Web3 підпис фішинг: зрозумійте основну логіку для підвищення обізнаності про безпеку
У світі Web3 "фішинг через підписи" став одним із найпоширеніших методів, які використовують хакери. Незважаючи на те, що експерти галузі постійно пропагують відповідні знання, все ще багато користувачів необережно потрапляють у пастку. Однією з основних причин цього є те, що більшість людей не розуміють базову логіку взаємодії з гаманцем, а поріг навчання відповідним знанням є досить високим.
Для цього в статті буде спробовано пояснити принципи підписного фішингу простими та зрозумілими словами, а також способи ефективного запобігання.
По-перше, нам потрібно зрозуміти, що при використанні гаманця існує дві основні операції: "підпис" і "взаємодія". Простими словами, підпис відбувається поза ланцюгом і не потребує сплати газового збору; натомість взаємодія відбувається в ланцюзі і потребує сплати газового збору.
Підпис зазвичай використовується для автентифікації. Наприклад, коли вам потрібно увійти в певний децентралізований додаток (DApp), вам потрібно підписати, щоб підтвердити, що ви є власником цього гаманця. Цей процес не вплине на блокчейн, тому платити збори не потрібно.
Порівняно з цим, взаємодія передбачає фактичні операції на ланцюгу. Наприклад, під час обміну токенів на певному DEX, спочатку потрібно надати дозвіл смарт-контракту на управління вашими токенами (approve), а потім виконати фактичну операцію обміну. Обидва етапи потребують сплати Gas-кошту.
Зрозумівши ці основні концепції, давайте розглянемо кілька поширених способів риболовлі:
Авторизаційна рибалка: Це класичний метод рибалки. Хакери маскуються під звичайні DApp або NFT проекти, спонукаючи користувачів виконувати операції авторизації. Як тільки користувач підтверджує, хакер отримує право виконувати операції з активами користувача.
Підпис Permit фішинг: Permit є розширенням стандарту токенів ERC-20, яке дозволяє користувачам авторизувати інших для управління власними токенами через підпис. Хакери можуть спонукати користувачів підписувати повідомлення Permit, отримуючи таким чином дозволи на переміщення активів користувачів.
Фішинг підпису Permit2: Permit2 - це функція, запущена певним DEX, яка має на меті спростити процеси користувачів. Проте, якщо користувач раніше користувався цим DEX і надав необмежений ліміт, зловмисники можуть використати цей механізм для переміщення активів користувача.
Щоб запобігти цим фішинговим атакам, ми можемо вжити такі заходи:
Виховання усвідомлення безпеки: щоразу, коли ви виконуєте операції з гаманцем, ретельно перевіряйте, яку операцію ви виконуєте.
Диверсифікація активів: відокремлення великих коштів від повсякденного гаманця для зменшення потенційних втрат.
Навчіться розпізнавати підозрілі підписи: особливо звертайте увагу на запити підпису, що містять такі поля:
Інтерактивний: інтерактивна адреса
Власник: адреса уповноваженої особи
Spender: адреса уповноваженої особи
Значення: кількість дозволів
Nonce: випадкове число
Deadline: термін дії
Зрозумівши ці базові логіки та вживаючи відповідних запобіжних заходів, ми можемо значно знизити ризик стати жертвою підписного фішингу. У світі Web3 ключовими є пильність та безперервне навчання для забезпечення безпеки активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
20 лайків
Нагородити
20
5
Репост
Поділіться
Прокоментувати
0/400
AirdropHunter007
· 08-12 15:38
Яке підписання, тільки люблю бути обманутим.
Переглянути оригіналвідповісти на0
ProveMyZK
· 08-10 17:54
Знову впав у риболовлю, чи не так?
Переглянути оригіналвідповісти на0
FastLeaver
· 08-10 17:52
Знати на власному досвіді!
Переглянути оригіналвідповісти на0
MerkleDreamer
· 08-10 17:51
Знову попався на гачок на дві машини, сказавши занадто багато, лише сльози.
Переглянути оригіналвідповісти на0
ZenChainWalker
· 08-10 17:48
Знову закинув триста монет, зрозумів занадто пізно
Посібник з протидії фішингу в Web3: розкриття основних принципів і стратегій безпеки
Web3 підпис фішинг: зрозумійте основну логіку для підвищення обізнаності про безпеку
У світі Web3 "фішинг через підписи" став одним із найпоширеніших методів, які використовують хакери. Незважаючи на те, що експерти галузі постійно пропагують відповідні знання, все ще багато користувачів необережно потрапляють у пастку. Однією з основних причин цього є те, що більшість людей не розуміють базову логіку взаємодії з гаманцем, а поріг навчання відповідним знанням є досить високим.
Для цього в статті буде спробовано пояснити принципи підписного фішингу простими та зрозумілими словами, а також способи ефективного запобігання.
По-перше, нам потрібно зрозуміти, що при використанні гаманця існує дві основні операції: "підпис" і "взаємодія". Простими словами, підпис відбувається поза ланцюгом і не потребує сплати газового збору; натомість взаємодія відбувається в ланцюзі і потребує сплати газового збору.
Підпис зазвичай використовується для автентифікації. Наприклад, коли вам потрібно увійти в певний децентралізований додаток (DApp), вам потрібно підписати, щоб підтвердити, що ви є власником цього гаманця. Цей процес не вплине на блокчейн, тому платити збори не потрібно.
Порівняно з цим, взаємодія передбачає фактичні операції на ланцюгу. Наприклад, під час обміну токенів на певному DEX, спочатку потрібно надати дозвіл смарт-контракту на управління вашими токенами (approve), а потім виконати фактичну операцію обміну. Обидва етапи потребують сплати Gas-кошту.
Зрозумівши ці основні концепції, давайте розглянемо кілька поширених способів риболовлі:
Авторизаційна рибалка: Це класичний метод рибалки. Хакери маскуються під звичайні DApp або NFT проекти, спонукаючи користувачів виконувати операції авторизації. Як тільки користувач підтверджує, хакер отримує право виконувати операції з активами користувача.
Підпис Permit фішинг: Permit є розширенням стандарту токенів ERC-20, яке дозволяє користувачам авторизувати інших для управління власними токенами через підпис. Хакери можуть спонукати користувачів підписувати повідомлення Permit, отримуючи таким чином дозволи на переміщення активів користувачів.
Фішинг підпису Permit2: Permit2 - це функція, запущена певним DEX, яка має на меті спростити процеси користувачів. Проте, якщо користувач раніше користувався цим DEX і надав необмежений ліміт, зловмисники можуть використати цей механізм для переміщення активів користувача.
Щоб запобігти цим фішинговим атакам, ми можемо вжити такі заходи:
Виховання усвідомлення безпеки: щоразу, коли ви виконуєте операції з гаманцем, ретельно перевіряйте, яку операцію ви виконуєте.
Диверсифікація активів: відокремлення великих коштів від повсякденного гаманця для зменшення потенційних втрат.
Навчіться розпізнавати підозрілі підписи: особливо звертайте увагу на запити підпису, що містять такі поля:
Зрозумівши ці базові логіки та вживаючи відповідних запобіжних заходів, ми можемо значно знизити ризик стати жертвою підписного фішингу. У світі Web3 ключовими є пильність та безперервне навчання для забезпечення безпеки активів.