Web3 imza oltalama analizi: İlkeleri kavrayarak varlık güvenliği bilincini artırın

İmza oltalama, Web3 hackerlarının en çok tercih ettiği dolandırıcılık yöntemi haline geliyor. Sektördeki uzmanlar sürekli olarak ilgili bilgileri yaymaya çalışsalar da, her gün birçok kullanıcı dolandırılmaya devam ediyor. Bu durumun önemli bir nedeni, çoğu insanın cüzdan etkileşiminin temel mantığını anlamaması ve teknik olmayan kişiler için öğrenme eşiğinin yüksek olmasıdır.

Daha fazla kişinin imza phishinginin prensiplerini anlaması için, temel mantığını basit ve anlaşılır bir şekilde açıklamaya çalışacağız.

Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imza" ve "etkileşim". Kısaca, imza blok zincirinin dışında ( zincir altında ) gerçekleşir, Gas ücreti ödemeye gerek yoktur; etkileşim ise blok zincirinde ( zincirinde ) gerçekleşir ve Gas ücreti ödenmesi gerekir.

İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yaparken. Örneğin, bir DEX'te token değişimi yapmak istediğinizde, öncelikle cüzdanınızı bağlamanız gerekir. Bu aşamada, o cüzdanın sahibi olduğunuzu kanıtlamak için imza atmanız gerekir. Bu adım, blok zincir üzerinde herhangi bir etki yaratmaz, bu nedenle ücret ödemeniz gerekmez.

Ve etkileşim, aslında token değişimi sırasında gerçekleşir. Öncelikle bir ücret ödemeniz gerekir ve DEX'in akıllı sözleşmesine şunu bildirirsiniz: "100USDT ile bir token almak istiyorum, 100USDT'mi kullanma yetkisini veriyorum". Bu adım, (approve) olarak adlandırılır. Ardından, akıllı sözleşmeye şunu bildirmek için bir ücret daha ödemeniz gerekir: "Şu anda 100USDT ile bir token almak istiyorum, işlemi gerçekleştirebilirsin". Böylece token değişimi tamamlanmış olur.

İmzalama ve etkileşim arasındaki farkları anladıktan sonra, üç yaygın oltalama yöntemini tanıtalım: Yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.

Yetkilendirme oltalama, Web3'ün erken döneminde en klasik dolandırıcılık yöntemlerinden biridir. Hackerlar, NFT projesi gibi görünen bir oltalama web sitesi oluşturur ve kullanıcıları "Airdrop'u al" butonuna tıklamaya teşvik eder. Aslında, kullanıcı tıkladığında açılan cüzdan arayüzü, token'ların hacker adresine transferi için yetki istemektedir. Kullanıcı onayladığında, hacker varlıkları başarıyla çalabilir.

Ancak, yetkilendirilmiş phishing'in bir sorunu var: Gas ücreti ödenmesi gerektiğinden, birçok kullanıcı para işlemleri söz konusu olduğunda daha dikkatli oluyor, bu nedenle gözetim altında tutulması nispeten daha kolay.

Permit ve Permit2 imza oltası, günümüzde Web3 varlık güvenliği alanında büyük bir sorun teşkil etmektedir. Önlenmesinin zor olmasının sebebi, kullanıcıların her DApp kullanmadan önce cüzdanlarına imza atmalarının gerekliliğidir. Birçok kişi bu işlemin güvenli olduğu düşüncesine kapılmıştır. Üstelik, herhangi bir ücret ödenmesine gerek olmaması ve çoğu kişinin her imzanın arkasındaki anlamı anlamaması, bu oltalama yöntemini daha aldatıcı hale getirmektedir.

Permit mekanizması, ERC-20 standardı altında yetkilendirilmiş bir genişletme özelliğidir. Kısacası, başkalarına token'larınızı hareket ettirmeleri için imza ile yetki verebilirsiniz. Normal yetkilendirmeden farklı olarak, Permit, bir "belge" üzerinde imzalayarak "Ben birine xxx miktar token'ımı hareket ettirmesine izin veriyorum" demenizi sağlar. Bu "belgeye" sahip olan kişi, akıllı sözleşmeye Gas ücreti ödeyerek, sözleşmeye "o, benim xxx miktar token'ımı hareket ettirmeme izin veriyor" bilgisini verebilir. Bu süreçte, sadece bir imza attınız, ancak aslında birinin approve fonksiyonunu çağırarak token'larınızı transfer etmesine yetki verdiniz. Hackerlar, cüzdan giriş butonunu Permit phishing ile değiştirebilecekleri sahte web siteleri oluşturabilir ve böylece kullanıcı varlıklarını kolayca çalabilirler.

Permit2, ERC-20 işlevi değildir, ancak belirli bir DEX'in kullanıcıların işlerini kolaylaştırmak için sunduğu bir işlevdir. Kullanıcıların tek seferde yüksek bir yetki vermesine izin verir, ardından her takas için yalnızca imza atmak yeterlidir; Permit2 akıllı sözleşmesi, Gas ücretini öder (sonuçta alınan token'dan kesilir). Ancak, Permit2 dolandırıcılığını durdurmanın ön koşulu, kullanıcının daha önce bu DEX'i kullanmış olması ve Permit2 akıllı sözleşmesine sınırsız yetki vermiş olmasıdır. Şu anda bu DEX'in varsayılan işlemi sınırsız yetki vermek olduğundan, bu koşulu sağlayan kullanıcı sayısı oldukça fazladır.

Özetle, yetki avcılığı esasen kullanıcının akıllı sözleşmeye para vererek: "Token'larımı hackere vermek için onaylıyorum" demesidir. İmza avcılığı ise kullanıcının başkasının varlıklarını hareket ettirmesine izin veren bir "belgeyi" hackere imzalaması, hacker'ın daha sonra akıllı sözleşmeye para vererek: "Onun token'ını kendime transfer etmek istiyorum" demesidir.

Bu oltalama saldırılarını önlemek için aşağıdaki önlemleri alabiliriz:

1. Güvenlik bilincini geliştirin, her cüzdan işlemi yaparken içeriği dikkatlice kontrol edin.

2. Büyük miktardaki fonları günlük kullanılan cüzdandan ayırarak potansiyel kayıpları azaltın.

3. Permit ve Permit2'nin imza formatlarını tanımayı öğrenin. Aşağıdaki imza formatını gördüğünüzde özellikle dikkatli olun:

• Interactive：etkileşimli web sitesi
• Sahibi：Yetki veren adres
• Harcayan: Yetkilendirilmiş taraf adresi
• Değer: Yetkilendirilmiş miktar
• Nonce: Rastgele sayı
• Son Tarih: 过期时间

Bu oltalama yöntemlerinin prensiplerini ve önleme tedbirlerini anlayarak, dijital varlıklarımızın güvenliğini daha iyi koruyabiliriz.