- Tópico
70k Popularidade
26k Popularidade
8k Popularidade
4k Popularidade
4k Popularidade
29k Popularidade
16k Popularidade
22k Popularidade
12k Popularidade
2k Popularidade
- Pino
70k Popularidade
26k Popularidade
8k Popularidade
4k Popularidade
4k Popularidade
29k Popularidade
16k Popularidade
22k Popularidade
12k Popularidade
2k Popularidade
Desvendando o princípio da phishing por assinatura Web3: lógica subjacente e medidas de prevenção totalmente analisadas
Princípios Subjacentes de Phishing por Assinatura Web3 e Medidas de Prevenção
Recentemente, "phishing por assinatura" tornou-se um dos métodos de fraude mais utilizados por hackers no Web3. Apesar de especialistas em segurança e empresas de carteiras estarem constantemente promovendo conhecimentos relacionados, ainda há muitos usuários caindo em armadilhas todos os dias. Uma das principais razões para isso é que a maioria das pessoas carece de compreensão sobre a lógica subjacente das interações com carteiras, e para não técnicos, a barreira de entrada é bastante alta.
Para ajudar mais pessoas a entender esse problema, este artigo irá analisar a lógica subjacente à pesca de assinatura de forma clara e acessível.
Dois tipos básicos de operações de carteira
Ao usar uma carteira de criptomoedas, temos principalmente duas operações: "assinatura" e "interação".
As assinaturas são frequentemente usadas para autenticação, como fazer login em uma carteira ou conectar-se a um DApp. Esse processo não altera nenhum dado ou estado na blockchain, portanto, não há necessidade de gastar.
A interação envolve operações reais na blockchain. Por exemplo, ao trocar tokens em um DEX, você precisa primeiro autorizar o contrato inteligente a usar seus tokens (approve), e então executar a operação de troca real. Ambas as etapas requerem o pagamento de taxas de Gas.
Métodos comuns de phishing
1. Phishing autorizado
Isto é uma técnica tradicional de phishing em Web3. Os hackers costumam criar um site disfarçado de um projeto legítimo, induzindo os usuários a clicar em botões como "reclamar airdrop". Na verdade, após clicar, os usuários serão solicitados a autorizar (approve) o endereço do hacker a usar os seus tokens.
Embora este método exija o pagamento de taxas de Gas, ainda há usuários que podem inadvertidamente ser enganados.
2. Permissão de assinatura de phishing
Permit é uma funcionalidade de extensão do padrão ERC-20 que permite aos usuários aprovar outros a usarem seus tokens através de uma assinatura. Ao contrário da autorização tradicional, o Permit não requer que os usuários paguem taxas de Gas.
Os hackers podem explorar este mecanismo para induzir os usuários a assinar uma mensagem aparentemente inofensiva, que na verdade autoriza os hackers a usar o token do usuário.
3. Phishing de assinatura Permit2
Permit2 é uma funcionalidade lançada por um determinado DEX, com o objetivo de simplificar as operações dos usuários e economizar custos de Gas. Os usuários podem autorizar uma grande quantia de uma só vez ao contrato inteligente Permit2, e em seguida, para cada transação, basta assinar, com os custos de Gas sendo pagos pelo contrato (deduzidos do token final trocado).
No entanto, isso também oferece novas vias de ataque para os hackers. Se os usuários já utilizaram este DEX e autorizaram um limite ilimitado ao contrato Permit2, os hackers podem induzir os usuários a assinar para transferir os tokens dos usuários.
Medidas de precaução
Aumentar a consciência de segurança: Sempre que realizar operações na carteira, deve verificar cuidadosamente a operação específica que está a executar.
Separação de fundos: manter grandes quantias de dinheiro separadas da carteira de uso diário, a fim de reduzir perdas potenciais.
Aprenda a reconhecer o formato de assinatura do Permit e Permit2: quando você vir um pedido de assinatura que contenha as seguintes informações, fique especialmente atento:
Ao entender esses mecanismos subjacentes e tomar as precauções adequadas, os usuários podem reduzir significativamente o risco de se tornarem vítimas de phishing por assinatura. No mundo do Web3, manter-se alerta e aprender continuamente é a chave para proteger seus ativos.