço do autorizador
• Spender: Endereço do autorizado
• Valor：Quantidade autorizada
• Nonce: número aleatório
• Prazo:过期时间

Ao compreender os princípios e as medidas de prevenção destas técnicas de phishing, podemos proteger melhor a segurança dos nossos ativos digitais.