Анализ фишинга с подписями Web3: понимание принципов для повышения безопасности активов

Подписной фишинг становится любимым способом мошенничества среди хакеров Web3. Несмотря на то, что эксперты в отрасли постоянно пропагандируют просветительские знания, ежедневно по-прежнему много пользователей попадаются на уловки. Одна из основных причин этой ситуации заключается в том, что большинство людей не понимают основную логику взаимодействия с Кошелек, и для нетехнических специалистов порог обучения довольно высок.

Чтобы больше людей поняли принцип фишинга с подделкой подписей, мы постараемся объяснить его основную логику простым и понятным способом.

Во-первых, нам нужно понять, что при использовании Кошелек основные операции делятся на два типа: "подпись" и "взаимодействие". Проще говоря, подпись происходит вне блокчейна (, не требует оплаты Gas-стоимости; в то время как взаимодействие происходит в блокчейне ), требует оплаты Gas-стоимости.

Подпись обычно используется для аутентификации, например, для входа в Кошелек. Например, когда вы хотите обменять токены на каком-либо DEX, вам сначала нужно подключить Кошелек. В этот момент вам нужно будет подписать, чтобы доказать, что вы являетесь владельцем этого Кошелька. Этот шаг не окажет никакого влияния на блокчейн, поэтому платить за него не нужно.

А взаимодействие происходит в процессе фактического обмена токенов. Вам нужно сначала заплатить комиссию и сообщить смарт-контракту DEX: "Я хочу обменять 100USDT на один токен, я разрешаю вам использовать мои 100USDT". Этот шаг называется авторизацией (approve). Затем вам нужно снова заплатить комиссию и сообщить смарт-контракту: "Теперь я хочу обменять 100USDT на один токен, вы можете выполнить операцию". Таким образом, обмен токенов завершен.

Поняв разницу между подписью и взаимодействием, давайте рассмотрим три распространенных способа фишинга: фишинг на авторизацию, фишинг на подпись Permit и фишинг на подпись Permit2.

Авторизация фишинга является одним из самых классических методов мошенничества на Web3 на ранних этапах. Хакер создаст фишинговый сайт, замаскированный под NFT проект, чтобы заставить пользователя нажать кнопку "Получить аирдроп". На самом деле, интерфейс кошелька, который появляется после нажатия, запрашивает разрешение на перевод токенов на адрес хакера. Как только пользователь подтвердит, хакер сможет успешно украсть активы.

Однако в авторизованном фишинге есть одна проблема: из-за необходимости оплаты Gas-са, многие пользователи становятся более осторожными при операциях с деньгами, поэтому его относительно легко предотвратить.

Подпись Permit и Permit2 фишинг является текущей «горячей точкой» в области безопасности активов Web3. Это трудно предотвратить, потому что пользователи должны подписывать вход в Кошелек каждый раз перед использованием DApp. Многие уже выработали инертное мышление, считая эту операцию безопасной. Учитывая, что плата не взимается, а большинство людей не понимает значение каждой подписи, этот способ фишинга становится еще более обманчивым.

Механизм Permit является расширенной функцией авторизации в стандарте ERC-20. Проще говоря, вы можете авторизовать других перемещать ваши токены, подписавшись. В отличие от обычной авторизации, Permit позволяет вам подписать "записку", в которой говорится: "Я разрешаю кому-то перемещать мои xxx токены". Держатель этой "записки" может заплатить Gas-стоимость смарт-контракту и уведомить контракт: "он разрешает мне перемещать его xxx токены". В этом процессе вы просто подписали, но на самом деле авторизовали другого вызывать функцию approve и перемещать ваши токены. Хакеры могут создать фишинговые сайты, заменив кнопку входа в Кошелек на фишинг Permit, тем самым легко украсть активы пользователей.

Permit2 не является функцией ERC-20, а представляет собой функцию, разработанную некоторыми DEX для удобства пользователей. Она позволяет пользователям единовременно предоставить большое количество разрешений, после чего для каждой сделки требуется лишь подпись, а Gas-расходы оплачиваются контрактом Permit2 (взимаются с токенов, полученных в результате обмена). Однако, чтобы стать жертвой фишинга Permit2, пользователю необходимо было ранее воспользоваться этим DEX и предоставить неограниченные полномочия контракту Permit2. Поскольку в настоящее время стандартное действие этого DEX — предоставление неограниченных полномочий, количество пользователей, соответствующих этому условию, довольно велико.

В общем, суть авторизационного фишинга заключается в том, что пользователь тратит деньги, чтобы сообщить смарт-контракту: "Я разрешаю тебе передать мои токены хакеру". Фишинг с подписью - это когда пользователь подписывает "бумагу", позволяющую другим перемещать активы, и отдает ее хакеру, который затем тратит деньги, чтобы сообщить смарт-контракту: "Я хочу передать его токены себе".

Чтобы предотвратить эти фишинговые атаки, мы можем предпринять следующие меры:

1. Формируйте безопасность сознания, каждый раз, когда вы выполняете операции с Кошелек, внимательно проверяйте конкретное содержимое.

2. Разделите крупные суммы средств и кошелек для повседневного использования, чтобы снизить потенциальные потери.

3. Научитесь распознавать формат подписи Permit и Permit2. Будьте особенно осторожны, когда увидите следующий формат подписи:

• Интерактивные: интерактивные URL-адреса
• Владелец: адрес уполномоченной стороны
• Spender: Адрес уполномоченной стороны
• Значение: количество авторизаций
• Nonce：Случайное число
• Срок действия：过期时间

Понимая принципы этих методов фишинга и меры предосторожности, мы можем лучше защитить безопасность своих цифровых активов.