Web3 фишинг с подписями: поймите базовую логику для повышения осведомленности о безопасности
В мире Web3 «подписной фишинг» стал одним из самых распространенных методов среди хакеров. Несмотря на то, что эксперты в отрасли постоянно распространяют соответствующие знания, все еще много пользователей невольно попадают в ловушки. Одной из основных причин этого является то, что большинство людей не понимает основную логику взаимодействия с кошельками, а порог обучения связанными знаниями довольно высок.
В этой статье мы постараемся объяснить читателям принципы фишинга с помощью простого и доступного языка и иллюстраций, а также то, как эффективно предотвратить его.
Во-первых, нам нужно понять, что при использовании кошелька существует два основных действия: "подписка" и "взаимодействие". Проще говоря, подписка происходит вне цепочки и не требует оплаты Gas; в то время как взаимодействие происходит в цепочке и требует оплаты Gas.
Подпись обычно используется для аутентификации. Например, когда вам нужно войти в какое-либо децентрализованное приложение (DApp), вам необходимо подписать, чтобы доказать, что вы являетесь владельцем этого кошелька. Этот процесс не повлияет на блокчейн, поэтому платить за него не нужно.
В сравнении с этим, взаимодействие включает в себя реальные операции на блокчейне. Например, при обмене токенов на каком-либо DEX, вам сначала нужно разрешить смарт-контракту управлять вашим токеном (approve), а затем выполнить фактическую операцию обмена. Оба этих шага требуют оплаты Gas-стран.
После того как мы разобрались с этими основными концепциями, давайте рассмотрим несколько распространенных способов фишинга:
Авторизация фишинга: это классическая методика фишинга. Хакеры маскируются под обычный DApp или проект NFT, чтобы заставить пользователей выполнить операцию авторизации. Как только пользователь подтвердит, хакеры получат доступ к активам пользователя.
Подпись Permit фишинг: Permit является расширенной функцией стандарта токенов ERC-20, позволяющей пользователям авторизовывать других для управления своими токенами через подпись. Хакеры могут заставить пользователей подписать сообщение Permit, тем самым получая разрешение на перевод активов пользователя.
Фишинг через Permit2: Permit2 — это функция, выпущенная некоторым DEX, предназначенная для упрощения процесса операций для пользователей. Однако, если пользователь когда-либо использовал этот DEX и предоставил неограниченный лимит, то хакеры могут воспользоваться этой механикой для перемещения активов пользователя.
Чтобы предотвратить эти фишинговые атаки, мы можем предпринять следующие меры:
Развивайте осознание безопасности: каждый раз, когда вы выполняете операции с кошельком, внимательно проверяйте, что именно вы делаете.
Диверсификация активов: разделите крупные средства и кошелек для повседневного использования, чтобы снизить потенциальные убытки.
Научитесь распознавать подозрительные подписи: особенно обратите внимание на запросы подписи, содержащие следующие поля:
Интерактивный: интерактивный веб-сайт
Владелец: адрес уполномоченного лица
Spender: адрес уполномоченного лица
Значение: Авторизованное количество
Nonce:случайное число
Срок: время истечения
Понимая эти основные логики и принимая соответствующие меры предосторожности, мы можем значительно снизить риск стать жертвой фишинга с подделкой подписи. В мире Web3 ключевым моментом для обеспечения безопасности активов является бдительность и постоянное обучение.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
20 Лайков
Награда
20
5
Репост
Поделиться
комментарий
0/400
AirdropHunter007
· 08-12 15:38
Что подписываешь, просто любишь быть обманутым
Посмотреть ОригиналОтветить0
ProveMyZK
· 08-10 17:54
Снова упали в рыболовное озеро?
Посмотреть ОригиналОтветить0
FastLeaver
· 08-10 17:52
Научиться на своих ошибках!
Посмотреть ОригиналОтветить0
MerkleDreamer
· 08-10 17:51
Снова поймали две машины. Сказав слишком много, только слезы.
Посмотреть ОригиналОтветить0
ZenChainWalker
· 08-10 17:48
Снова попался на триста монет. Понял слишком поздно.
Руководство по предотвращению фишинга с помощью Web3: раскрытие основных принципов и стратегий безопасности
Web3 фишинг с подписями: поймите базовую логику для повышения осведомленности о безопасности
В мире Web3 «подписной фишинг» стал одним из самых распространенных методов среди хакеров. Несмотря на то, что эксперты в отрасли постоянно распространяют соответствующие знания, все еще много пользователей невольно попадают в ловушки. Одной из основных причин этого является то, что большинство людей не понимает основную логику взаимодействия с кошельками, а порог обучения связанными знаниями довольно высок.
В этой статье мы постараемся объяснить читателям принципы фишинга с помощью простого и доступного языка и иллюстраций, а также то, как эффективно предотвратить его.
Во-первых, нам нужно понять, что при использовании кошелька существует два основных действия: "подписка" и "взаимодействие". Проще говоря, подписка происходит вне цепочки и не требует оплаты Gas; в то время как взаимодействие происходит в цепочке и требует оплаты Gas.
Подпись обычно используется для аутентификации. Например, когда вам нужно войти в какое-либо децентрализованное приложение (DApp), вам необходимо подписать, чтобы доказать, что вы являетесь владельцем этого кошелька. Этот процесс не повлияет на блокчейн, поэтому платить за него не нужно.
В сравнении с этим, взаимодействие включает в себя реальные операции на блокчейне. Например, при обмене токенов на каком-либо DEX, вам сначала нужно разрешить смарт-контракту управлять вашим токеном (approve), а затем выполнить фактическую операцию обмена. Оба этих шага требуют оплаты Gas-стран.
После того как мы разобрались с этими основными концепциями, давайте рассмотрим несколько распространенных способов фишинга:
Авторизация фишинга: это классическая методика фишинга. Хакеры маскируются под обычный DApp или проект NFT, чтобы заставить пользователей выполнить операцию авторизации. Как только пользователь подтвердит, хакеры получат доступ к активам пользователя.
Подпись Permit фишинг: Permit является расширенной функцией стандарта токенов ERC-20, позволяющей пользователям авторизовывать других для управления своими токенами через подпись. Хакеры могут заставить пользователей подписать сообщение Permit, тем самым получая разрешение на перевод активов пользователя.
Фишинг через Permit2: Permit2 — это функция, выпущенная некоторым DEX, предназначенная для упрощения процесса операций для пользователей. Однако, если пользователь когда-либо использовал этот DEX и предоставил неограниченный лимит, то хакеры могут воспользоваться этой механикой для перемещения активов пользователя.
Чтобы предотвратить эти фишинговые атаки, мы можем предпринять следующие меры:
Развивайте осознание безопасности: каждый раз, когда вы выполняете операции с кошельком, внимательно проверяйте, что именно вы делаете.
Диверсификация активов: разделите крупные средства и кошелек для повседневного использования, чтобы снизить потенциальные убытки.
Научитесь распознавать подозрительные подписи: особенно обратите внимание на запросы подписи, содержащие следующие поля:
Понимая эти основные логики и принимая соответствующие меры предосторожности, мы можем значительно снизить риск стать жертвой фишинга с подделкой подписи. В мире Web3 ключевым моментом для обеспечения безопасности активов является бдительность и постоянное обучение.