Основные принципы веб-3 фишинга с использованием подписей и меры предосторожности

Недавно "подписная фишинг-атака" стала одним из самых распространенных методов мошенничества среди хакеров Web3. Несмотря на то, что эксперты по безопасности и компании по производству кошельков постоянно информируют пользователей о связанных рисках, ежедневно многие пользователи попадают в ловушки. Одной из основных причин этого является то, что большинство людей не понимают основную логику взаимодействия с кошельками, и для нетехнических специалистов порог для обучения довольно высок.

Для того чтобы помочь большему числу людей понять эту проблему, в данной статье будет доступно и понятно разобрана основная логика фишинга с использованием подписей.

Два основных типа операций с кошельком

При использовании криптовалютного кошелька у нас есть два основных действия: "подписание" и "взаимодействие".

• Подписание: происходит вне блокчейна (вне сети), не требует оплаты Gas.
• Взаимодействие: происходит на блокчейне (в сети), требует оплаты Gas-расходов.

Подпись обычно используется для проверки подлинности, например, при входе в кошелек или подключении к DApp. Этот процесс не изменяет никаких данных или состояния в блокчейне, поэтому не требует затрат.

Взаимодействие включает в себя реальные операции с блокчейном. Например, когда вы обмениваете токены на DEX, вам сначала нужно разрешить смарт-контракту использовать ваши токены (approve), а затем выполнить саму операцию обмена. За оба этих шага необходимо оплатить Gas.

Распространенные способы фишинга

1. Авторизованный фишинг

Это традиционный метод фишинга в Web3. Хакеры обычно создают веб-сайт, замаскированный под легитимный проект, чтобы побудить пользователей нажать на кнопки "Получить аирдроп" и так далее. На самом деле, после нажатия пользователи будут вынуждены разрешить (approve) адрес хакера использовать свои токены.

Хотя этот метод требует оплаты Gas-расходов, некоторые пользователи все равно могут стать жертвами.

2. Разрешение подписать фишинг

Permit является расширенной функцией стандарта ERC-20, позволяющей пользователям одобрять использование своих токенов другими лицами через подпись. В отличие от традиционного авторизации, Permit не требует от пользователей оплаты Gas-стоимости.

Хакеры могут использовать этот механизм, чтобы заставить пользователей подписать на вид безобидное сообщение, которое на самом деле является разрешением хакера на использование токенов пользователя.

3. Фишинг подписи Permit2

Permit2 — это функция, представленная некоторыми DEX, предназначенная для упрощения действий пользователей и экономии на Gas. Пользователи могут единовременно предоставить крупный лимит смарт-контракту Permit2, после чего для каждой последующей сделки достаточно будет только подписи, а Gas будет оплачивать контракт (вычитаясь из токенов, которые в конечном итоге обмениваются).

Однако это также предоставляет хакерам новые возможности для атаки. Если пользователь когда-либо использовал этот DEX и предоставил неограниченный лимит контракту Permit2, хакер может, заставив пользователя подписать, переместить токены пользователя.

Меры предосторожности

1. Повышение безопасности: каждый раз, когда вы выполняете операции с кошельком, внимательно проверяйте, какое конкретное действие вы выполняете.

2. Разделение средств: отделите крупные суммы от кошелька для повседневного использования, чтобы снизить потенциальные потери.

3. Научитесь распознавать формат подписей Permit и Permit2: будьте особенно внимательны, когда видите запрос на подпись, содержащий следующую информацию:

   • Interactive：интерактивный сайт
   • Владелец：адрес уполномоченного лица
   • Spender: адрес уполномоченного лица
   • Значение: количество разрешений
   • Нонсе: случайное число
   • Срок: время истечения

Понимая эти основные механизмы и принимая соответствующие меры предосторожности, пользователи могут значительно снизить риск стать жертвой фишинга подписи. В мире Web3 бдительность и постоянное обучение являются ключом к защите своих активов.