Аналіз фішингових пасток Web3: розбір механізмів авторизації, Permit та Permit2

Нещодавно хакери в сфері Web3 активно використовують новий метод фішингу — "фішинг за підписом". Незважаючи на те, що експерти з безпеки та компанії з розробки гаманців постійно проводять просвітницьку роботу та попереджають про це, щодня чимало користувачів потрапляють у пастку. Однією з основних причин цього явища є те, що більшість користувачів не розуміють основну логіку взаємодії з гаманцем, а для нетехнічних спеціалістів рівень знань, необхідний для навчання, є досить високим.

Щоб допомогти більшій кількості людей зрозуміти цю проблему, у цій статті буде простими словами пояснено основну логіку підписного фішингу, особливо для тих, хто не розуміє технічних аспектів.

По-перше, нам потрібно зрозуміти, що при використанні гаманця основними операціями є: "підписання" та "взаємодія". Простими словами, підписання - це операція, що відбувається поза блокчейном, яка не потребує сплати газу; тоді як взаємодія відбувається в блокчейні і вимагає сплати газу.

Типовою ситуацією підписання є використання для перевірки особи, наприклад, при вході до гаманця. Коли вам потрібно виконати дії в певному DApp, спочатку вам потрібно підтвердити, що ви є власником цього гаманця, підписавши. Цей процес не призводить до жодних суттєвих змін у блокчейні, тому плата не стягується.

У порівнянні, інтерактивність передбачає фактичні операції в мережі. Наприклад, коли ви хочете обміняти токени на певному DEX, вам спочатку потрібно надати дозвіл смарт-контракту DEX на використання ваших токенів, а потім виконати фактичну операцію обміну. Обидва ці етапи вимагають сплати Gas-кошту.

Зрозумівши різницю між підписом та взаємодією, давайте розглянемо кілька поширених способів фішингу: фішинг через авторизацію, фішинг через підпис Permit та фішинг через підпис Permit2.

Авторизаційна риболовля - це класичний метод риболовлі, який використовує механізм авторизації (approve). Хакери можуть створити фішинговий веб-сайт, що маскується під проект NFT, щоб спонукати користувачів натиснути кнопку "Отримати аеродроп". Насправді, після натискання користувача з'являється запит на авторизацію адреси хакера для управління токенами користувача. Як тільки користувач підтверджує, хакер може контролювати активи користувача.

Однак авторизаційна фішингова атака, оскільки вимагає сплати Gas-кошту, багато користувачів підвищують пильність, коли бачать спливаюче вікно гаманця з запитом на оплату, тому її відносно легко запобігти.

Але підписування фішингу Permit та Permit2 є ще більш прихованим і небезпечним. Permit є розширеною функцією стандарту ERC-20, яка дозволяє користувачам уповноважувати інших підписом для виконання операцій з їхніми токенами. Користувачеві потрібно лише підписати "записку", що містить інформацію про уповноваження, і той, хто має цю "записку", може представляти користувача під час уповноваження.

Permit2 – це функція, яку впровадив певний DEX для покращення досвіду користувачів. Вона дозволяє користувачам одноразово надати велику суму дозволу контракту Permit2, після чого для кожної угоди потрібно лише підписати підтвердження, без необхідності сплачувати додаткові Gas-кошти.

Ці два способи фішингу важко запобігти, оскільки користувачі вже звикли підписувати операції перед використанням DApp і часто не перевіряють деталі підпису.

Щоб запобігти фішингу підписів, користувачі повинні:

1. Виховувати свідомість безпеки, кожного разу перевіряючи виконувану операцію під час роботи з гаманцем.

2. Розділіть великі суми грошей і кошти для щоденного використання, щоб зменшити потенційні втрати.

3. Навчіться розпізнавати формати підписів Permit та Permit2, будьте особливо обережні, коли бачите запити на підпис, що містять таку інформацію:

   • Інтерактивний：інтерактивна адреса
   • Власник：адреса уповноваженої особи
   • Spender: адреса уповноваженої особи
   • Значення：Кількість авторизацій
   • Nonce: випадкове число
   • Дедлайн：термін придатності

Зрозумівши принципи цих механізмів фішингу та методи запобігання, користувачі можуть краще захищати свою цифрову власність.