Chuyển tiêu đề gốc 'Giải thích Web3 Signing Phishing Logic một cách rõ ràng 'Sự khác biệt giữa 'Phishing cho phép' và 'Phishing cho phép 2'

Tóm tắt nhanh:

“Tại sao tôi mất tiền chỉ vì ký tên??” “Lừa đảo chữ ký” hiện đang trở thành phương pháp lừa đảo ưa thích của các hacker trong Web3. Gần đây, tôi thấy nhiều chuyên gia như Cosine và các ví điện tử cùng các công ty bảo mật liên tục quảng cáo và giáo dục về kiến thức về chữ ký lừa đảo. Nhưng vẫn còn nhiều người bị lừa mỗi ngày.

Một trong những lý do mà Spinach tin là hầu hết mọi người không hiểu logic cơ bản của việc đổi ví, và đối với những người không hiểu biết về công nghệ, đòi hỏi mức học vấn quá cao. Vì vậy, Spinach quyết định tạo ra một phiên bản minh họa để giáo dục người dùng về logic cơ bản của lừa đảo chữ ký, và cố gắng làm cho nó dễ hiểu hơn đối với những người không hiểu biết về công nghệ.

Đầu tiên, chúng ta cần hiểu rằng chỉ có hai loại hoạt động khi sử dụng ví: “ký” và “đổi.” Sự hiểu biết đơn giản và trực tiếp nhất là: ký xảy ra bên ngoài chuỗi khối (off-chain), và không đòi hỏi chi phí Gas; đổi xảy ra trên chuỗi khối (on-chain), và đòi hỏi chi phí Gas.

Kịch bản phổ biến để ký là để xác minh rằng bạn chính là bạn, chẳng hạn như đăng nhập vào ví. Ví dụ, nếu bạn muốn hoán đổi token trên Uniswap, bạn cần kết nối ví của bạn trước. Tại điểm này, bạn cần ký một tin nhắn để cho trang web biết “Tôi là chủ sở hữu của ví này,” và sau đó bạn có thể sử dụng Uniswap. Bước này không gây ra bất kỳ thay đổi dữ liệu hoặc trạng thái nào trên blockchain, vì vậy nó không yêu cầu tiêu tiền.

Về việc hoán đổi, khi bạn thực sự muốn hoán đổi token trên Uniswap, bạn cần phải chi tiêu một số tiền để thông báo cho hợp đồng thông minh của Uniswap: “Tôi muốn trao đổi 100 USDT để được Spinach coin, và tôi ủy quyền bạn để chuyển động 100 USDT của tôi.” Bước này được gọi là ủy quyền. Sau đó, bạn cần phải chi tiêu một lượng tiền khác để thông báo cho hợp đồng thông minh của Uniswap: “Tôi đã sẵn sàng trao đổi 100 USDT để được Spinach coin, bạn có thể tiến hành thao tác ngay bây giờ.” Sau đó, bạn đã hoàn tất thao tác trao đổi 100 USDT để được Spinach coin.

Sau khi hiểu đơn giản về sự khác biệt giữa chữ ký và hoán đổi, hãy giới thiệu nguyên tắc lừa đảo. Lừa đảo thường liên quan đến ba phương pháp khác nhau: Lừa đảo ủy quyền, Lừa đảo chữ ký giấy phép và Lừa đảo chữ ký Permit2. Ba phương pháp lừa đảo này rất phổ biến.

Hãy bắt đầu với Phishing Ủy quyền, đây là một trong những kỹ thuật phishing cổ điển trong Web3. Như tên cho thấy, nó lợi dụng cơ chế ủy quyền (approve). Như đã thấy trong ví dụ của Uniswap, ủy quyền cho phép một hợp đồng thông minh "chấp thuận bạn di chuyển xxx số lượng Token của tôi." Một hacker có thể tạo ra một trang web phishing giả mạo, được ẩn dưới dạng một dự án NFT với một giao diện hấp dẫn. Giữa trang web, có một nút lớn đẹp nói "Nhận Airdrop Của Bạn." Khi nhấp chuột, ví sẽ hiện ra một màn hình yêu cầu bạn ủy quyền Token của mình cho địa chỉ của hacker. Nếu bạn xác nhận điều này, chúc mừng, hacker đã hoàn thành một KPI thành công.

Nhưng Lừa đảo ủy quyền lại có một vấn đề: vì nó yêu cầu phí Gas, nhiều người rất cẩn trọng khi tiêu tiền. Sau khi nhấp vào một trang web đáng ngờ, mọi người thường nhanh chóng nhận ra rằng có điều gì đó không ổn, khiến việc ngăn chặn tương đối dễ dàng.

Bây giờ chúng ta hãy chuyển sang trọng tâm của ngày hôm nay: Lừa đảo Chữ ký Phishing và Permit2, là điểm nóng trong lĩnh vực bảo mật tài sản Web3. Tại sao chúng lại khó phòng thủ đến vậy? Điều đó là vì mỗi khi bạn muốn sử dụng một ứng dụng phi tập trung, bạn phải đăng nhập vào ví của mình. Nhiều người đã phát triển một tư duy quen rồi: “Thao tác này là an toàn.” Ngoài ra, nó không đòi hỏi tiêu tiền, và hầu hết mọi người không hiểu rõ ý nghĩa sau mỗi chữ ký.

Trước tiên chúng ta hãy xem xét cơ chế Giấy phép. Giấy phép là một tính năng mở rộng để ủy quyền theo tiêu chuẩn ERC-20. Ví dụ: USDT, mà chúng tôi thường sử dụng, là mã thông báo ERC-20. Nói một cách đơn giản, Giấy phép cho phép bạn ký và phê duyệt người khác di chuyển Token của bạn. Chúng tôi biết rằng ủy quyền (Phê duyệt) là khi bạn chi tiền nói với hợp đồng thông minh: "Bạn có thể chuyển xxx số lượng Token của tôi." Vì vậy, Giấy phép giống như ký một "ghi chú" cho ai đó, nêu rõ: "Tôi cho phép ai đó chuyển xxx số lượng Token của tôi." Sau đó, người này trình bày "ghi chú" này cho hợp đồng thông minh và trả phí Gas, nói với hợp đồng thông minh: "Anh ta cho phép tôi chuyển xxx số lượng Token của anh ta." Sau đó, Token của bạn có thể được chuyển bởi người khác. Trong quá trình này, bạn chỉ cần ký tên, nhưng đằng sau nó, điều đó có nghĩa là bạn cho phép người khác gọi ủy quyền (Phê duyệt) và chuyển Token của bạn. Tin tặc có thể tạo một trang web lừa đảo, thay thế nút đăng nhập ví bằng nút lừa đảo Permit, giúp bạn dễ dàng lấy tài sản của mình.

Vậy Permit2 là gì? Permit2 thực sự không phải là một chức năng của ERC-20, mà là một chức năng được Uniswap ra mắt để thuận tiện cho người dùng. Ví dụ trước đã nói rằng nếu bạn muốn trao đổi USDT thành đồng tiền spinach trên Uniswap, bạn cần ủy quyền (Approve) một lần và sau đó trao đổi. , điều này đòi hỏi hai phí gas, vì vậy Uniswap đã nghĩ ra một cách: “Bạn ủy quyền tất cả hạn mức cho tôi một lần, và bạn ký tên mỗi lần bạn đổi lại và tôi sẽ xử lý cho bạn.” Chức năng này giúp người dùng Uniswap Bạn chỉ cần thanh toán phí Gas một lần khi sử dụng nó, và bước này là ký, vì vậy phí Gas thực sự không được bạn thanh toán, mà được hợp đồng Permit2 thanh toán, nhưng nó sẽ được trừ từ Token bạn cuối cùng đổi lại.

Tuy nhiên, điều kiện cho việc lừa đảo Permit2 là bạn phải đã sử dụng Uniswap trước đó và ủy quyền phép chuyển khoản không giới hạn cho hợp đồng thông minh Permit2. Khi hoạt động mặc định của Uniswap hiện tại là cấp phép chuyển khoản không giới hạn, số lượng người dùng đáp ứng điều kiện này khá lớn. Tương tự, miễn là kẻ tấn công lừa bạn ký vào Permit2, họ có thể chuyển đổi Token của bạn (giới hạn chỉ các Token bạn đã ủy quyền trước đó).

Tóm lại, bản chất của lừa đảo ủy quyền là bạn chi tiền để nói với hợp đồng thông minh, “Tôi chấp thuận bạn di chuyển Token của tôi đến hacker.” Bản chất của lừa đảo chữ ký là bạn ký một “ghi chú” cho phép người khác di chuyển tài sản của bạn đến hacker, và hacker chi tiền để nói với hợp đồng thông minh, “Tôi muốn di chuyển Token của anh ta đến tôi.” Permit và Permit2 hiện đang là điểm nóng cho lừa đảo chữ ký. Permit là tính năng mở rộng ủy quyền của ERC-20, trong khi Permit2 là một tính năng mới được giới thiệu bởi Uniswap.

Vậy, bạn có thể ngăn chặn những cuộc tấn công lừa đảo này như thế nào khi bạn đã hiểu rõ nguyên tắc?

1. Nâng cao ý thức an ninh: Rất quan trọng phải luôn kiểm tra thao tác bạn đang thực hiện mỗi khi tương tác với ví của mình.

2. Phân tách Quỹ Lớn và Ví cho Các Hoạt Động Trên Chuỗi:** Bằng cách phân tách quỹ lớn khỏi các ví được sử dụng cho các hoạt động trên chuỗi, bạn có thể giảm thiểu tổn thất nếu trở thành nạn nhân của lừa đảo.

3. Học cách nhận dạng định dạng chữ ký Permit và Permit2: ** Hãy cẩn thận mỗi khi bạn gặp phải các định dạng chữ ký sau:

Tương tác: URL của việc đổi đổi

Chủ sở hữu: Địa chỉ của người ủy quyền

Người Chi: Địa chỉ của bên được ủy quyền

Giá trị: Số lượng được ủy quyền

Nonce: Số ngẫu nhiên

Hạn chót: Thời gian hết hạn

Disclaimer：

1. Bài viết này được sao chép từ [Gate菠菜菠菜谈Web3]. Chuyển tiêu đề gốc '大白话讲解Web3签名钓鱼底层逻辑'授权钓鱼、Permit与Permit2的区别'. Tất cả bản quyền thuộc về tác giả gốc [菠菜菠菜谈Web]Nếu có ý kiến ​​phản đối về việc tái bản này, vui lòng liên hệ Cổng họcđội, và họ sẽ xử lý nhanh chóng.
2. Tuyên bố miễn trừ trách nhiệm: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ thuộc về tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.
3. Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được nêu, việc sao chép, phân phối hoặc đạo văn các bài viết đã dịch là cấm.