Phishing de Assinatura no Web3: Análise dos Princípios e Guia de Prevenção
No mundo Web3, a "phishing por assinatura" está se tornando uma das táticas de ataque mais preferidas pelos hackers. Apesar dos especialistas da indústria e das empresas de segurança continuarem a alertar, ainda há muitos usuários que caem em golpes todos os dias. Uma das principais razões para essa situação é que a maioria das pessoas carece de compreensão da lógica subjacente das interações com as carteiras, e para os não técnicos, a barreira de aprendizado do conhecimento relacionado é muito alta.
Para ajudar mais pessoas a entender esta questão, iremos analisar a lógica subjacente da pesca por assinatura de uma forma simples e acessível.
Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações: "assinatura" e "interação". Simplificando, a assinatura ocorre fora da blockchain (off-chain), não necessitando do pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento de taxas de Gas.
As assinaturas são geralmente utilizadas para autenticação, como o login em uma carteira. Quando você deseja realizar uma transação em uma exchange descentralizada, você precisa primeiro conectar sua carteira, e nesse momento, é necessário assinar para provar que você é o proprietário daquela carteira. Esse processo não altera nenhum dado ou estado na blockchain, portanto, não é necessário pagar taxas.
Em comparação, a interação envolve operações reais na blockchain. Por exemplo, quando você troca tokens em uma exchange descentralizada, precisa primeiro autorizar o contrato inteligente da exchange a usar seus tokens e, em seguida, executar a operação de troca real. Ambos os passos exigem o pagamento de taxas de Gas.
Depois de entender a diferença entre assinatura e interação, vamos dar uma olhada em algumas formas comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.
A autorização de phishing aproveita o mecanismo de autorização dos contratos inteligentes. Os hackers podem criar um site falso para induzir os usuários a realizar operações de autorização, na verdade, permitindo que o endereço do hacker utilize os seus tokens.
As assinaturas Permit e Permit2 para phishing são ainda mais discretas. Permit é uma função de extensão do padrão ERC-20, que permite aos usuários autorizar outras pessoas a usarem seus tokens através de uma assinatura. Os hackers podem induzir os usuários a assinarem essa permissão e, em seguida, usar essa assinatura para transferir os ativos dos usuários.
Permit2 é uma funcionalidade que algumas plataformas de negociação lançaram para simplificar as operações dos usuários. Permite que os usuários autorizem uma quantidade significativa de tokens para a plataforma de uma só vez, e depois, para cada transação, basta assinar. Embora seja conveniente, se a assinatura cair em mãos erradas, pode levar a perdas de ativos.
Para prevenir esses riscos, recomendamos:
Desenvolver a consciência de segurança, verifique cuidadosamente o que está a fazer sempre que operar a carteira.
Separe os fundos grandes da carteira usada no dia a dia para reduzir as perdas potenciais.
Aprenda a identificar o formato de assinatura do Permit e Permit2. Se você vir um pedido de assinatura que contenha as seguintes informações, fique particularmente atento:
URL de interação
Endereço do autorizador
Endereço do autorizado
Quantidade autorizada
Número aleatório
Data de expiração
Ao compreender esses mecanismos e adotar as medidas de precaução adequadas, podemos proteger melhor nossos ativos digitais e participar com segurança do ecossistema Web3.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
13 Curtidas
Recompensa
13
4
Compartilhar
Comentário
0/400
0xSherlock
· 7h atrás
Fui enganado por mais algumas centenas de eth
Ver originalResponder0
WalletDetective
· 7h atrás
Novatos devem prestar atenção, a prevenção contra fraudes é muito importante.
Ver originalResponder0
FUDwatcher
· 7h atrás
Ser enganado por idiotas de novo com novas armadilhas.
Web3 Phishing: Análise dos Princípios e Estratégias de Prevenção
Phishing de Assinatura no Web3: Análise dos Princípios e Guia de Prevenção
No mundo Web3, a "phishing por assinatura" está se tornando uma das táticas de ataque mais preferidas pelos hackers. Apesar dos especialistas da indústria e das empresas de segurança continuarem a alertar, ainda há muitos usuários que caem em golpes todos os dias. Uma das principais razões para essa situação é que a maioria das pessoas carece de compreensão da lógica subjacente das interações com as carteiras, e para os não técnicos, a barreira de aprendizado do conhecimento relacionado é muito alta.
Para ajudar mais pessoas a entender esta questão, iremos analisar a lógica subjacente da pesca por assinatura de uma forma simples e acessível.
Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações: "assinatura" e "interação". Simplificando, a assinatura ocorre fora da blockchain (off-chain), não necessitando do pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento de taxas de Gas.
As assinaturas são geralmente utilizadas para autenticação, como o login em uma carteira. Quando você deseja realizar uma transação em uma exchange descentralizada, você precisa primeiro conectar sua carteira, e nesse momento, é necessário assinar para provar que você é o proprietário daquela carteira. Esse processo não altera nenhum dado ou estado na blockchain, portanto, não é necessário pagar taxas.
Em comparação, a interação envolve operações reais na blockchain. Por exemplo, quando você troca tokens em uma exchange descentralizada, precisa primeiro autorizar o contrato inteligente da exchange a usar seus tokens e, em seguida, executar a operação de troca real. Ambos os passos exigem o pagamento de taxas de Gas.
Depois de entender a diferença entre assinatura e interação, vamos dar uma olhada em algumas formas comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.
A autorização de phishing aproveita o mecanismo de autorização dos contratos inteligentes. Os hackers podem criar um site falso para induzir os usuários a realizar operações de autorização, na verdade, permitindo que o endereço do hacker utilize os seus tokens.
As assinaturas Permit e Permit2 para phishing são ainda mais discretas. Permit é uma função de extensão do padrão ERC-20, que permite aos usuários autorizar outras pessoas a usarem seus tokens através de uma assinatura. Os hackers podem induzir os usuários a assinarem essa permissão e, em seguida, usar essa assinatura para transferir os ativos dos usuários.
Permit2 é uma funcionalidade que algumas plataformas de negociação lançaram para simplificar as operações dos usuários. Permite que os usuários autorizem uma quantidade significativa de tokens para a plataforma de uma só vez, e depois, para cada transação, basta assinar. Embora seja conveniente, se a assinatura cair em mãos erradas, pode levar a perdas de ativos.
Para prevenir esses riscos, recomendamos:
Desenvolver a consciência de segurança, verifique cuidadosamente o que está a fazer sempre que operar a carteira.
Separe os fundos grandes da carteira usada no dia a dia para reduzir as perdas potenciais.
Aprenda a identificar o formato de assinatura do Permit e Permit2. Se você vir um pedido de assinatura que contenha as seguintes informações, fique particularmente atento:
Ao compreender esses mecanismos e adotar as medidas de precaução adequadas, podemos proteger melhor nossos ativos digitais e participar com segurança do ecossistema Web3.