Web3 İmza Phishing Tuzaklarının Analizi: Yetkilendirme, Permit ve Permit2 Mekanizmalarının İncelenmesi

Son zamanlarda, Web3 alanında hackerlar yeni bir oltalama yöntemi olan "imza oltalaması" ile ilgileniyor. Güvenlik uzmanları ve cüzdan şirketleri sürekli olarak bu konuda farkındalık yaratmaya ve uyarılar yapmaya çalışsalar da, her gün birçok kullanıcı tuzağa düşüyor. Bu durumun başlıca nedenlerinden biri, çoğu kullanıcının cüzdan etkileşimlerinin temel mantığını anlamaması ve teknik olmayan kişiler için ilgili bilgilerin öğrenme eşiğinin oldukça yüksek olmasıdır.

Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, bu makale imza phishing'in temel mantığını basit ve anlaşılır bir şekilde açıklayacak, özellikle teknik bilgisi olmayan kullanıcılar için.

Öncelikle, cüzdan kullanırken esas olarak iki tür işlemle ilgilendiğimizi anlamamız gerekiyor: "imza" ve "etkileşim". Kısacası, imza blok zincirinin dışında gerçekleşen bir işlemdir ve Gas ücreti ödemeniz gerekmez; etkileşim ise blok zincirinde gerçekleşir ve Gas ücreti ödemeniz gerekir.

İmza atmanın tipik bir sahnesi kimlik doğrulama için kullanılır, örneğin cüzdana giriş yaparken. Bir DApp üzerinde işlem yapmanız gerektiğinde, önce bu cüzdanın sahibi olduğunuzu kanıtlamak için imza atmanız gerekir. Bu süreç, blokzincir üzerinde herhangi bir maddi değişiklik yaratmaz, bu nedenle ücret ödemeniz gerekmiyor.

Buna karşılık, etkileşim gerçek zincir üzerindeki işlemleri içerir. Örneğin, belirli bir DEX'te token takası yapmak istediğinizde, öncelikle DEX'in akıllı sözleşmesine token'larınızı kullanabilmesi için yetki vermeniz gerekir, ardından gerçek takas işlemini gerçekleştirirsiniz. Bu iki adımda da Gas ücreti ödemeniz gerekir.

İmza ve etkileşim arasındaki farkı anladıktan sonra, birkaç yaygın kimlik avı yöntemine bakalım: yetkilendirme kimlik avı, Permit imza kimlik avı ve Permit2 imza kimlik avı.

Yetkilendirme phishing, yetkilendirme (approve) mekanizmasını kullanan klasik bir phishing yöntemidir. Hackerlar, NFT projesi gibi görünen bir phishing sitesi oluşturabilir ve kullanıcıları "airdrop al" butonuna tıklamaya yönlendirebilir. Aslında, kullanıcı tıkladığında, hacker adresinin kullanıcı tokenlerini yönetmesi için bir yetkilendirme isteği açılır. Kullanıcı onayladığında, hacker kullanıcı varlıklarını kontrol edebilir.

Ancak, yetkilendirilmiş phishing, Gas ücreti ödenmesi gerektiği için birçok kullanıcı cüzdanın ödeme talebi ile açıldığını gördüğünde dikkatini artırır, bu nedenle nispeten kolay bir şekilde önlenebilir.

Permit ve Permit2 imza phishingi daha gizli ve tehlikelidir. Permit, kullanıcıların imza ile başkalarına kendi token'larını işlem yapma izni vermesine olanak tanıyan ERC-20 standardının bir uzantı işlevidir. Kullanıcılar sadece yetkilendirme bilgilerini içeren bir "kağıt" imzalamak zorundadır, bu "kağıt"a sahip olan kişi kullanıcı adına yetkilendirme işlemleri gerçekleştirebilir.

Permit2, bazı DEX'lerin kullanıcı deneyimini geliştirmek için sunduğu bir özelliktir. Kullanıcıların Permit2 sözleşmesine yüksek miktarda tek seferlik yetki vermesine olanak tanır, ardından her işlem için yalnızca onay imzalamak yeterlidir, ek Gas ücreti ödemeye gerek yoktur.

Bu iki balık avlama yönteminin önlenmesinin zor olmasının sebebi, kullanıcıların DApp kullanmadan önce imza işlemi yapmaya alışmaları ve genellikle imzanın içeriğini dikkatlice kontrol etmemeleridir.

İmza phishing'ine karşı önlem almak için kullanıcılar şunları yapmalıdır:

1. Güvenlik bilincini geliştirin, cüzdanınızı her kullanışınızda yapılan işlemleri dikkatlice kontrol edin.

2. Büyük miktardaki fonları günlük kullanılan cüzdanlardan ayırarak potansiyel kayıpları azaltın.

3. Permit ve Permit2'nin imza formatlarını tanımayı öğrenin; aşağıdaki bilgileri içeren bir imza talebi gördüğünüzde ekstra dikkatli olun:

   • Etkileşimli: etkileşimli web sitesi
   • Sahip：Yetki veren adres
   • Spender: Yetkilendirilmiş taraf adresi
   • Değer: Yetki verilen miktar
   • Nonce: rastgele sayı
   • Son Tarih：geçerlilik süresi

Bu oltalama mekanizmalarının prensiplerini ve önleme yöntemlerini anlayarak, kullanıcılar dijital varlıklarının güvenliğini daha iyi koruyabilirler.