Analyse de la logique sous-jacente de l'hameçonnage par signature Web3
Récemment, la "phishing par signature" est devenue l'une des méthodes de fraude préférées des pirates du Web3. Bien que les experts en sécurité et les entreprises de portefeuilles continuent de promouvoir des connaissances à ce sujet, de nombreux utilisateurs tombent encore dans le piège chaque jour. L'une des principales raisons de cela est que la plupart des gens manquent de compréhension des principes sous-jacents des interactions avec les portefeuilles, et pour les non-techniciens, la barrière à l'apprentissage est relativement élevée.
Pour aider un plus grand nombre de personnes à comprendre ce problème, cet article explorera en profondeur la logique sous-jacente du phishing par signature à l'aide d'illustrations et tentera de l'expliquer dans un langage simple et accessible.
Tout d'abord, nous devons comprendre qu'il existe principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de frais de Gas ; tandis que l'interaction a lieu sur la blockchain (sur chaîne) et nécessite le paiement de frais de Gas.
Une signature est généralement utilisée pour l'authentification, par exemple, pour se connecter à un portefeuille. Lorsque vous souhaitez échanger des tokens sur un DEX, vous devez d'abord connecter votre portefeuille, et c'est à ce moment-là qu'une signature est nécessaire pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus n'entraîne aucun changement de données ou d'état sur la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction se produit lors de l'exécution réelle des opérations. Par exemple, lorsque vous souhaitez échanger des jetons sur un DEX, vous devez d'abord payer des frais pour informer le contrat intelligent : "Je t'autorise à utiliser mes 100 USDT", cette étape s'appelle l'autorisation (approve). Ensuite, vous devez encore payer des frais pour informer le contrat intelligent : "Commencez maintenant l'opération d'échange", après quoi vous aurez terminé la transaction d'échange de vos 100 USDT contre d'autres jetons.
Après avoir compris la différence entre la signature et l'interaction, présentons trois types courants de phishing : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing autorisé est l'une des méthodes d'escroquerie les plus classiques dans le Web3. Les hackers créent un faux site déguisé en projet NFT, dont la page centrale contient généralement un bouton "Réclamer l'airdrop" bien en vue. Lorsque l'utilisateur clique, l'interface de son portefeuille qui apparaît demande en réalité à l'utilisateur d'autoriser le transfert de tokens vers l'adresse du hacker. Si l'utilisateur confirme l'opération, le hacker peut alors accéder aux actifs de l'utilisateur.
Cependant, le phishing autorisé a une faiblesse : en raison de la nécessité de payer des frais de Gas, de nombreux utilisateurs sont plus vigilants lorsqu'il s'agit d'opérations financières, et une attention particulière peut facilement détecter des anomalies, ce qui le rend relativement facile à prévenir.
Les signatures de Permit et Permit2 sont actuellement des zones de sinistre pour la sécurité des actifs Web3. La raison pour laquelle cette méthode est difficile à prévenir est que les utilisateurs doivent toujours signer pour se connecter à leur portefeuille avant d'utiliser une DApp. Beaucoup de gens ont développé une pensée habituelle de "cette opération est sécurisée", associée à l'absence de frais à payer, et à la méconnaissance du sens derrière chaque signature, ce qui rend cette méthode de phishing particulièrement dangereuse.
Le mécanisme Permit est une extension de la fonctionnalité d'autorisation dans la norme ERC-20. En termes simples, il vous permet d'approuver d'autres personnes pour déplacer vos jetons en signant. Contrairement à l'autorisation traditionnelle, le Permit est une signature sur un "certificat" permettant à quelqu'un de déplacer vos jetons. La personne détenant ce "certificat" peut payer les frais de Gas au contrat intelligent, informant le contrat : "il m'autorise à déplacer ses jetons", permettant ainsi le transfert d'actifs. Dans ce processus, l'utilisateur n'a signé qu'un nom, mais a en réalité permis à d'autres d'appeler l'autorisation et de transférer des jetons. Les hackers peuvent créer des sites de phishing, remplaçant le bouton de connexion au portefeuille par un phishing Permit, obtenant facilement les actifs des utilisateurs.
Permit2 n'est pas une fonctionnalité d'ERC-20, mais une fonctionnalité lancée par certains DEX pour améliorer l'expérience utilisateur. Il permet aux utilisateurs d'autoriser une grande quantité à un DEX en une seule fois, après quoi chaque transaction nécessite seulement une signature, et les frais de Gas sont payés par le contrat Permit2 (déduits des jetons échangés en fin de transaction). Cependant, pour devenir une victime de phishing Permit2, il faut que l'utilisateur ait déjà utilisé ce DEX et qu'il ait autorisé un montant illimité au contrat intelligent Permit2. Étant donné que l'opération par défaut de ce DEX est l'autorisation de montants illimités, le nombre d'utilisateurs remplissant cette condition est assez considérable.
En résumé, le phishing par autorisation consiste essentiellement à ce que l'utilisateur paie des frais pour informer le contrat intelligent : "J'accepte que tu transfères mes jetons au hacker". Le phishing par signature implique que l'utilisateur signe un "certificat" permettant à autrui de déplacer des actifs vers le hacker, qui paie ensuite des frais pour informer le contrat intelligent : "Je veux transférer ses jetons à moi-même". Permit et Permit2 sont actuellement des zones à haut risque de phishing par signature, Permit étant une fonctionnalité d'extension d'autorisation ERC-20, tandis que Permit2 est une nouvelle fonctionnalité lancée par un certain DEX.
Alors, comment se prémunir contre ces attaques de phishing ?
Il est crucial de cultiver une conscience de la sécurité. Chaque fois que vous effectuez une opération de portefeuille, vous devez vérifier attentivement quelle opération vous êtes en train d'exécuter.
Séparez les fonds importants de votre portefeuille utilisé au quotidien pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2. Lorsque vous voyez une signature contenant les informations suivantes, soyez particulièrement vigilant :
Interactif : site web interactif
Propriétaire : Adresse de l'autorisateur
Spender : Adresse de l'entité autorisée
Valeur : Quantité autorisée
Nonce : nombre aléatoire
Deadline : date d'expiration
En comprenant ces principes sous-jacents et en prenant des mesures de précaution appropriées, nous pouvons mieux protéger la sécurité de nos actifs Web3.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
6
Partager
Commentaire
0/400
MemeCurator
· Il y a 11h
Encore des pigeons ont été attrapés.
Voir l'originalRépondre0
AlgoAlchemist
· Il y a 11h
Les débutants savent comment se protéger des arnaques, mais les pigeons se laissent toujours prendre.
Voir l'originalRépondre0
MEVHunterZhang
· Il y a 11h
Encore quelqu'un a pêché quelques dizaines de milliers.
Voir l'originalRépondre0
WalletDetective
· Il y a 11h
Encore volé ? Pas étonnant, il faut faire attention au contenu de la signature.
Voir l'originalRépondre0
OnchainArchaeologist
· Il y a 11h
Encore pris pour un idiot, je n'arrive pas à apprendre.
Voir l'originalRépondre0
SolidityNewbie
· Il y a 11h
prendre les gens pour des idiots une fois pour apprendre une leçon
Analyse approfondie de la pêche à la signature Web3 : identification des risques et stratégies de prévention
Analyse de la logique sous-jacente de l'hameçonnage par signature Web3
Récemment, la "phishing par signature" est devenue l'une des méthodes de fraude préférées des pirates du Web3. Bien que les experts en sécurité et les entreprises de portefeuilles continuent de promouvoir des connaissances à ce sujet, de nombreux utilisateurs tombent encore dans le piège chaque jour. L'une des principales raisons de cela est que la plupart des gens manquent de compréhension des principes sous-jacents des interactions avec les portefeuilles, et pour les non-techniciens, la barrière à l'apprentissage est relativement élevée.
Pour aider un plus grand nombre de personnes à comprendre ce problème, cet article explorera en profondeur la logique sous-jacente du phishing par signature à l'aide d'illustrations et tentera de l'expliquer dans un langage simple et accessible.
Tout d'abord, nous devons comprendre qu'il existe principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de frais de Gas ; tandis que l'interaction a lieu sur la blockchain (sur chaîne) et nécessite le paiement de frais de Gas.
Une signature est généralement utilisée pour l'authentification, par exemple, pour se connecter à un portefeuille. Lorsque vous souhaitez échanger des tokens sur un DEX, vous devez d'abord connecter votre portefeuille, et c'est à ce moment-là qu'une signature est nécessaire pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus n'entraîne aucun changement de données ou d'état sur la blockchain, il n'est donc pas nécessaire de payer des frais.
L'interaction se produit lors de l'exécution réelle des opérations. Par exemple, lorsque vous souhaitez échanger des jetons sur un DEX, vous devez d'abord payer des frais pour informer le contrat intelligent : "Je t'autorise à utiliser mes 100 USDT", cette étape s'appelle l'autorisation (approve). Ensuite, vous devez encore payer des frais pour informer le contrat intelligent : "Commencez maintenant l'opération d'échange", après quoi vous aurez terminé la transaction d'échange de vos 100 USDT contre d'autres jetons.
Après avoir compris la différence entre la signature et l'interaction, présentons trois types courants de phishing : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing autorisé est l'une des méthodes d'escroquerie les plus classiques dans le Web3. Les hackers créent un faux site déguisé en projet NFT, dont la page centrale contient généralement un bouton "Réclamer l'airdrop" bien en vue. Lorsque l'utilisateur clique, l'interface de son portefeuille qui apparaît demande en réalité à l'utilisateur d'autoriser le transfert de tokens vers l'adresse du hacker. Si l'utilisateur confirme l'opération, le hacker peut alors accéder aux actifs de l'utilisateur.
Cependant, le phishing autorisé a une faiblesse : en raison de la nécessité de payer des frais de Gas, de nombreux utilisateurs sont plus vigilants lorsqu'il s'agit d'opérations financières, et une attention particulière peut facilement détecter des anomalies, ce qui le rend relativement facile à prévenir.
Les signatures de Permit et Permit2 sont actuellement des zones de sinistre pour la sécurité des actifs Web3. La raison pour laquelle cette méthode est difficile à prévenir est que les utilisateurs doivent toujours signer pour se connecter à leur portefeuille avant d'utiliser une DApp. Beaucoup de gens ont développé une pensée habituelle de "cette opération est sécurisée", associée à l'absence de frais à payer, et à la méconnaissance du sens derrière chaque signature, ce qui rend cette méthode de phishing particulièrement dangereuse.
Le mécanisme Permit est une extension de la fonctionnalité d'autorisation dans la norme ERC-20. En termes simples, il vous permet d'approuver d'autres personnes pour déplacer vos jetons en signant. Contrairement à l'autorisation traditionnelle, le Permit est une signature sur un "certificat" permettant à quelqu'un de déplacer vos jetons. La personne détenant ce "certificat" peut payer les frais de Gas au contrat intelligent, informant le contrat : "il m'autorise à déplacer ses jetons", permettant ainsi le transfert d'actifs. Dans ce processus, l'utilisateur n'a signé qu'un nom, mais a en réalité permis à d'autres d'appeler l'autorisation et de transférer des jetons. Les hackers peuvent créer des sites de phishing, remplaçant le bouton de connexion au portefeuille par un phishing Permit, obtenant facilement les actifs des utilisateurs.
Permit2 n'est pas une fonctionnalité d'ERC-20, mais une fonctionnalité lancée par certains DEX pour améliorer l'expérience utilisateur. Il permet aux utilisateurs d'autoriser une grande quantité à un DEX en une seule fois, après quoi chaque transaction nécessite seulement une signature, et les frais de Gas sont payés par le contrat Permit2 (déduits des jetons échangés en fin de transaction). Cependant, pour devenir une victime de phishing Permit2, il faut que l'utilisateur ait déjà utilisé ce DEX et qu'il ait autorisé un montant illimité au contrat intelligent Permit2. Étant donné que l'opération par défaut de ce DEX est l'autorisation de montants illimités, le nombre d'utilisateurs remplissant cette condition est assez considérable.
En résumé, le phishing par autorisation consiste essentiellement à ce que l'utilisateur paie des frais pour informer le contrat intelligent : "J'accepte que tu transfères mes jetons au hacker". Le phishing par signature implique que l'utilisateur signe un "certificat" permettant à autrui de déplacer des actifs vers le hacker, qui paie ensuite des frais pour informer le contrat intelligent : "Je veux transférer ses jetons à moi-même". Permit et Permit2 sont actuellement des zones à haut risque de phishing par signature, Permit étant une fonctionnalité d'extension d'autorisation ERC-20, tandis que Permit2 est une nouvelle fonctionnalité lancée par un certain DEX.
Alors, comment se prémunir contre ces attaques de phishing ?
Il est crucial de cultiver une conscience de la sécurité. Chaque fois que vous effectuez une opération de portefeuille, vous devez vérifier attentivement quelle opération vous êtes en train d'exécuter.
Séparez les fonds importants de votre portefeuille utilisé au quotidien pour réduire les pertes potentielles.
Apprenez à reconnaître le format de signature de Permit et Permit2. Lorsque vous voyez une signature contenant les informations suivantes, soyez particulièrement vigilant :
En comprenant ces principes sous-jacents et en prenant des mesures de précaution appropriées, nous pouvons mieux protéger la sécurité de nos actifs Web3.