Анализ веб3-фишинга: механизмы авторизации, Permit и Permit2

В последнее время хакеры в области Web3 активно используют новый метод фишинга — "фишинг с подписями". Несмотря на то, что специалисты по безопасности и компании-кошельки постоянно информируют и предупреждают об этом, каждый день множество пользователей попадают в ловушку. Одной из основных причин этого явления является то, что большинство пользователей не понимают основную логику взаимодействия с кошельком, а для нетехнических специалистов порог входа для изучения соответствующих знаний довольно высок.

Чтобы помочь большему числу людей понять эту проблему, в данной статье будет доступно и понятно объяснена основная логика подписного фишинга, особенно для пользователей, не разбирающихся в технологиях.

Во-первых, нам нужно понять, что при использовании кошелька в основном вовлечены две операции: "подпись" и "взаимодействие". Проще говоря, подпись - это операция, происходящая вне блокчейна, которая не требует оплаты Gas; в то время как взаимодействие происходит в блокчейне и требует оплаты Gas.

Типичный сценарий подписи используется для аутентификации, например, для входа в кошелек. Когда вам нужно выполнить действия в каком-либо DApp, вам сначала нужно подписать, чтобы доказать, что вы являетесь владельцем этого кошелька. Этот процесс не вносит никаких существенных изменений в блокчейн, поэтому нет необходимости платить комиссию.

В отличие от этого, взаимодействие включает в себя фактические операции на блокчейне. Например, когда вы хотите обменять токены на каком-либо DEX, вам сначала нужно разрешить смарт-контракту DEX использовать ваши токены, а затем выполнить саму операцию обмена. Оба этих шага требуют оплаты Gas.

После того как мы разобрались в различиях между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга: фишинг через авторизацию, фишинг через подпись Permit и фишинг через подпись Permit2.

Авторизация фишинга — это классическая методика фишинга, использующая механизм авторизации (approve). Хакеры могут создать фишинговый сайт, маскирующийся под проект NFT, чтобы заманить пользователей нажать кнопку "Получить аирдроп". На самом деле, после нажатия пользователю появляется запрос на авторизацию адреса хакера для управления токенами пользователя. Как только пользователь подтвердит, хакер сможет контролировать активы пользователя.

Однако авторизованный фишинг требует оплаты Gas-ставки, поэтому многие пользователи становятся настороженными, когда видят всплывающее запрос на оплату от кошелька, что делает его относительно легко предотвращаемым.

А подписи Permit и Permit2 для фишинга еще более скрытны и опасны. Permit является расширенной функцией стандарта ERC-20, которая позволяет пользователям одобрять операции с их токенами от имени других пользователей с помощью подписи. Пользователю нужно лишь подписать "записку", содержащую информацию об одобрении, и тот, кто владеет этой "запиской", может выполнять операции от имени пользователя.

Permit2 — это функция, которая была введена некоторыми DEX для улучшения пользовательского опыта. Она позволяет пользователям единовременно предоставить крупные полномочия контракту Permit2, после чего для каждой сделки требуется только подписать подтверждение, без необходимости вновь платить дополнительные сборы за Gas.

Эти два типа фишинга трудно предотвратить, потому что пользователи уже привыкли к тому, что перед использованием DApp они выполняют операцию подписи и часто не проверяют конкретное содержание подписи.

Чтобы предотвратить фишинг подписей, пользователи должны:

1. Воспитывайте осознание безопасности, внимательно проверяйте выполняемую операцию каждый раз, когда вы используете кошелек.

2. Разделите крупные суммы денег и кошелек для повседневного использования, чтобы снизить потенциальные потери.

3. Научитесь распознавать форматы подписей Permit и Permit2, будьте особенно осторожны, когда видите запросы на подпись, содержащие следующую информацию:

   • Interactive：Интерактивный сайт
   • Владелец：Адрес уполномоченного лица
   • Spender: адрес уполномоченного лица
   • Значение：授权数量
   • Нонс: случайное число
   • Срок: время истечения

Понимая принципы и методы защиты от этих фишинговых механизмов, пользователи могут лучше защитить безопасность своих цифровых активов.