- Тема
74k Популярність
29k Популярність
9k Популярність
4k Популярність
4k Популярність
29k Популярність
16k Популярність
22k Популярність
12k Популярність
2k Популярність
- Закріпити
74k Популярність
29k Популярність
9k Популярність
4k Популярність
4k Популярність
29k Популярність
16k Популярність
22k Популярність
12k Популярність
2k Популярність
Аналіз фішингу підписів Web3: опануйте принципи для підвищення усвідомлення безпеки активів
Підписне фішинг стає найулюбленішим способом шахрайства серед хакерів Web3. Хоча експерти галузі постійно просувають освітні матеріали, щодня все ще є велика кількість користувачів, які стають жертвами шахрайства. Однією з важливих причин цієї ситуації є те, що більшість людей не розуміють основну логіку взаємодії з гаманець, а для нетехнічних осіб поріг входження є досить високим.
Щоб більше людей зрозуміли принцип підписного фішингу, ми спробуємо пояснити його підсистемну логіку простими словами.
По-перше, нам потрібно зрозуміти, що при використанні Гаманець основними є дві операції: "підпис" та "взаємодія". Простими словами, підпис відбувається за межами блокчейну ( поза ланцюгом ), не потрібно платити Gas; тоді як взаємодія відбувається на блокчейні ( в рамках ланцюга ), потрібно платити Gas.
Підпис зазвичай використовується для автентифікації, наприклад, для входу в гаманець. Наприклад, коли ви хочете обміняти токени на якому-небудь DEX, спочатку потрібно підключити гаманець. У цей момент вам потрібно підписати, щоб підтвердити, що ви є власником цього гаманця. Цей крок не вплине на блокчейн, тому платити комісію не потрібно.
А взаємодія відбувається під час фактичного обміну токенами. Вам спочатку потрібно сплатити комісію, щоб повідомити смарт-контракт DEX: "Я хочу обміняти 100USDT на один токен, я уповноважую вас використовувати мої 100USDT". Цей крок називається авторизацією (approve). Потім вам потрібно ще раз сплатити комісію, щоб повідомити смарт-контракт: "Я зараз хочу обміняти 100USDT на один токен, ви можете виконати операцію". Таким чином, обмін токенів завершено.
Після того, як ми зрозуміли різницю між підписом і взаємодією, давайте розглянемо три поширені способи фішингу: фішинг через авторизацію, фішинг через підпис Permit і фішинг через підпис Permit2.
Авторизаційна фішинг є одним із найкласичніших методів шахрайства на Web3. Хакер створює фішинговий вебсайт, що маскується під NFT проект, спокушаючи користувачів натиснути кнопку "отримати аеродроп". Насправді, після натискання кнопки з'являється інтерфейс гаманець, що вимагає авторизації на передачу токенів на адресу хакера. Як тільки користувач підтверджує, хакер може успішно вкрасти активи.
Однак, у авторизованому фішингу є одна проблема: оскільки потрібно сплачувати Gas-кошти, багато користувачів стають більш обережними під час операцій з коштами, тому їх відносно легко запобігти.
Фішинг підписів Permit та Permit2 є потужним ударом у сфері безпеки активів Web3. Це важко запобігти, оскільки користувачам потрібно підписувати вхід до гаманця щоразу, коли вони використовують DApp. Багато хто вже сформував звичку вважати, що ця дія є безпечною. Додатково, оскільки не потрібно сплачувати комісії, а більшість людей не розуміють значення кожного підпису, цей метод фішингу стає ще більш оманливим.
Механізм Permit є розширеною функцією авторизації у стандарті ERC-20. Простими словами, ви можете підписати дозвіл іншим переміщувати ваші токени. На відміну від звичайного дозволу, Permit дозволяє вам підписати на "папері" заяву: "Я дозволяю комусь перемістити мої xxx кількість токенів". Той, хто має цей "папір", може сплатити Gas-кошти смарт-контракту, повідомивши контракт: "він дозволяє мені перемістити його xxx кількість токенів". У цьому процесі ви лише підписалися, але насправді дозволили іншій особі викликати функцію approve та перемістити ваші токени. Хакери можуть створити фішингові сайти, замінивши кнопку входу в гаманець на фішинг Permit, тим самим легко крадучи активи користувачів.
Permit2 не є функцією ERC-20, а є функцією, яку деякі DEX впровадили для зручності користувачів. Вона дозволяє користувачам одноразово авторизувати великі суми, після чого для кожного обміну потрібно лише підписати, а витрати на Gas покриває контракт Permit2 (вираховується з токенів, які в результаті обміну). Однак, щоб потрапити на фішинг Permit2, потрібно, щоб користувач раніше користувався цим DEX і авторизував безмежний доступ до смарт-контракту Permit2. Оскільки наразі за замовчуванням цей DEX виконує авторизацію безмежного доступу, кількість користувачів, які відповідають цим умовам, є досить великою.
Підсумовуючи, авторизаційна фішинг-атака в основному полягає в тому, що користувач витрачає гроші, щоб повідомити смарт-контракту: "Я дозволяю тобі передати мої токени хакеру". Фішинг з підписом - це коли користувач підписує "документ", що дозволяє іншим переміщувати активи, хакер потім витрачає гроші, щоб повідомити смарт-контракту: "Я хочу передати його токени мені".
Щоб запобігти цим фішинговим атакам, ми можемо вжити такі заходи:
Виховуйте свідомість безпеки, ретельно перевіряйте конкретний зміст під час кожної операції з гаманець.
Розділіть великі суми коштів і гаманець для щоденного використання, щоб зменшити потенційні втрати.
Навчіться розпізнавати формати підписів Permit і Permit2. Будьте особливо обережні, коли бачите такі формати підписів:
Зрозумівши принципи цих фішингових методів та заходи запобігання, ми можемо краще захистити свою цифрову безпеку активів.