Phishing de firma Web3: Comprender la lógica subyacente para aumentar la conciencia de seguridad
En el mundo de Web3, "phishing de firmas" se ha convertido en uno de los métodos más utilizados por los hackers. A pesar de que los expertos de la industria continúan promocionando el conocimiento relacionado, todavía hay muchos usuarios que caen inadvertidamente en la trampa. Una de las principales razones de esto es que la mayoría de las personas carecen de comprensión sobre la lógica subyacente de la interacción con las billeteras, y la barrera de entrada para aprender sobre el conocimiento relacionado es bastante alta.
Para ello, este artículo intentará explicar a los lectores los principios del phishing de firma, así como cómo prevenirlo de manera efectiva, utilizando un lenguaje claro y diagramas.
Primero, necesitamos entender que al usar una billetera hay principalmente dos operaciones: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena y no requiere pagar Gas; mientras que la interacción ocurre en la cadena y requiere pagar Gas.
La firma se utiliza comúnmente para la verificación de identidad. Por ejemplo, cuando necesitas iniciar sesión en una aplicación descentralizada (DApp), necesitas firmar para demostrar que eres el propietario de esa billetera. Este proceso no afecta a la blockchain, por lo que no es necesario pagar ninguna tarifa.
En comparación, la interacción implica operaciones reales en la cadena. Por ejemplo, al realizar un intercambio de tokens en un DEX, primero necesitas autorizar al contrato inteligente para que opere tus tokens (approve), y luego ejecutar la operación de intercambio real. Ambos pasos requieren el pago de tarifas de Gas.
Una vez que entendamos estos conceptos básicos, veamos algunas de las formas comunes de phishing:
Phishing de autorización: esta es una técnica clásica de phishing. Los hackers se disfrazan de DApp o proyectos NFT normales para inducir a los usuarios a realizar operaciones de autorización. Una vez que el usuario confirma, el hacker puede obtener permiso para operar los activos del usuario.
Phishing por firma de Permit: Permit es una función extendida del estándar de tokens ERC-20 que permite a los usuarios autorizar a otros a operar sus tokens mediante una firma. Los hackers pueden engañar a los usuarios para que firmen mensajes de Permit, obteniendo así el permiso para transferir los activos de los usuarios.
Phishing de firma Permit2: Permit2 es una función lanzada por un DEX que tiene como objetivo simplificar el proceso de operación del usuario. Sin embargo, si el usuario ha utilizado anteriormente ese DEX y ha otorgado un límite infinito, entonces un hacker puede aprovechar este mecanismo para transferir los activos del usuario.
Para prevenir estos ataques de phishing, podemos tomar las siguientes medidas:
Fomentar la conciencia de seguridad: cada vez que realices operaciones con tu billetera, debes verificar cuidadosamente qué operación estás llevando a cabo.
Gestión de activos diversificados: separar grandes fondos de la billetera utilizada a diario para reducir pérdidas potenciales.
Aprende a reconocer solicitudes de firma sospechosas: presta especial atención a las solicitudes de firma que contengan los siguientes campos:
Interactivo: página web interactiva
Propietario: Dirección del autorizador
Spender: dirección del autorizado
Valor: cantidad autorizada
Nonce: número aleatorio
Deadline: tiempo de expiración
Al comprender estas lógicas subyacentes y tomar las medidas de prevención adecuadas, podemos reducir significativamente el riesgo de convertirnos en víctimas de phishing por firma. En el mundo Web3, mantenerse alerta y aprender continuamente es clave para asegurar los activos.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
20 me gusta
Recompensa
20
5
Republicar
Compartir
Comentar
0/400
AirdropHunter007
· 08-12 15:38
¿Qué firma? Solo amo ser engañado.
Ver originalesResponder0
ProveMyZK
· 08-10 17:54
¿Te has caído otra vez en el estanque de peces?
Ver originalesResponder0
FastLeaver
· 08-10 17:52
¡Se aprende de las pérdidas!
Ver originalesResponder0
MerkleDreamer
· 08-10 17:51
Otra vez me han pescado dos máquinas, decir más son lágrimas.
Ver originalesResponder0
ZenChainWalker
· 08-10 17:48
Me pescaron otras trescientas monedas, entendí demasiado tarde.
Guía de prevención de phishing de firmas Web3: descubriendo los principios subyacentes y las estrategias de seguridad
Phishing de firma Web3: Comprender la lógica subyacente para aumentar la conciencia de seguridad
En el mundo de Web3, "phishing de firmas" se ha convertido en uno de los métodos más utilizados por los hackers. A pesar de que los expertos de la industria continúan promocionando el conocimiento relacionado, todavía hay muchos usuarios que caen inadvertidamente en la trampa. Una de las principales razones de esto es que la mayoría de las personas carecen de comprensión sobre la lógica subyacente de la interacción con las billeteras, y la barrera de entrada para aprender sobre el conocimiento relacionado es bastante alta.
Para ello, este artículo intentará explicar a los lectores los principios del phishing de firma, así como cómo prevenirlo de manera efectiva, utilizando un lenguaje claro y diagramas.
Primero, necesitamos entender que al usar una billetera hay principalmente dos operaciones: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena y no requiere pagar Gas; mientras que la interacción ocurre en la cadena y requiere pagar Gas.
La firma se utiliza comúnmente para la verificación de identidad. Por ejemplo, cuando necesitas iniciar sesión en una aplicación descentralizada (DApp), necesitas firmar para demostrar que eres el propietario de esa billetera. Este proceso no afecta a la blockchain, por lo que no es necesario pagar ninguna tarifa.
En comparación, la interacción implica operaciones reales en la cadena. Por ejemplo, al realizar un intercambio de tokens en un DEX, primero necesitas autorizar al contrato inteligente para que opere tus tokens (approve), y luego ejecutar la operación de intercambio real. Ambos pasos requieren el pago de tarifas de Gas.
Una vez que entendamos estos conceptos básicos, veamos algunas de las formas comunes de phishing:
Phishing de autorización: esta es una técnica clásica de phishing. Los hackers se disfrazan de DApp o proyectos NFT normales para inducir a los usuarios a realizar operaciones de autorización. Una vez que el usuario confirma, el hacker puede obtener permiso para operar los activos del usuario.
Phishing por firma de Permit: Permit es una función extendida del estándar de tokens ERC-20 que permite a los usuarios autorizar a otros a operar sus tokens mediante una firma. Los hackers pueden engañar a los usuarios para que firmen mensajes de Permit, obteniendo así el permiso para transferir los activos de los usuarios.
Phishing de firma Permit2: Permit2 es una función lanzada por un DEX que tiene como objetivo simplificar el proceso de operación del usuario. Sin embargo, si el usuario ha utilizado anteriormente ese DEX y ha otorgado un límite infinito, entonces un hacker puede aprovechar este mecanismo para transferir los activos del usuario.
Para prevenir estos ataques de phishing, podemos tomar las siguientes medidas:
Fomentar la conciencia de seguridad: cada vez que realices operaciones con tu billetera, debes verificar cuidadosamente qué operación estás llevando a cabo.
Gestión de activos diversificados: separar grandes fondos de la billetera utilizada a diario para reducir pérdidas potenciales.
Aprende a reconocer solicitudes de firma sospechosas: presta especial atención a las solicitudes de firma que contengan los siguientes campos:
Al comprender estas lógicas subyacentes y tomar las medidas de prevención adecuadas, podemos reducir significativamente el riesgo de convertirnos en víctimas de phishing por firma. En el mundo Web3, mantenerse alerta y aprender continuamente es clave para asegurar los activos.