Основні принципи веб3 підписного фішингу та заходи запобігання

Нещодавно "фішинг через підпис" став одним із найпоширеніших шахрайських методів серед хакерів Web3. Незважаючи на те, що фахівці з безпеки та компанії, що займаються гаманцями, постійно пропагують відповідні знання, щодня багато користувачів потрапляють у пастки. Однією з важливих причин цього є те, що більшість людей не розуміють основну логіку взаємодії з гаманцями, а для нетехнічних користувачів поріг входження досить високий.

Щоб допомогти більшій кількості людей зрозуміти це питання, у цій статті буде простими словами розглянуто основну логіку фішингу підпису.

Два основних типи операцій гаманця

При використанні криптовалютного гаманця у нас є два основні дії: "підпис" та "взаємодія".

• Підпис: відбувається поза блокчейном (поза ланцюгом), не потребує сплати Gas.
• Взаємодія: відбувається в блокчейні (онлайн), потрібно сплатити Gas-витрати.

Підпис зазвичай використовують для автентифікації, наприклад, для входу до гаманця або підключення до DApp. Цей процес не змінює жодних даних або стану в блокчейні, тому витрати не потрібні.

Взаємодія, отже, стосується фактичних операцій з блокчейном. Наприклад, під час обміну токенів на певному DEX вам потрібно спочатку дозволити смарт-контракту використовувати ваші токени (approve), а потім виконати фактичну операцію обміну. Обидва ці кроки потребують сплати Gas-кошту.

Поширені способи риболовлі

1. Авторизаційна риболовля

Це традиційний метод фішингу у Web3. Зазвичай хакери створюють сайт, що маскується під легальний проєкт, спонукаючи користувачів натиснути кнопки, такі як "отримати аеродроп". Насправді, після натискання, користувачам запропонують надати (approve) адресу хакера доступ до своїх токенів.

Хоча цей метод потребує сплати Gas-кошту, все ж є користувачі, які можуть випадково потрапити в пастку.

2. Дозвіл підпису риболовлі

Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам затверджувати інших для використання своїх токенів за допомогою підпису. На відміну від традиційного надання дозволу, Permit не вимагає від користувача сплати Gas-оплати.

Хакери можуть скористатися цим механізмом, щоб спонукати користувачів підписати на перший погляд безневинне повідомлення, яке насправді є дозволом хакера на використання токенів користувача.

3. Фішинг підпису Permit2

Permit2 – це функція, яку запровадив певний DEX, з метою спростити дії користувачів та зекономити витрати на Gas. Користувачі можуть одноразово надати великі повноваження смарт-контракту Permit2, після чого для кожної угоди потрібно лише підписати, а витрати на Gas покриваються контрактом (вираховуються з токенів, які в кінцевому підсумку обмінюються).

Однак це також дає хакерам новий шлях для атак. Якщо користувач коли-небудь використовував цей DEX і надав безмежний ліміт контракту Permit2, хакер може спонукати користувача підписати, аби перенести токени користувача.

Заходи безпеки

1. Підвищення обізнаності про безпеку: щоразу, коли ви виконуєте операції з гаманцем, уважно перевіряйте, яку конкретну операцію ви виконали.

2. Розділення коштів: відокремлення великих сум коштів від щоденного використання, щоб зменшити потенційні втрати.

3. Навчіться розпізнавати формат підпису Permit і Permit2: коли ви бачите запит на підпис, що містить таку інформацію, будьте особливо обережні:

   • Interactive：інтерактивний веб-сайт
   • Власник：адреса уповноваженої особи
   • Spender: адреса уповноваженої особи
   • Значення：Кількість дозволів
   • Nonce：випадкове число
   • Кінцевий термін：термін дії

Зрозумівши ці основи та вживаючи відповідних запобіжних заходів, користувачі можуть значно зменшити ризик стати жертвою фішингу підписів. У світі Web3 пильність і постійне навчання є ключовими для захисту своїх активів.