Análisis de trampas de phishing en Web3: desglosando las mecánicas de autorización, Permit y Permit2

Recientemente, los hackers en el campo de Web3 están entusiasmados con una nueva técnica de phishing: "phishing por firma". A pesar de que los expertos en seguridad y las empresas de billeteras continúan educando y advirtiendo sobre esto, cada día hay muchos usuarios que caen en la trampa. Una de las principales razones de este fenómeno es que la mayoría de los usuarios carecen de comprensión sobre la lógica subyacente de las interacciones con las billeteras, y para los no técnicos, el umbral de aprendizaje sobre el conocimiento relacionado es bastante alto.

Para ayudar a más personas a entender este problema, este artículo explicará de manera sencilla y comprensible la lógica subyacente del phishing de firmas, especialmente dirigido a usuarios que no entienden la tecnología.

Primero, necesitamos entender que al usar una billetera, hay principalmente dos operaciones involucradas: "firma" e "interacción". En términos simples, la firma es una operación que ocurre fuera de la blockchain, no requiere pagar tarifa de Gas; mientras que la interacción ocurre en la blockchain, y requiere pagar tarifa de Gas.

Un escenario típico de firma se utiliza para la verificación de identidad, como al iniciar sesión en una billetera. Cuando necesitas realizar una operación en alguna DApp, primero debes probar que eres el propietario de esa billetera mediante una firma. Este proceso no provoca ningún cambio sustancial en la blockchain, por lo que no es necesario pagar una tarifa.

En comparación, la interacción implica operaciones reales en la cadena. Por ejemplo, cuando quieres realizar un intercambio de tokens en un DEX, primero necesitas autorizar el contrato inteligente del DEX para que pueda usar tus tokens, y luego ejecutar la operación de intercambio real. Ambos pasos requieren el pago de tarifas de Gas.

Después de entender la diferencia entre firma e interacción, veamos algunos métodos comunes de phishing: phishing de autorización, phishing de firma de Permit y phishing de firma de Permit2.

La autorización de phishing es una técnica clásica de phishing que utiliza el mecanismo de autorización (approve). Los hackers pueden crear un sitio web de phishing disfrazado como un proyecto de NFT, induciendo a los usuarios a hacer clic en el botón "reclamar airdrop". En realidad, al hacer clic, aparece una solicitud para autorizar a la dirección del hacker a operar con los tokens del usuario. Una vez que el usuario confirma, el hacker puede controlar los activos del usuario.

Sin embargo, el phishing autorizado requiere el pago de tarifas de Gas, por lo que muchos usuarios se vuelven cautelosos al ver una solicitud de pago de la billetera, lo que lo hace relativamente fácil de prevenir.

Sin embargo, la firma de phishing de Permit y Permit2 es aún más encubierta y peligrosa. Permit es una función extendida del estándar ERC-20 que permite a los usuarios aprobar a otros para que operen con sus tokens mediante una firma. El usuario solo necesita firmar un "papel" que contenga la información de autorización, y quien posea este "papel" puede actuar en nombre del usuario para realizar operaciones autorizadas.

Permit2 es una función lanzada por un DEX para mejorar la experiencia del usuario. Permite a los usuarios autorizar una gran cantidad a un contrato Permit2 de una sola vez, y luego cada vez que realicen una transacción solo necesitan firmar para confirmar, sin necesidad de pagar tarifas de Gas adicionales.

La razón por la que estos dos tipos de phishing son difíciles de prevenir es que los usuarios ya están acostumbrados a realizar la operación de firma antes de utilizar DApp, y a menudo no revisan detenidamente el contenido específico de la firma.

Para prevenir el phishing de firmas, los usuarios deben:

1. Fomentar la conciencia de seguridad, revisa cuidadosamente las operaciones que se están llevando a cabo cada vez que uses la billetera.

2. Separar los fondos grandes de la billetera de uso diario para reducir las pérdidas potenciales.

3. Aprender a reconocer el formato de firma de Permit y Permit2, y estar especialmente alerta al ver solicitudes de firma que contengan la siguiente información:

   • Interactivo：sitio web interactivo
   • Propietario：Dirección del autorizante
   • Spender: dirección del autorizado
   • Valor: cantidad autorizada
   • Nonce: número aleatorio
   • Deadline：fecha de vencimiento

Al comprender los principios y métodos de prevención de estos mecanismos de phishing, los usuarios pueden proteger mejor la seguridad de sus activos digitales.