- Tema
53k Popularidade
32k Popularidade
9k Popularidade
4k Popularidade
4k Popularidade
29k Popularidade
15k Popularidade
22k Popularidade
13k Popularidade
3k Popularidade
- Marcar
53k Popularidade
32k Popularidade
9k Popularidade
4k Popularidade
4k Popularidade
29k Popularidade
15k Popularidade
22k Popularidade
13k Popularidade
3k Popularidade
Análise das armadilhas de phishing de assinatura Web3: prevenção de autorizações, riscos de Permit e Permit2
Análise das armadilhas de phishing de assinatura Web3: Análise dos mecanismos de autorização, Permit e Permit2
Recentemente, hackers no espaço Web3 estão cada vez mais interessados em uma nova técnica de phishing - "phishing por assinatura". Embora especialistas em segurança e empresas de carteiras estejam constantemente educando e alertando sobre isso, ainda há muitos usuários que caem na armadilha todos os dias. Uma das principais razões para esse fenômeno é que a maioria dos usuários carece de compreensão sobre a lógica subjacente das interações com carteiras, e para não técnicos, a barreira de aprendizado sobre o conhecimento relevante é bastante alta.
Para ajudar mais pessoas a entenderem esta questão, este artigo irá analisar a lógica subjacente ao phishing de assinatura de uma forma simples e acessível, especialmente direcionada a usuários que não compreendem tecnologia.
Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações envolvidas: "assinatura" e "interação". Simplificando, a assinatura é uma operação que ocorre fora da blockchain, não requerendo o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain, necessitando do pagamento de taxas de Gas.
Uma cena típica de assinatura é usada para autenticação, como ao fazer login numa carteira. Quando você precisa realizar uma operação em algum DApp, primeiro precisa assinar para provar que é o proprietário daquela carteira. Esse processo não causa nenhuma alteração substancial na blockchain, portanto não é necessário pagar taxas.
Em comparação, a interação envolve operações reais em blockchain. Por exemplo, quando você deseja trocar tokens em um DEX, precisa primeiro autorizar o contrato inteligente do DEX a usar seus tokens e, em seguida, realizar a operação de troca real. Ambas as etapas requerem o pagamento de taxas de Gas.
Depois de compreender a diferença entre assinatura e interação, vamos dar uma olhada em algumas formas comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.
A autorização de phishing é uma técnica clássica de phishing que explora o mecanismo de autorização (approve). Os hackers podem criar um site de phishing disfarçado de projeto NFT, induzindo os usuários a clicarem no botão "reclamar airdrop". Na verdade, ao clicar, aparece um pedido de autorização para que o endereço do hacker opere os tokens do usuário. Uma vez que o usuário confirme, o hacker poderá controlar os ativos do usuário.
No entanto, a autorização de phishing exige o pagamento de taxas de Gas, muitos usuários ficam mais alertas ao ver um pedido de pagamento aparecer na carteira, tornando-se, portanto, relativamente fácil de prevenir.
E a assinatura de pescaria Permit e Permit2 é ainda mais disfarçada e perigosa. Permit é uma funcionalidade de extensão do padrão ERC-20, que permite aos usuários aprovar outras pessoas a operar seus tokens por meio de uma assinatura. O usuário apenas precisa assinar um "bilhete" que contém as informações de autorização, e quem possuir esse "bilhete" pode agir em nome do usuário para realizar operações de autorização.
Permit2 é uma funcionalidade lançada por um DEX para melhorar a experiência do usuário. Permite que os usuários autorizem uma grande quantia de uma só vez ao contrato Permit2, e depois, em cada transação, basta assinar a confirmação, sem necessidade de pagar taxas de Gas adicionais.
As duas formas de phishing são difíceis de prevenir porque os usuários já estão acostumados a assinar antes de usar DApps e muitas vezes não verificam cuidadosamente o conteúdo específico da assinatura.
Para prevenir a phishing de assinatura, os usuários devem:
Desenvolver uma consciência de segurança, verificando cuidadosamente as operações em andamento sempre que usar a carteira.
Separe os grandes fundos da carteira que usa no dia a dia, para reduzir as perdas potenciais.
Aprenda a reconhecer o formato de assinatura do Permit e do Permit2, e fique particularmente atento quando vir pedidos de assinatura que contenham as seguintes informações:
Ao compreender os princípios e métodos de prevenção desses mecanismos de phishing, os usuários podem proteger melhor a segurança dos seus ativos digitais.