Analyse des pièges de phishing avec signature Web3 : analyse des mécanismes d'autorisation, de Permit et de Permit2

Récemment, les hackers dans le domaine de Web3 se sont passionnés pour une nouvelle méthode de phishing - le "phishing par signature". Bien que les experts en sécurité et les entreprises de portefeuilles continuent d'informer et d'alerter à ce sujet, de nombreux utilisateurs tombent encore dans le piège chaque jour. L'une des principales raisons de ce phénomène est que la plupart des utilisateurs manquent de compréhension de la logique sous-jacente des interactions avec les portefeuilles, et pour les non-techniciens, la barrière à l'apprentissage des connaissances connexes est assez élevée.

Afin d'aider davantage de personnes à comprendre cette problématique, cet article expliquera la logique sous-jacente du phishing par signature de manière simple et accessible, en s'adressant particulièrement aux utilisateurs non techniques.

Tout d'abord, nous devons comprendre que l'utilisation d'un portefeuille implique principalement deux types d'opérations : "signature" et "interaction". En termes simples, la signature est une opération qui se déroule en dehors de la blockchain et ne nécessite pas de frais de Gas ; tandis que l'interaction se déroule sur la blockchain et nécessite le paiement de frais de Gas.

Un scénario typique de signature est utilisé pour l'authentification, par exemple lors de la connexion à un portefeuille. Lorsque vous devez effectuer une opération sur un DApp, vous devez d'abord prouver que vous êtes le propriétaire de ce portefeuille par une signature. Ce processus n'apporte aucun changement substantiel à la blockchain, il n'est donc pas nécessaire de payer de frais.

En revanche, l'interaction implique des opérations réelles sur la chaîne. Par exemple, lorsque vous souhaitez échanger des tokens sur un DEX, vous devez d'abord autoriser le contrat intelligent du DEX à utiliser vos tokens, puis effectuer l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.

Après avoir compris la différence entre la signature et l'interaction, examinons quelques méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.

Le phishing autorisé est une méthode classique de phishing qui exploite le mécanisme d'approbation. Les hackers peuvent créer un site de phishing déguisé en projet NFT, incitant les utilisateurs à cliquer sur le bouton "Réclamer l'airdrop". En réalité, après avoir cliqué, une demande d'autorisation pour que l'adresse du hacker puisse manipuler les jetons de l'utilisateur apparaît. Une fois que l'utilisateur confirme, le hacker peut contrôler les actifs de l'utilisateur.

Cependant, le phishing autorisé nécessite le paiement de frais de gaz, de nombreux utilisateurs deviennent donc vigilants lorsqu'ils voient une demande de paiement apparaître dans leur portefeuille, ce qui rend la prévention relativement facile.

Les signatures de phishing de Permit et Permit2 sont encore plus discrètes et dangereuses. Permit est une fonctionnalité étendue de la norme ERC-20 qui permet aux utilisateurs d'approuver d'autres personnes pour opérer leurs jetons par le biais d'une signature. L'utilisateur n'a qu'à signer un "papier" contenant les informations d'autorisation, et la personne détenant ce "papier" peut agir au nom de l'utilisateur pour effectuer des opérations d'autorisation.

Permit2 est une fonctionnalité lancée par certains DEX pour améliorer l'expérience utilisateur. Elle permet aux utilisateurs d'autoriser une grande somme de manière unique au contrat Permit2, après quoi chaque transaction ne nécessite qu'une signature de confirmation, sans avoir à payer de frais de Gaz supplémentaires.

Ces deux méthodes de phishing sont difficiles à prévenir car les utilisateurs sont déjà habitués à effectuer des opérations de signature avant d'utiliser des DApps, et ils ne vérifient souvent pas attentivement le contenu spécifique de la signature.

Pour prévenir le phishing par signature, les utilisateurs devraient :

1. Développer une conscience de la sécurité, en vérifiant soigneusement chaque opération lors de l'utilisation du portefeuille.

2. Séparez les fonds importants de votre portefeuille d'utilisation quotidienne pour réduire les pertes potentielles.

3. Apprenez à reconnaître le format de signature de Permit et Permit2, et soyez particulièrement vigilant lorsque vous voyez des demandes de signature contenant les informations suivantes :

   • Interactif : site web interactif
   • Propriétaire : adresse du mandant
   • Spender : adresse de l'autorisé
   • Valeur：quantité autorisée
   • Nonce : nombre aléatoire
   • Deadline : Date d'expiration

En comprenant les principes et les méthodes de prévention de ces mécanismes de phishing, les utilisateurs peuvent mieux protéger la sécurité de leurs actifs numériques.