index
index
Посібник для початківців
Розпочніть тут
Курси
статті
ВсіAltcoinBitcoinรายการบันทึกบล็อกเชนDeFiEthereumMetaverseNFTการเทรดบทแนะนำฟิวเจอร์สTrading BotBRC-20GameFiDAOMacro TrendsWalletsInscriptionเทคโนโลยีMemeAISocialFiDePinStablecoinLiquid StakingการเงินRWAบล็อกเชนแบบโมดูลาร์ บทพิสูจน์ความรู้เป็นศูนย์ Restakingเครื่องมือคริปโตAirdropผลิตภัณฑ์ Gateความปลอดภัยการวิเคราะห์โครงการCryptoPulseวิจัยTON EcosystemLayer 2SolanaPaymentsMiningหัวข้อยอดนิยมP2PSui EcosystemChain Abstractionออปชันอ่านสั้นๆวิดีโอรายงานประจำวัน
Глосарій
Дослідження
Мої обрані
Creator Incentive
Активність
Арена творця
Посол кампусу
Фестиваль творців відео
Щоденний навчальний челендж
Хот-спот чек-ін
Learn
ลวิกซ์ซิงเนเจอริ่งของการปลอมแปลง Web3

ลวิกซ์ซิงเนเจอริ่งของการปลอมแปลง Web3

กลาง
บทแนะนำเทคโนโลยี
4/29/2024, 2:01:48 AM
การโจมตีการโอนเงินเสมือนเป็นวิธีในการขโมยสินทรัพย์ของผู้ใช้โดยการใช้ข้อกำหนดเซ็นเนเจอร์ วิธีที่พบบ่อยรวมถึงการโจมตีการเซ็นเนเจอร์ Permit และ Permit2 ผู้ใช้ควรเพิ่มการตระหนักรู้ความปลอดภัยของตนเอง แยกระแสเงินทุนขนาดใหญ่จากกระเป๋าเงินออนเชน และเรียนรู้การระบุรูปแบบของลายเซ็นเนเจอร์เพื่อป้องกันการโจมตีการโอนเงินเสมือน การใช้งาน Permit2 เป็นคุณสมบัติที่ถูกนำเสนอโดย Uniswap ซึ่งมีโอกาสถูกใช้ง่ายโดยเว็บไซต์ที่มีจุดอ่อนในด้านการโจมตีการโอนเงินเสมือน

Forward the Original Title ‘大白话讲解Web3签名钓鱼底层逻辑“授权钓鱼、Permit与Permit2的区别’

TL;DR

“ทำไมฉันสูญเสียเงินแค่ลงลายมือ??” “ฟิชชิงลายมือ” กำลังเป็นวิธีการฟิชชิงที่โปรดปรานของฮากเกอร์ใน Web3 ตอนนี้ ทุกครั้งที่เห็น คอซีน และบริษัทที่เชี่ยวชาญหลายราย รวมถึงบริษัทป้องกันความปลอดภัยต่างๆ กำลังส่งเสริมและสอนความรู้เกี่ยวกับการฟิชชิงลายมือ แต่ยังมีผู้คนหลายคนที่ถูกฟิชชิงอยู่ทุกวัน

หนึ่งในเหตุผลที่ Spinach เชื่อคือว่าส่วนใหญ่ของคนไม่เข้าใจตรรกะพื้นฐานของการสลับวอลเล็ต และสำหรับบุคคลที่ไม่เชี่ยวชาญทางเทคโนโลยี ความเข้าใจต้องสูงเกินไป ดังนั้น Spinach ตัดสินใจสร้างเวอร์ชันภาพประกอบเพื่อสอนคนเกี่ยวกับตรรกะพื้นฐานของการลวดลวบลายเซ็นเจอร์ และพยายามที่จะทำให้มันเข้าใจได้ แม้กระทั่งสำหรับบุคคลที่ไม่เชี่ยวชาญทางเทคโนโลยี

ก่อนอื่นเราต้องเข้าใจว่ามีเพียงสองประเภทของการดำเนินการเมื่อใช้กระเป๋าเงิน: "ลงนาม" และ "สวาร์ป" วิธีที่ง่ายที่สุดและโดยตรงที่สุดคือ: การลงนามเกิดขึ้นนอกบล็อกเชน (off-chain) และไม่ต้องใช้ค่าธรรมเนียม Gas; สวาร์ปเกิดขึ้นบนบล็อกเชน (on-chain) และต้องใช้ค่าธรรมเนียม Gas

สถานการณ์ทั่วไปสำหรับการเซ็นต์คือเพื่อยืนยันว่าคุณคือคุณ เช่น เข้าสู่กระเป๋าสตางค์ ตัวอย่างเช่น หากคุณต้องการสลับโทเค็นบน Uniswap คุณจำเป็นต้องเชื่อมต่อกระเป๋าสตางค์ของคุณก่อน ณ จุดนี้ คุณจำเป็นต้องเซ็นต์ข้อความเพื่อบอกเว็บไซต์ว่า “ฉันคือเจ้าของกระเป๋าสตางค์นี้” และจึงจะสามารถใช้ Uniswap ได้ ขั้นตอนนี้ไม่ทำให้เกิดการเปลี่ยนแปลงข้อมูลหรือสถานะใด ๆ บนบล็อกเชน ดังนั้น มันไม่ต้องใช้เงิน

สําหรับการแลกเปลี่ยนเมื่อคุณต้องการแลกเปลี่ยนโทเค็นบน Uniswap คุณต้องใช้เงินเพื่อบอกสัญญาอัจฉริยะของ Uniswap: "ฉันต้องการแลกเปลี่ยน 100 USDT เป็นเหรียญผักโขมและฉันอนุญาตให้คุณย้าย 100 USDT ของฉัน" ขั้นตอนนี้เรียกว่าการอนุมัติ จากนั้นคุณต้องใช้เงินอีกจํานวนหนึ่งเพื่อบอกสัญญาอัจฉริยะของ Uniswap: "ตอนนี้ฉันพร้อมที่จะแลกเปลี่ยน 100 USDT เป็นเหรียญผักโขมคุณสามารถดําเนินการได้ทันที" หลังจากนั้นคุณได้ดําเนินการแลกเปลี่ยน 100 USDT เป็นเหรียญผักโขมเรียบร้อยแล้ว

หลังจากที่เข้าใจความแตกต่างระหว่างลายมือชื่อและสวอพส์อย่างง่าย มาเรียนรู้หลักการของ ฟิชชิง กัน เฟื้อฟิชชิง มักจะมี 3 วิธีที่แตกต่างกัน: ฟิชชิงการอนุญาต, ฟิชชิงลายมือชื่ออนุญาต, และ ฟิชชิงลายมือชื่อ2 สิ่งเหล่านี้เป็นวิธี ฟิชชิง ที่สามารถพบได้บ่อยมาก

เริ่มจาก Authorization Phishing ซึ่งเป็นหนึ่งในเทคนิคฟิชชิ่งแบบคลาสสิกใน Web3 ตามชื่อที่แนะนํามันใช้ประโยชน์จากกลไกการอนุญาต (อนุมัติ) ดังที่เห็นในตัวอย่างของ Uniswap การอนุญาตช่วยให้สัญญาอัจฉริยะสามารถ "อนุมัติให้คุณย้ายจํานวนโทเค็นของฉัน xxx" แฮ็กเกอร์สามารถสร้างเว็บไซต์ฟิชชิ่งปลอมซึ่งปลอมตัวเป็นโครงการ NFT ที่มีส่วนหน้าที่น่าสนใจ ตรงกลางเว็บไซต์มีปุ่มขนาดใหญ่ที่สวยงามว่า "อ้างสิทธิ์ Airdrop ของคุณ" เมื่อคลิกกระเป๋าเงินจะปรากฏขึ้นพร้อมกับหน้าจอขอให้คุณอนุญาตโทเค็นของคุณไปยังที่อยู่ของแฮ็กเกอร์ หากคุณยืนยันสิ่งนี้ขอแสดงความยินดีแฮ็กเกอร์ได้ทํา KPI สําเร็จแล้ว

แต่การขโมยการใช้สิทธิ์มีปัญหา: เนื่องจากมันต้องใช้ค่า Gas ผู้คนมักระมัดระวังเมื่อต้องเสียค่าใช้จ่าย เมื่อคลิกที่เว็บไซต์ที่น่าสงสัย ผู้คนมักสังเกตเห็นว่ามีบางอย่างผิดปกติอย่างรวดเร็ว ซึ่งทำให้ง่ายต่อการป้องกัน

ตอนนี้เรามาดูไปที่จุดภายในตอนนี้: การโจมตีทรัพยากรบนเว็บ3 ด้วยการปลอมใบอนุญาตและการโจมตีทรัพยากรบนเว็บ3 ซึ่งเป็นจุดภายในที่น่าสนใจในด้านความปลอดภัยของทรัพยากรบนเว็บ3 ทำไมมันยากที่จะป้องกันได้? เพราะทุกครั้งที่คุณต้องการใช้ Dapp คุณต้องลงชื่อเข้าใช้ในกระเป๋าเงินของคุณ มีผู้คนมากมายที่พัฒนาอินเซิร์เชียในการคิดของตน: “การดำเนินการนี้ปลอดภัย” และมันไม่ต้องใช้เงินและส่วนใหญ่คนไม่เข้าใจความหมายของแต่ละใบลงชื่อ

ก่อนอื่นเรามาดูกลไกการอนุญาตกันก่อน ใบอนุญาตเป็นคุณสมบัติส่วนขยายสําหรับการอนุญาตภายใต้มาตรฐาน ERC-20 ตัวอย่างเช่น USDT ซึ่งเราใช้กันทั่วไปคือโทเค็น ERC-20 พูดง่ายๆคือใบอนุญาตช่วยให้คุณสามารถลงนามและอนุมัติบุคคลอื่นเพื่อย้ายโทเค็นของคุณ เรารู้ว่าการอนุญาต (อนุมัติ) คือเมื่อคุณใช้จ่ายเงินเพื่อบอกสัญญาอัจฉริยะ: "คุณสามารถย้ายโทเค็นของฉันจํานวน xxx ได้" ดังนั้นใบอนุญาตจึงเหมือนกับการลงนามใน "บันทึก" ให้กับใครบางคนโดยระบุว่า: "ฉันอนุญาตให้ใครบางคนย้ายโทเค็นของฉัน xxx จํานวน" จากนั้นบุคคลนี้นําเสนอ "หมายเหตุ" นี้ให้กับสัญญาอัจฉริยะและจ่ายค่าธรรมเนียม Gas โดยบอกสัญญาอัจฉริยะ: "เขาอนุญาตให้ฉันย้ายโทเค็นของเขา xxx ได้" จากนั้นคนอื่นสามารถโอนโทเค็นของคุณได้ ในกระบวนการนี้คุณเพียงแค่เซ็นชื่อ แต่ด้านหลังหมายความว่าคุณอนุญาตให้ผู้อื่นเรียกการอนุญาต (อนุมัติ) และโอนโทเค็นของคุณ แฮ็กเกอร์สามารถสร้างเว็บไซต์ฟิชชิ่งแทนที่ปุ่มเข้าสู่ระบบกระเป๋าเงินด้วยปุ่มฟิชชิ่งใบอนุญาตทําให้ง่ายต่อการค้นหาทรัพย์สินของคุณ

ดังนั้น Permit2 คืออะไร? อนุญาต 2 จริงๆ แล้วไม่ใช่ฟังก์ชันของ ERC-20 แต่เป็นฟังก์ชันที่ถูกเปิดตัวโดย Uniswap เพื่อความสะดวกของผู้ใช้ ตัวอย่างก่อนหน้ากล่าวว่าหากคุณต้องการแลกเปลี่ยน USDT เป็นเหรียญ spinach บน Uniswap คุณต้องให้สิทธิ์ (Approve) อีกครั้งและจึงแลกเปลี่ยน ซึ่งต้องใช้ค่า Gas สองครั้ง จึง Uniswap คิดวิธี: 'คุณให้สิทธิ์โควต้าทั้งหมดให้ฉันพร้อมๆ และคุณเซ็นชื่อของคุณทุกครั้งที่คุณแลกเปลี่ยนและฉันจะดูแลให้คุณ' ฟังก์ชันนี้ช่วยให้ผู้ใช้ Uniswap ไม่จำเป็นต้องจ่ายค่า Gas ครั้งเดียวเมื่อใช้ และขั้นตอนนี้คือการเซ็นชื่อ ดังนั้น ค่า Gas จริงๆ ไม่ได้ถูกจ่ายโดยคุณ แต่ถูกจ่ายโดยสัญญา Permit2 แต่จะถูกหักจาก Token ที่คุณแลกเปลี่ยนในที่สุด

อย่างไรก็ตาม เงื่อนไขสำหรับการ ฟิชชิง Permit2 คือ คุณต้องเคยใช้ Uniswap และให้อำนาจไม่จำกัดให้กับสัญญาอัจฉริยะ Permit2 มาก่อน โดยที่การดำเนินการเริ่มต้นของ Uniswap คือการให้อำนาจไม่จำกัดในปัจจุบัน จึงทำให้จำนวนผู้ใช้ที่ตรงตามเงื่อนไขนี้มีจำนวนมากมาย ในทำเดียวกัน ตัวอย่างเช่น หากมีผู้โจมตีหลอกคุณให้ลงนาม Permit2 พวกเขาสามารถโอนโทเค็นของคุณได้ ( จำกัดไว้ที่คุณเคยให้อำนาจไว้ก่อน )

สรุปแล้ว ธรรมชาติของการฉ้อโกงการอนุญาตคือคุณใช้เงินเพื่อบอกสมาร์ทคอนแทรกว่า "ฉันอนุมัติคุณให้ย้ายโทเค็นของฉันไปหาแฮกเกอร์" ธรรมชาติของการฉ้อโกงลายมือคือคุณเซ็น "บันทึก" ที่อนุญาตให้ผู้อื่นย้ายสินทรัพย์ของคุณไปหาแฮกเกอร์ และแฮกเกอร์ใช้เงินเพื่อบอกสมาร์ทคอนแทรกว่า "ฉันต้องการย้ายโทเค็นของเขามาหาฉัน" Permit และ Permit2 ในปัจจุบันเป็นจุดฮอตสปอตสำหรับลายมือฉ้อโกง Permit เป็นคุณสมบัติขยายการอนุญาตของ ERC-20 ในขณะที่ Permit2 เป็นคุณสมบัติใหม่ที่ถูกนำเสนอโดย Uniswap

ดังนั้น คุณจะป้องกันการโจมตีฟิชชิงเหล่านี้ได้อย่างไร หลังจากที่คุณเข้าใจหลักการ

  1. สร้างความตระหนักรู้เรื่องความปลอดภัย:มันสำคัญที่จะตรวจสอบว่าคุณกำลังดำเนินการอะไรทุกครั้งที่คุณมีปฏิสัมพันธ์กับกระเป๋าเงินของคุณ

  2. แยกเงินกองทุนและกระเป๋าสตางค์สำหรับกิจกรรม On-Chain:** โดยการแยกกองทุนขนาดใหญ่จากกระเป๋าสตางค์ที่ใช้สำหรับกิจกรรม on-chain คุณสามารถลดความเสียหายให้น้อยลงหากคุณเป็นเหยื่อของการโจมตี phishing

  3. เรียนรู้วิธีการระบุรูปแบบลายเซ็น Permit และ Permit2: เฝ้าระวังเมื่อคุณพบรูปแบบลายเซ็นต่อไปนี้

อินเทอร์แอคทีฟ: URL ของการสวอพ

เจ้าของ: ที่อยู่ของผู้อนุญาต

ผู้ใช้จ่าย: ที่อยู่ของฝ่ายที่ได้รับอนุญาต

มูลค่า: ปริมาณที่ได้รับอนุญาต

Nonce: หมายเลขสุ่ม

เส้นเวลา: เวลาหมดอายุ

คำปฏิเสธ:

  1. บทความนี้ถูกพิมพ์ใหม่จาก [ Gate Gate พูดคุยเกี่ยวกับ Web3]. Forward the Original Title‘大白话讲解Web3签名钓鱼底层逻辑“授权钓鱼、Permit与Permit2的区别”’. All copyrights belong to the original author [菠菜菠菜谈Web]. หากมีการคัดค้านในการพิมพ์ซ้ำนี้ โปรดติดต่อGate Learnทีม และพวกเขาจะดำเนินการด้วยรวดเร็ว
  2. คำประกาศความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เป็นการให้คำแนะนำในการลงทุนใดๆ
  3. การแปลบทความเป็นภาษาอื่น ๆ นำมาทำโดยทีม Gate Learn นอกเหนือจากที่กล่าวถึงไว้ การคัดลอก การแจกจ่าย หรือการลอกเลียนบทความที่แปลแล้ว ถูกห้าม

Поділіться

Контент

TL;DR

ลวิกซ์ซิงเนเจอริ่งของการปลอมแปลง Web3

กลาง4/29/2024, 2:01:48 AM
การโจมตีการโอนเงินเสมือนเป็นวิธีในการขโมยสินทรัพย์ของผู้ใช้โดยการใช้ข้อกำหนดเซ็นเนเจอร์ วิธีที่พบบ่อยรวมถึงการโจมตีการเซ็นเนเจอร์ Permit และ Permit2 ผู้ใช้ควรเพิ่มการตระหนักรู้ความปลอดภัยของตนเอง แยกระแสเงินทุนขนาดใหญ่จากกระเป๋าเงินออนเชน และเรียนรู้การระบุรูปแบบของลายเซ็นเนเจอร์เพื่อป้องกันการโจมตีการโอนเงินเสมือน การใช้งาน Permit2 เป็นคุณสมบัติที่ถูกนำเสนอโดย Uniswap ซึ่งมีโอกาสถูกใช้ง่ายโดยเว็บไซต์ที่มีจุดอ่อนในด้านการโจมตีการโอนเงินเสมือน
บทแนะนำเทคโนโลยี

TL;DR

Forward the Original Title ‘大白话讲解Web3签名钓鱼底层逻辑“授权钓鱼、Permit与Permit2的区别’

TL;DR

“ทำไมฉันสูญเสียเงินแค่ลงลายมือ??” “ฟิชชิงลายมือ” กำลังเป็นวิธีการฟิชชิงที่โปรดปรานของฮากเกอร์ใน Web3 ตอนนี้ ทุกครั้งที่เห็น คอซีน และบริษัทที่เชี่ยวชาญหลายราย รวมถึงบริษัทป้องกันความปลอดภัยต่างๆ กำลังส่งเสริมและสอนความรู้เกี่ยวกับการฟิชชิงลายมือ แต่ยังมีผู้คนหลายคนที่ถูกฟิชชิงอยู่ทุกวัน

หนึ่งในเหตุผลที่ Spinach เชื่อคือว่าส่วนใหญ่ของคนไม่เข้าใจตรรกะพื้นฐานของการสลับวอลเล็ต และสำหรับบุคคลที่ไม่เชี่ยวชาญทางเทคโนโลยี ความเข้าใจต้องสูงเกินไป ดังนั้น Spinach ตัดสินใจสร้างเวอร์ชันภาพประกอบเพื่อสอนคนเกี่ยวกับตรรกะพื้นฐานของการลวดลวบลายเซ็นเจอร์ และพยายามที่จะทำให้มันเข้าใจได้ แม้กระทั่งสำหรับบุคคลที่ไม่เชี่ยวชาญทางเทคโนโลยี

ก่อนอื่นเราต้องเข้าใจว่ามีเพียงสองประเภทของการดำเนินการเมื่อใช้กระเป๋าเงิน: "ลงนาม" และ "สวาร์ป" วิธีที่ง่ายที่สุดและโดยตรงที่สุดคือ: การลงนามเกิดขึ้นนอกบล็อกเชน (off-chain) และไม่ต้องใช้ค่าธรรมเนียม Gas; สวาร์ปเกิดขึ้นบนบล็อกเชน (on-chain) และต้องใช้ค่าธรรมเนียม Gas

สถานการณ์ทั่วไปสำหรับการเซ็นต์คือเพื่อยืนยันว่าคุณคือคุณ เช่น เข้าสู่กระเป๋าสตางค์ ตัวอย่างเช่น หากคุณต้องการสลับโทเค็นบน Uniswap คุณจำเป็นต้องเชื่อมต่อกระเป๋าสตางค์ของคุณก่อน ณ จุดนี้ คุณจำเป็นต้องเซ็นต์ข้อความเพื่อบอกเว็บไซต์ว่า “ฉันคือเจ้าของกระเป๋าสตางค์นี้” และจึงจะสามารถใช้ Uniswap ได้ ขั้นตอนนี้ไม่ทำให้เกิดการเปลี่ยนแปลงข้อมูลหรือสถานะใด ๆ บนบล็อกเชน ดังนั้น มันไม่ต้องใช้เงิน

สําหรับการแลกเปลี่ยนเมื่อคุณต้องการแลกเปลี่ยนโทเค็นบน Uniswap คุณต้องใช้เงินเพื่อบอกสัญญาอัจฉริยะของ Uniswap: "ฉันต้องการแลกเปลี่ยน 100 USDT เป็นเหรียญผักโขมและฉันอนุญาตให้คุณย้าย 100 USDT ของฉัน" ขั้นตอนนี้เรียกว่าการอนุมัติ จากนั้นคุณต้องใช้เงินอีกจํานวนหนึ่งเพื่อบอกสัญญาอัจฉริยะของ Uniswap: "ตอนนี้ฉันพร้อมที่จะแลกเปลี่ยน 100 USDT เป็นเหรียญผักโขมคุณสามารถดําเนินการได้ทันที" หลังจากนั้นคุณได้ดําเนินการแลกเปลี่ยน 100 USDT เป็นเหรียญผักโขมเรียบร้อยแล้ว

หลังจากที่เข้าใจความแตกต่างระหว่างลายมือชื่อและสวอพส์อย่างง่าย มาเรียนรู้หลักการของ ฟิชชิง กัน เฟื้อฟิชชิง มักจะมี 3 วิธีที่แตกต่างกัน: ฟิชชิงการอนุญาต, ฟิชชิงลายมือชื่ออนุญาต, และ ฟิชชิงลายมือชื่อ2 สิ่งเหล่านี้เป็นวิธี ฟิชชิง ที่สามารถพบได้บ่อยมาก

เริ่มจาก Authorization Phishing ซึ่งเป็นหนึ่งในเทคนิคฟิชชิ่งแบบคลาสสิกใน Web3 ตามชื่อที่แนะนํามันใช้ประโยชน์จากกลไกการอนุญาต (อนุมัติ) ดังที่เห็นในตัวอย่างของ Uniswap การอนุญาตช่วยให้สัญญาอัจฉริยะสามารถ "อนุมัติให้คุณย้ายจํานวนโทเค็นของฉัน xxx" แฮ็กเกอร์สามารถสร้างเว็บไซต์ฟิชชิ่งปลอมซึ่งปลอมตัวเป็นโครงการ NFT ที่มีส่วนหน้าที่น่าสนใจ ตรงกลางเว็บไซต์มีปุ่มขนาดใหญ่ที่สวยงามว่า "อ้างสิทธิ์ Airdrop ของคุณ" เมื่อคลิกกระเป๋าเงินจะปรากฏขึ้นพร้อมกับหน้าจอขอให้คุณอนุญาตโทเค็นของคุณไปยังที่อยู่ของแฮ็กเกอร์ หากคุณยืนยันสิ่งนี้ขอแสดงความยินดีแฮ็กเกอร์ได้ทํา KPI สําเร็จแล้ว

แต่การขโมยการใช้สิทธิ์มีปัญหา: เนื่องจากมันต้องใช้ค่า Gas ผู้คนมักระมัดระวังเมื่อต้องเสียค่าใช้จ่าย เมื่อคลิกที่เว็บไซต์ที่น่าสงสัย ผู้คนมักสังเกตเห็นว่ามีบางอย่างผิดปกติอย่างรวดเร็ว ซึ่งทำให้ง่ายต่อการป้องกัน

ตอนนี้เรามาดูไปที่จุดภายในตอนนี้: การโจมตีทรัพยากรบนเว็บ3 ด้วยการปลอมใบอนุญาตและการโจมตีทรัพยากรบนเว็บ3 ซึ่งเป็นจุดภายในที่น่าสนใจในด้านความปลอดภัยของทรัพยากรบนเว็บ3 ทำไมมันยากที่จะป้องกันได้? เพราะทุกครั้งที่คุณต้องการใช้ Dapp คุณต้องลงชื่อเข้าใช้ในกระเป๋าเงินของคุณ มีผู้คนมากมายที่พัฒนาอินเซิร์เชียในการคิดของตน: “การดำเนินการนี้ปลอดภัย” และมันไม่ต้องใช้เงินและส่วนใหญ่คนไม่เข้าใจความหมายของแต่ละใบลงชื่อ

ก่อนอื่นเรามาดูกลไกการอนุญาตกันก่อน ใบอนุญาตเป็นคุณสมบัติส่วนขยายสําหรับการอนุญาตภายใต้มาตรฐาน ERC-20 ตัวอย่างเช่น USDT ซึ่งเราใช้กันทั่วไปคือโทเค็น ERC-20 พูดง่ายๆคือใบอนุญาตช่วยให้คุณสามารถลงนามและอนุมัติบุคคลอื่นเพื่อย้ายโทเค็นของคุณ เรารู้ว่าการอนุญาต (อนุมัติ) คือเมื่อคุณใช้จ่ายเงินเพื่อบอกสัญญาอัจฉริยะ: "คุณสามารถย้ายโทเค็นของฉันจํานวน xxx ได้" ดังนั้นใบอนุญาตจึงเหมือนกับการลงนามใน "บันทึก" ให้กับใครบางคนโดยระบุว่า: "ฉันอนุญาตให้ใครบางคนย้ายโทเค็นของฉัน xxx จํานวน" จากนั้นบุคคลนี้นําเสนอ "หมายเหตุ" นี้ให้กับสัญญาอัจฉริยะและจ่ายค่าธรรมเนียม Gas โดยบอกสัญญาอัจฉริยะ: "เขาอนุญาตให้ฉันย้ายโทเค็นของเขา xxx ได้" จากนั้นคนอื่นสามารถโอนโทเค็นของคุณได้ ในกระบวนการนี้คุณเพียงแค่เซ็นชื่อ แต่ด้านหลังหมายความว่าคุณอนุญาตให้ผู้อื่นเรียกการอนุญาต (อนุมัติ) และโอนโทเค็นของคุณ แฮ็กเกอร์สามารถสร้างเว็บไซต์ฟิชชิ่งแทนที่ปุ่มเข้าสู่ระบบกระเป๋าเงินด้วยปุ่มฟิชชิ่งใบอนุญาตทําให้ง่ายต่อการค้นหาทรัพย์สินของคุณ

ดังนั้น Permit2 คืออะไร? อนุญาต 2 จริงๆ แล้วไม่ใช่ฟังก์ชันของ ERC-20 แต่เป็นฟังก์ชันที่ถูกเปิดตัวโดย Uniswap เพื่อความสะดวกของผู้ใช้ ตัวอย่างก่อนหน้ากล่าวว่าหากคุณต้องการแลกเปลี่ยน USDT เป็นเหรียญ spinach บน Uniswap คุณต้องให้สิทธิ์ (Approve) อีกครั้งและจึงแลกเปลี่ยน ซึ่งต้องใช้ค่า Gas สองครั้ง จึง Uniswap คิดวิธี: 'คุณให้สิทธิ์โควต้าทั้งหมดให้ฉันพร้อมๆ และคุณเซ็นชื่อของคุณทุกครั้งที่คุณแลกเปลี่ยนและฉันจะดูแลให้คุณ' ฟังก์ชันนี้ช่วยให้ผู้ใช้ Uniswap ไม่จำเป็นต้องจ่ายค่า Gas ครั้งเดียวเมื่อใช้ และขั้นตอนนี้คือการเซ็นชื่อ ดังนั้น ค่า Gas จริงๆ ไม่ได้ถูกจ่ายโดยคุณ แต่ถูกจ่ายโดยสัญญา Permit2 แต่จะถูกหักจาก Token ที่คุณแลกเปลี่ยนในที่สุด

อย่างไรก็ตาม เงื่อนไขสำหรับการ ฟิชชิง Permit2 คือ คุณต้องเคยใช้ Uniswap และให้อำนาจไม่จำกัดให้กับสัญญาอัจฉริยะ Permit2 มาก่อน โดยที่การดำเนินการเริ่มต้นของ Uniswap คือการให้อำนาจไม่จำกัดในปัจจุบัน จึงทำให้จำนวนผู้ใช้ที่ตรงตามเงื่อนไขนี้มีจำนวนมากมาย ในทำเดียวกัน ตัวอย่างเช่น หากมีผู้โจมตีหลอกคุณให้ลงนาม Permit2 พวกเขาสามารถโอนโทเค็นของคุณได้ ( จำกัดไว้ที่คุณเคยให้อำนาจไว้ก่อน )

สรุปแล้ว ธรรมชาติของการฉ้อโกงการอนุญาตคือคุณใช้เงินเพื่อบอกสมาร์ทคอนแทรกว่า "ฉันอนุมัติคุณให้ย้ายโทเค็นของฉันไปหาแฮกเกอร์" ธรรมชาติของการฉ้อโกงลายมือคือคุณเซ็น "บันทึก" ที่อนุญาตให้ผู้อื่นย้ายสินทรัพย์ของคุณไปหาแฮกเกอร์ และแฮกเกอร์ใช้เงินเพื่อบอกสมาร์ทคอนแทรกว่า "ฉันต้องการย้ายโทเค็นของเขามาหาฉัน" Permit และ Permit2 ในปัจจุบันเป็นจุดฮอตสปอตสำหรับลายมือฉ้อโกง Permit เป็นคุณสมบัติขยายการอนุญาตของ ERC-20 ในขณะที่ Permit2 เป็นคุณสมบัติใหม่ที่ถูกนำเสนอโดย Uniswap

ดังนั้น คุณจะป้องกันการโจมตีฟิชชิงเหล่านี้ได้อย่างไร หลังจากที่คุณเข้าใจหลักการ

  1. สร้างความตระหนักรู้เรื่องความปลอดภัย:มันสำคัญที่จะตรวจสอบว่าคุณกำลังดำเนินการอะไรทุกครั้งที่คุณมีปฏิสัมพันธ์กับกระเป๋าเงินของคุณ

  2. แยกเงินกองทุนและกระเป๋าสตางค์สำหรับกิจกรรม On-Chain:** โดยการแยกกองทุนขนาดใหญ่จากกระเป๋าสตางค์ที่ใช้สำหรับกิจกรรม on-chain คุณสามารถลดความเสียหายให้น้อยลงหากคุณเป็นเหยื่อของการโจมตี phishing

  3. เรียนรู้วิธีการระบุรูปแบบลายเซ็น Permit และ Permit2: เฝ้าระวังเมื่อคุณพบรูปแบบลายเซ็นต่อไปนี้

อินเทอร์แอคทีฟ: URL ของการสวอพ

เจ้าของ: ที่อยู่ของผู้อนุญาต

ผู้ใช้จ่าย: ที่อยู่ของฝ่ายที่ได้รับอนุญาต

มูลค่า: ปริมาณที่ได้รับอนุญาต

Nonce: หมายเลขสุ่ม

เส้นเวลา: เวลาหมดอายุ

คำปฏิเสธ:

  1. บทความนี้ถูกพิมพ์ใหม่จาก [ Gate Gate พูดคุยเกี่ยวกับ Web3]. Forward the Original Title‘大白话讲解Web3签名钓鱼底层逻辑“授权钓鱼、Permit与Permit2的区别”’. All copyrights belong to the original author [菠菜菠菜谈Web]. หากมีการคัดค้านในการพิมพ์ซ้ำนี้ โปรดติดต่อGate Learnทีม และพวกเขาจะดำเนินการด้วยรวดเร็ว
  2. คำประกาศความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เป็นการให้คำแนะนำในการลงทุนใดๆ
  3. การแปลบทความเป็นภาษาอื่น ๆ นำมาทำโดยทีม Gate Learn นอกเหนือจากที่กล่าวถึงไว้ การคัดลอก การแจกจ่าย หรือการลอกเลียนบทความที่แปลแล้ว ถูกห้าม
Розпочати зараз
Зареєструйтеся та отримайте ваучер на
$100
!