Phishing par signature dans Web3 : Analyse des principes et guide de prévention
Dans le monde de Web3, la "phishing par signature" devient l'une des méthodes d'attaque les plus prisées par les hackers. Malgré les avertissements constants des experts et des entreprises de sécurité, de nombreux utilisateurs tombent encore dans le piège chaque jour. L'une des principales raisons de cette situation est que la plupart des gens manquent de compréhension de la logique sous-jacente des interactions avec les portefeuilles, et pour les non-techniciens, le seuil d'apprentissage des connaissances pertinentes est trop élevé.
Pour aider un plus grand nombre de personnes à comprendre cette question, nous allons expliquer la logique sous-jacente du phishing par signature de manière simple et accessible.
Tout d'abord, nous devons comprendre qu'il existe principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de frais de Gas ; tandis que l'interaction se produit sur la blockchain (en chaîne) et nécessite des frais de Gas.
La signature est généralement utilisée pour l'authentification, par exemple, pour se connecter à un portefeuille. Lorsque vous devez effectuer une transaction sur un échange décentralisé, vous devez d'abord connecter votre portefeuille, et à ce moment-là, vous devez signer pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus ne modifie aucune donnée ou état sur la blockchain, il n'est donc pas nécessaire de payer des frais.
En revanche, l'interaction implique des opérations réelles sur la chaîne. Par exemple, lorsque vous échangez des jetons sur un échange décentralisé, vous devez d'abord autoriser le contrat intelligent de l'échange à utiliser vos jetons, puis exécuter l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.
Après avoir compris la différence entre la signature et l'interaction, examinons quelques méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
L'hameçonnage autorisé exploite le mécanisme d'autorisation des contrats intelligents. Les hackers peuvent créer un faux site Web pour inciter les utilisateurs à effectuer des opérations d'autorisation, permettant en réalité aux hackers d'autoriser leur adresse à utiliser les jetons des utilisateurs.
Les signatures de Permit et Permit2 sont encore plus discrètes pour le phishing. Permit est une fonctionnalité étendue de la norme ERC-20 qui permet aux utilisateurs d'approuver d'autres personnes à utiliser leurs jetons par le biais d'une signature. Les hackers peuvent inciter les utilisateurs à signer ce type de permis, puis utiliser cette signature pour transférer les actifs des utilisateurs.
Permit2 est une fonctionnalité lancée par certaines plateformes de trading pour simplifier les opérations des utilisateurs. Elle permet aux utilisateurs d'autoriser une fois pour toutes la plateforme à utiliser un grand nombre de jetons, après quoi chaque transaction nécessite seulement une signature. Bien que cela soit pratique, si la signature tombe entre de mauvaises mains, cela peut entraîner des pertes d'actifs.
Pour prévenir ces risques, nous recommandons :
Développez une conscience de la sécurité, vérifiez attentivement ce que vous faites chaque fois que vous utilisez votre portefeuille.
Séparer les fonds importants et le portefeuille utilisé au quotidien pour réduire les pertes potentielles.
Apprenez à identifier le format de signature de Permit et Permit2. Si vous voyez une demande de signature contenant les informations suivantes, soyez particulièrement vigilant :
URL d'interaction
Adresse de l'autorisé
Adresse de la partie autorisée
Quantité autorisée
Nombre aléatoire
Date d'expiration
En comprenant ces mécanismes et en prenant des mesures de prévention appropriées, nous pouvons mieux protéger nos actifs numériques et participer en toute sécurité à l'écosystème Web3.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
4
Partager
Commentaire
0/400
0xSherlock
· Il y a 6h
Encore piégé pour quelques centaines d'eth
Voir l'originalRépondre0
WalletDetective
· Il y a 6h
Les débutants devraient jeter un œil, la prévention des arnaques est très importante.
Voir l'originalRépondre0
FUDwatcher
· Il y a 6h
Se faire prendre pour des cons a encore une nouvelle méthode.
Web3 : Comprendre le phishing par signature - Analyse des principes et stratégies de prévention
Phishing par signature dans Web3 : Analyse des principes et guide de prévention
Dans le monde de Web3, la "phishing par signature" devient l'une des méthodes d'attaque les plus prisées par les hackers. Malgré les avertissements constants des experts et des entreprises de sécurité, de nombreux utilisateurs tombent encore dans le piège chaque jour. L'une des principales raisons de cette situation est que la plupart des gens manquent de compréhension de la logique sous-jacente des interactions avec les portefeuilles, et pour les non-techniciens, le seuil d'apprentissage des connaissances pertinentes est trop élevé.
Pour aider un plus grand nombre de personnes à comprendre cette question, nous allons expliquer la logique sous-jacente du phishing par signature de manière simple et accessible.
Tout d'abord, nous devons comprendre qu'il existe principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de frais de Gas ; tandis que l'interaction se produit sur la blockchain (en chaîne) et nécessite des frais de Gas.
La signature est généralement utilisée pour l'authentification, par exemple, pour se connecter à un portefeuille. Lorsque vous devez effectuer une transaction sur un échange décentralisé, vous devez d'abord connecter votre portefeuille, et à ce moment-là, vous devez signer pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus ne modifie aucune donnée ou état sur la blockchain, il n'est donc pas nécessaire de payer des frais.
En revanche, l'interaction implique des opérations réelles sur la chaîne. Par exemple, lorsque vous échangez des jetons sur un échange décentralisé, vous devez d'abord autoriser le contrat intelligent de l'échange à utiliser vos jetons, puis exécuter l'opération d'échange réelle. Ces deux étapes nécessitent le paiement de frais de Gas.
Après avoir compris la différence entre la signature et l'interaction, examinons quelques méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
L'hameçonnage autorisé exploite le mécanisme d'autorisation des contrats intelligents. Les hackers peuvent créer un faux site Web pour inciter les utilisateurs à effectuer des opérations d'autorisation, permettant en réalité aux hackers d'autoriser leur adresse à utiliser les jetons des utilisateurs.
Les signatures de Permit et Permit2 sont encore plus discrètes pour le phishing. Permit est une fonctionnalité étendue de la norme ERC-20 qui permet aux utilisateurs d'approuver d'autres personnes à utiliser leurs jetons par le biais d'une signature. Les hackers peuvent inciter les utilisateurs à signer ce type de permis, puis utiliser cette signature pour transférer les actifs des utilisateurs.
Permit2 est une fonctionnalité lancée par certaines plateformes de trading pour simplifier les opérations des utilisateurs. Elle permet aux utilisateurs d'autoriser une fois pour toutes la plateforme à utiliser un grand nombre de jetons, après quoi chaque transaction nécessite seulement une signature. Bien que cela soit pratique, si la signature tombe entre de mauvaises mains, cela peut entraîner des pertes d'actifs.
Pour prévenir ces risques, nous recommandons :
Développez une conscience de la sécurité, vérifiez attentivement ce que vous faites chaque fois que vous utilisez votre portefeuille.
Séparer les fonds importants et le portefeuille utilisé au quotidien pour réduire les pertes potentielles.
Apprenez à identifier le format de signature de Permit et Permit2. Si vous voyez une demande de signature contenant les informations suivantes, soyez particulièrement vigilant :
En comprenant ces mécanismes et en prenant des mesures de prévention appropriées, nous pouvons mieux protéger nos actifs numériques et participer en toute sécurité à l'écosystème Web3.