Learn
Lógica subjacente da assinatura de phishing Web3

Lógica subjacente da assinatura de phishing Web3

Intermediário
TutorialTecnologia
4/29/2024, 2:01:48 AM
O phishing de autorização é um meio para os hackers roubarem ativos do utilizador, explorando a funcionalidade da assinatura. Os métodos comuns incluem o phishing da assinatura Permit e Permit2. Os utilizadores devem aumentar a sua consciencialização de segurança, segregar grandes fundos da Gate.io das carteiras on-chain, e aprender a identificar formatos de assinatura para evitar o phishing. O Permit2 é uma funcionalidade introduzida pela Uniswap que é facilmente explorada por websites de phishing.

Avançar o Título Original ‘大白话讲解Web3签名钓鱼底层逻辑“授权钓鱼、Permit与Permit2的区别’

TL;DR

“Por que perdi meu dinheiro apenas assinando meu nome??” O “phishing de assinatura” está se tornando atualmente o método de phishing favorito dos hackers na Web3. Recentemente, tenho visto muitos especialistas como o Cosine e várias carteiras e empresas de segurança promovendo e educando continuamente sobre o conhecimento das assinaturas de phishing. No entanto, muitas pessoas ainda estão sendo vítimas de phishing todos os dias.

Uma das razões pelas quais o Spinach acredita é que a maioria das pessoas não compreende a lógica subjacente das trocas de carteiras e, para aqueles que não são tecnicamente experientes, a curva de aprendizado é muito alta. Assim, o Spinach decidiu criar uma versão ilustrada para educar as pessoas sobre a lógica subjacente do phishing de assinatura e tentar torná-la compreensível mesmo para indivíduos não tecnicamente experientes.

Primeiro, precisamos entender que existem apenas dois tipos de operações ao usar uma carteira: "assinatura" e "troca". A compreensão mais simples e direta é: a assinatura acontece fora da blockchain (off-chain) e não requer gastos com taxas de gás; a troca acontece na blockchain (on-chain) e requer gastos com taxas de gás.

O cenário comum para assinar é verificar que você é você, como fazer login em uma carteira. Por exemplo, se você quiser trocar tokens na Uniswap, primeiro você precisa conectar sua carteira. Neste ponto, você precisa assinar uma mensagem para dizer ao site "Eu sou o proprietário desta carteira," e então você pode usar a Uniswap. Esta etapa não causa nenhuma alteração de dados ou estado na blockchain, então não requer gastos de dinheiro.

Quanto à troca, quando realmente deseja trocar tokens na Uniswap, precisa gastar algum dinheiro para dizer ao contrato inteligente da Uniswap: "Quero trocar 100 USDT pela moeda Spinach e autorizo a mover os meus 100 USDT." Este passo chama-se aprovação. Em seguida, precisa gastar outra quantia de dinheiro para dizer ao contrato inteligente da Uniswap: "Estou pronto para trocar 100 USDT pela moeda Spinach, pode prosseguir com a operação agora." Depois disso, concluiu a operação de trocar 100 USDT pela moeda Spinach.

Após uma compreensão simples da diferença entre assinaturas e swaps, vamos apresentar o princípio de phishing. O phishing geralmente envolve três métodos diferentes: Phishing de Autorização, Phishing de Assinatura de Permissão e Phishing de Assinatura de Permissão2. Estes três métodos são muito comuns no phishing.

Vamos começar com Phishing de Autorização, que é uma das técnicas clássicas de phishing em Web3. Como o nome sugere, explora o mecanismo de autorização (aprovar). Como visto no exemplo da Uniswap, a autorização permite que um contrato inteligente “te autorize a mover xxx quantidade dos meus Tokens.” Um hacker pode criar um site de phishing falso, disfarçado como um projeto de NFT com uma interface atrativa. No meio do site, há um belo botão grande dizendo “Reivindique seu Airdrop.” Quando clicado, a carteira aparece com uma tela pedindo para você autorizar seus Tokens para o endereço do hacker. Se você confirmar isso, parabéns, o hacker completou com sucesso um KPI.

Mas a Pesca de Autorização tem um problema: porque requer taxas de gás, muitas pessoas são cautelosas ao gastar dinheiro. Depois de clicar num site suspeito, as pessoas frequentemente notam rapidamente que algo está errado, tornando relativamente fácil de prevenir.

Agora vamos passar para o foco de hoje: Phishing de Assinatura de Permit e Permit2, que são pontos quentes no campo da segurança de ativos Web3. Por que são tão difíceis de defender? É porque toda vez que você deseja usar um Dapp, você deve fazer login em sua carteira. Muitas pessoas desenvolveram uma inércia em seu pensamento: 'Esta operação é segura.' Além disso, não requer gastos de dinheiro, e a maioria das pessoas não entende as implicações por trás de cada assinatura.

Vamos primeiro olhar para o mecanismo de Permissão. A Permissão é uma funcionalidade de extensão para autorização no âmbito do padrão ERC-20. Por exemplo, o USDT, que normalmente usamos, é um token ERC-20. Em termos simples, a Permissão permite que assine e autorize outras pessoas a mover os seus Tokens. Sabemos que a autorização (Aprovar) é quando gasta dinheiro dizendo ao contrato inteligente: "Pode mover xxx quantidade dos meus Tokens." Então, a Permissão é como assinar uma "nota" para alguém, declarando: "Permito que alguém mova xxx quantidade dos meus Tokens." Depois, essa pessoa apresenta esta "nota" ao contrato inteligente e paga uma taxa de Gas, informando ao contrato inteligente: "Ele permite-me mover xxx quantidade dos seus Tokens." Então, os seus Tokens podem ser transferidos por outra pessoa. Neste processo, simplesmente assina um nome, mas por trás disso, significa que permite que outros chamem a autorização (Aprovar) e transfiram os seus Tokens. Um hacker pode criar um site de phishing, substituindo o botão de login da carteira por um botão de phishing de Permissão, tornando mais fácil pescar os seus ativos.

Então, o que é o Permit2? O Permit2 na verdade não é uma função do ERC-20, mas uma função lançada pela Uniswap para a conveniência dos utilizadores. O exemplo anterior dizia que se quiser trocar USDT por moedas de espinafre na Uniswap, precisa de autorizar (Aprovar) uma vez e depois trocar, o que requer duas taxas de gás, por isso a Uniswap arranjou uma solução: "Autorize todo o limite de uma vez, e assine o seu nome cada vez que resgatar e eu tratarei disso por si." Esta função ajuda os utilizadores da Uniswap a pagarem a taxa de Gás apenas uma vez ao usá-la, e este passo é a assinatura, por isso a taxa de Gás na verdade não é paga por si, mas sim paga pelo contrato Permit2, no entanto, será deduzida do Token que resgatará no final.

No entanto, a condição para o phishing do Permit2 é que você deve ter usado anteriormente o Uniswap e autorizado uma permissão ilimitada ao contrato inteligente do Permit2. Como a operação padrão do Uniswap atualmente é conceder uma permissão ilimitada, o número de usuários que cumprem esta condição é bastante grande. Da mesma forma, desde que um hacker o engane a assinar o Permit2, eles podem transferir os seus Tokens (limitados aos que você autorizou anteriormente).

Em resumo, a essência do phishing de autorização é que você gasta dinheiro para dizer ao contrato inteligente: "Eu autorizo você a mover meus Tokens para o hacker." A essência do phishing de assinatura é que você assina uma "nota" permitindo que outros movam seus ativos para o hacker, e o hacker gasta dinheiro para dizer ao contrato inteligente: "Quero mover os Tokens dele para mim." Permit e Permit2 são atualmente pontos quentes para assinaturas de phishing. Permit é uma extensão de autorização do ERC-20, enquanto o Permit2 é um novo recurso introduzido pelo Uniswap.

Então, como pode evitar estes ataques de phishing uma vez que compreende os princípios?

  1. Desenvolver Consciência de Segurança:É crucial verificar sempre que operação está a realizar sempre que interage com a sua carteira.

  2. Separar Fundos e Carteiras Grandes para Atividades On-Chain: Ao separar fundos grandes das carteiras usadas para atividades on-chain, você pode minimizar perdas se for vítima de phishing.

  3. Aprenda a Identificar os Formatos de Assinatura Permit e Permit2: Tenha cuidado sempre que encontrar os seguintes formatos de assinatura:

Interativo: URL da troca

Proprietário: Endereço do autorizador

Despesas: Endereço da parte autorizada

Valor: quantidade autorizada

Nonce: Número aleatório

Prazo final: Tempo de expiração

Aviso legal:

  1. Este artigo é reproduzido a partir de [GateEspinafre espinafre fala sobre Web3]. Encaminhe o Título Original‘大白话讲解Web3签名钓鱼底层逻辑“授权钓鱼、Permit与Permit2的区别”’. Todos os direitos autorais pertencem ao autor original [菠菜菠菜谈Web]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipa e eles tratarão disso prontamente.
  2. Responsabilidade de Isenção: As perspetivas e opiniões expressas neste artigo são exclusivamente as do autor e não constituem qualquer conselho de investimento.
  3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Salvo indicação em contrário, é proibido copiar, distribuir ou plagiar os artigos traduzidos.

分享

目录

TL;DR

Lógica subjacente da assinatura de phishing Web3

Intermediário4/29/2024, 2:01:48 AM
O phishing de autorização é um meio para os hackers roubarem ativos do utilizador, explorando a funcionalidade da assinatura. Os métodos comuns incluem o phishing da assinatura Permit e Permit2. Os utilizadores devem aumentar a sua consciencialização de segurança, segregar grandes fundos da Gate.io das carteiras on-chain, e aprender a identificar formatos de assinatura para evitar o phishing. O Permit2 é uma funcionalidade introduzida pela Uniswap que é facilmente explorada por websites de phishing.
TutorialTecnologia

TL;DR

Avançar o Título Original ‘大白话讲解Web3签名钓鱼底层逻辑“授权钓鱼、Permit与Permit2的区别’

TL;DR

“Por que perdi meu dinheiro apenas assinando meu nome??” O “phishing de assinatura” está se tornando atualmente o método de phishing favorito dos hackers na Web3. Recentemente, tenho visto muitos especialistas como o Cosine e várias carteiras e empresas de segurança promovendo e educando continuamente sobre o conhecimento das assinaturas de phishing. No entanto, muitas pessoas ainda estão sendo vítimas de phishing todos os dias.

Uma das razões pelas quais o Spinach acredita é que a maioria das pessoas não compreende a lógica subjacente das trocas de carteiras e, para aqueles que não são tecnicamente experientes, a curva de aprendizado é muito alta. Assim, o Spinach decidiu criar uma versão ilustrada para educar as pessoas sobre a lógica subjacente do phishing de assinatura e tentar torná-la compreensível mesmo para indivíduos não tecnicamente experientes.

Primeiro, precisamos entender que existem apenas dois tipos de operações ao usar uma carteira: "assinatura" e "troca". A compreensão mais simples e direta é: a assinatura acontece fora da blockchain (off-chain) e não requer gastos com taxas de gás; a troca acontece na blockchain (on-chain) e requer gastos com taxas de gás.

O cenário comum para assinar é verificar que você é você, como fazer login em uma carteira. Por exemplo, se você quiser trocar tokens na Uniswap, primeiro você precisa conectar sua carteira. Neste ponto, você precisa assinar uma mensagem para dizer ao site "Eu sou o proprietário desta carteira," e então você pode usar a Uniswap. Esta etapa não causa nenhuma alteração de dados ou estado na blockchain, então não requer gastos de dinheiro.

Quanto à troca, quando realmente deseja trocar tokens na Uniswap, precisa gastar algum dinheiro para dizer ao contrato inteligente da Uniswap: "Quero trocar 100 USDT pela moeda Spinach e autorizo a mover os meus 100 USDT." Este passo chama-se aprovação. Em seguida, precisa gastar outra quantia de dinheiro para dizer ao contrato inteligente da Uniswap: "Estou pronto para trocar 100 USDT pela moeda Spinach, pode prosseguir com a operação agora." Depois disso, concluiu a operação de trocar 100 USDT pela moeda Spinach.

Após uma compreensão simples da diferença entre assinaturas e swaps, vamos apresentar o princípio de phishing. O phishing geralmente envolve três métodos diferentes: Phishing de Autorização, Phishing de Assinatura de Permissão e Phishing de Assinatura de Permissão2. Estes três métodos são muito comuns no phishing.

Vamos começar com Phishing de Autorização, que é uma das técnicas clássicas de phishing em Web3. Como o nome sugere, explora o mecanismo de autorização (aprovar). Como visto no exemplo da Uniswap, a autorização permite que um contrato inteligente “te autorize a mover xxx quantidade dos meus Tokens.” Um hacker pode criar um site de phishing falso, disfarçado como um projeto de NFT com uma interface atrativa. No meio do site, há um belo botão grande dizendo “Reivindique seu Airdrop.” Quando clicado, a carteira aparece com uma tela pedindo para você autorizar seus Tokens para o endereço do hacker. Se você confirmar isso, parabéns, o hacker completou com sucesso um KPI.

Mas a Pesca de Autorização tem um problema: porque requer taxas de gás, muitas pessoas são cautelosas ao gastar dinheiro. Depois de clicar num site suspeito, as pessoas frequentemente notam rapidamente que algo está errado, tornando relativamente fácil de prevenir.

Agora vamos passar para o foco de hoje: Phishing de Assinatura de Permit e Permit2, que são pontos quentes no campo da segurança de ativos Web3. Por que são tão difíceis de defender? É porque toda vez que você deseja usar um Dapp, você deve fazer login em sua carteira. Muitas pessoas desenvolveram uma inércia em seu pensamento: 'Esta operação é segura.' Além disso, não requer gastos de dinheiro, e a maioria das pessoas não entende as implicações por trás de cada assinatura.

Vamos primeiro olhar para o mecanismo de Permissão. A Permissão é uma funcionalidade de extensão para autorização no âmbito do padrão ERC-20. Por exemplo, o USDT, que normalmente usamos, é um token ERC-20. Em termos simples, a Permissão permite que assine e autorize outras pessoas a mover os seus Tokens. Sabemos que a autorização (Aprovar) é quando gasta dinheiro dizendo ao contrato inteligente: "Pode mover xxx quantidade dos meus Tokens." Então, a Permissão é como assinar uma "nota" para alguém, declarando: "Permito que alguém mova xxx quantidade dos meus Tokens." Depois, essa pessoa apresenta esta "nota" ao contrato inteligente e paga uma taxa de Gas, informando ao contrato inteligente: "Ele permite-me mover xxx quantidade dos seus Tokens." Então, os seus Tokens podem ser transferidos por outra pessoa. Neste processo, simplesmente assina um nome, mas por trás disso, significa que permite que outros chamem a autorização (Aprovar) e transfiram os seus Tokens. Um hacker pode criar um site de phishing, substituindo o botão de login da carteira por um botão de phishing de Permissão, tornando mais fácil pescar os seus ativos.

Então, o que é o Permit2? O Permit2 na verdade não é uma função do ERC-20, mas uma função lançada pela Uniswap para a conveniência dos utilizadores. O exemplo anterior dizia que se quiser trocar USDT por moedas de espinafre na Uniswap, precisa de autorizar (Aprovar) uma vez e depois trocar, o que requer duas taxas de gás, por isso a Uniswap arranjou uma solução: "Autorize todo o limite de uma vez, e assine o seu nome cada vez que resgatar e eu tratarei disso por si." Esta função ajuda os utilizadores da Uniswap a pagarem a taxa de Gás apenas uma vez ao usá-la, e este passo é a assinatura, por isso a taxa de Gás na verdade não é paga por si, mas sim paga pelo contrato Permit2, no entanto, será deduzida do Token que resgatará no final.

No entanto, a condição para o phishing do Permit2 é que você deve ter usado anteriormente o Uniswap e autorizado uma permissão ilimitada ao contrato inteligente do Permit2. Como a operação padrão do Uniswap atualmente é conceder uma permissão ilimitada, o número de usuários que cumprem esta condição é bastante grande. Da mesma forma, desde que um hacker o engane a assinar o Permit2, eles podem transferir os seus Tokens (limitados aos que você autorizou anteriormente).

Em resumo, a essência do phishing de autorização é que você gasta dinheiro para dizer ao contrato inteligente: "Eu autorizo você a mover meus Tokens para o hacker." A essência do phishing de assinatura é que você assina uma "nota" permitindo que outros movam seus ativos para o hacker, e o hacker gasta dinheiro para dizer ao contrato inteligente: "Quero mover os Tokens dele para mim." Permit e Permit2 são atualmente pontos quentes para assinaturas de phishing. Permit é uma extensão de autorização do ERC-20, enquanto o Permit2 é um novo recurso introduzido pelo Uniswap.

Então, como pode evitar estes ataques de phishing uma vez que compreende os princípios?

  1. Desenvolver Consciência de Segurança:É crucial verificar sempre que operação está a realizar sempre que interage com a sua carteira.

  2. Separar Fundos e Carteiras Grandes para Atividades On-Chain: Ao separar fundos grandes das carteiras usadas para atividades on-chain, você pode minimizar perdas se for vítima de phishing.

  3. Aprenda a Identificar os Formatos de Assinatura Permit e Permit2: Tenha cuidado sempre que encontrar os seguintes formatos de assinatura:

Interativo: URL da troca

Proprietário: Endereço do autorizador

Despesas: Endereço da parte autorizada

Valor: quantidade autorizada

Nonce: Número aleatório

Prazo final: Tempo de expiração

Aviso legal:

  1. Este artigo é reproduzido a partir de [GateEspinafre espinafre fala sobre Web3]. Encaminhe o Título Original‘大白话讲解Web3签名钓鱼底层逻辑“授权钓鱼、Permit与Permit2的区别”’. Todos os direitos autorais pertencem ao autor original [菠菜菠菜谈Web]. Se houver objeções a esta reimpressão, entre em contato com o Gate Learnequipa e eles tratarão disso prontamente.
  2. Responsabilidade de Isenção: As perspetivas e opiniões expressas neste artigo são exclusivamente as do autor e não constituem qualquer conselho de investimento.
  3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Salvo indicação em contrário, é proibido copiar, distribuir ou plagiar os artigos traduzidos.
即刻开始交易
注册并交易即可获得
$100
和价值
$5500
理财体验金奖励!