Web3 İmza Phishing'in Temel İlkeleri ve Önleme Yöntemleri

Son zamanlarda, "imza oltalama" Web3 hackerlarının en yaygın dolandırıcılık yöntemlerinden biri haline geldi. Güvenlik uzmanları ve cüzdan şirketleri ilgili bilgileri sürekli olarak yaymasına rağmen, her gün birçok kullanıcı tuzağa düşüyor. Bunun önemli bir nedeni, çoğu insanın cüzdan etkileşiminin temel mantığını anlamaması ve teknik olmayan kişiler için öğrenme eşiğinin yüksek olmasıdır.

Daha fazla insanın bu konuya anlayışını artırmak için, bu makalede imza oltalama yönteminin temel mantığı basit ve anlaşılır bir şekilde açıklanacaktır.

Cüzdan işlemlerinin iki temel türü

Kripto para cüzdanı kullanırken, esasen iki tür işlemimiz vardır: "imza" ve "etkileşim".

• İmza: Blockchain dışında (off-chain) gerçekleşir, Gas ücreti ödemezsiniz.
• Etkileşim: Blok zincirinde (on-chain) gerçekleşir, Gas ücreti ödenmesi gerekir.

İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yapmak veya DApp'e bağlanmak. Bu işlem, blok zincirindeki herhangi bir veriyi veya durumu değiştirmediği için herhangi bir maliyet gerektirmez.

Etkileşim, gerçek blockchain işlemlerini içerir. Örneğin, bir DEX'te token değişimi yaparken, önce akıllı sözleşmeye token'larınızı kullanması için yetki vermeniz gerekir (approve), ardından gerçek değişim işlemini gerçekleştirmeniz gerekir. Bu iki adım da Gas ücreti ödemeyi gerektirir.

Yaygın Phishing Yöntemleri

1. Yetkilendirme Phishing

Bu, geleneksel bir Web3 oltalama yöntemidir. Hackerlar genellikle meşru bir projeyi taklit eden bir web sitesi oluşturur ve kullanıcıları "Airdrop'u al" gibi butonlara tıklamaya teşvik eder. Aslında, kullanıcı tıkladığında hacker adresinin kendi token'larını kullanabilmesi için yetki vermesi istenir.

Bu yöntem Gas ücreti ödemeyi gerektirse de, yine de bazı kullanıcılar dikkatsizce tuzağa düşebilir.

2. Permit imzası oltacılığı

Permit, ERC-20 standardının bir uzantı özelliğidir ve kullanıcıların imza ile başkalarının kendi token'larını kullanmalarına onay vermesine olanak tanır. Geleneksel yetkilendirmeden farklı olarak, Permit kullanıcıların Gas ücreti ödemesini gerektirmez.

Korsanlar bu mekanizmayı kullanarak kullanıcıları masum bir mesajı imzalamaya ikna edebilir, aslında bu mesaj korsanın kullanıcı token'larını kullanmasına izin veren bir Permit'tir.

3. Permit2 imza balıkçılığı

Permit2, bir DEX'in sunduğu bir özelliktir ve kullanıcı işlemlerini basitleştirmeyi ve Gas maliyetlerini azaltmayı amaçlamaktadır. Kullanıcılar, Permit2 akıllı sözleşmesine büyük bir yetkiyi bir seferde verebilirler; ardından her işlemde sadece imza atmak yeterlidir, Gas ücreti sözleşme tarafından ödenir (nihai değiş tokuş edilen tokenlerden kesilir).

Ancak bu, hackerlar için yeni bir saldırı yolu sağladı. Eğer kullanıcı bu DEX'i kullanmış ve Permit2 sözleşmesine sonsuz bir limit vermişse, hackerlar kullanıcıyı imza vermeye ikna ederek kullanıcıların tokenlerini transfer edebilir.

Önlemler

1. Güvenlik bilincini artırın: Cüzdan işlemi gerçekleştirdiğiniz her seferde, yaptığınız spesifik işlemi dikkatlice kontrol edin.

2. Fonların ayrılması: Büyük miktardaki fonları ve günlük kullanım cüzdanını ayırarak potansiyel kayıpları azaltın.

3. Permit ve Permit2'nin imza formatını tanımayı öğrenin: Aşağıdaki bilgileri içeren bir imza isteği gördüğünüzde özellikle dikkatli olun:

   • Etkileşimli：etkileşimli web sitesi
   • Sahibi：Yetki veren adres
   • Harcayan: Yetkilendirilmiş taraf adresi
   • Değer: Yetkilendirilmiş Miktar
   • Nonce：rastgele sayı
   • Deadline：son tarih

Bu temel mekanizmaları anlamak ve uygun önlemleri almak suretiyle, kullanıcılar imza phishing kurbanı olma riskini büyük ölçüde azaltabilirler. Web3 dünyasında, dikkatli olmak ve sürekli öğrenmek, varlıklarınızı korumanın anahtarıdır.