Analyse de la logique sous-jacente de l'hameçonnage par signature Web3
De nombreux utilisateurs rencontrent un dilemme lors de l'interaction avec leur portefeuille : "Je n'ai signé qu'un nom, pourquoi mes fonds ont-ils disparu ?" Cette "phishing par signature" devient l'une des méthodes de fraude les plus prisées par les hackers du Web3. Malgré les rappels constants des experts en sécurité et des entreprises de portefeuille pour inciter les utilisateurs à rester vigilants, un grand nombre d'utilisateurs tombent encore dans le piège chaque jour.
L'une des principales raisons de cette situation est que la plupart des utilisateurs manquent de compréhension des mécanismes sous-jacents des interactions avec les portefeuilles, et que le seuil d'apprentissage est assez élevé pour les personnes non techniques. Par conséquent, nous avons décidé d'expliquer le principe du phishing par signature de manière illustrée et de tenter d'utiliser un langage simple afin que les utilisateurs ordinaires puissent également comprendre.
Tout d'abord, nous devons comprendre qu'il n'y a que deux opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". La compréhension la plus simple est que la signature se produit hors de la blockchain (, en dehors de la chaîne ), sans frais de Gas ; tandis que l'interaction se produit sur la blockchain (, sur la chaîne ), nécessitant des frais de Gas.
Une signature est généralement utilisée pour l'authentification, par exemple lors de la connexion à un portefeuille. Lorsque vous souhaitez échanger des jetons sur un DEX, vous devez d'abord connecter votre portefeuille, et à ce moment-là, une signature est nécessaire pour prouver "Je suis le propriétaire de ce portefeuille". Ce processus n'entraîne aucun changement de données ou d'état sur la blockchain, il n'est donc pas nécessaire de dépenser.
L'interaction se produit lorsque vous devez réellement échanger des jetons sur un DEX, vous devez d'abord payer des frais pour informer le contrat intelligent du DEX : "Je veux échanger 100USDT contre un jeton, je vous autorise à déplacer mes 100USDT". Cette étape s'appelle l'autorisation (approve). Ensuite, vous devez encore payer des frais pour informer le contrat intelligent : "Je veux maintenant échanger 100USDT contre un jeton, vous pouvez procéder à l'exécution". Ainsi, vous avez terminé la transaction pour échanger 100USDT contre un jeton.
Après avoir compris la différence entre la signature et l'interaction, nous allons introduire trois méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing autorisé est l'une des méthodes de phishing les plus classiques du Web3. Les hackers créent un faux site déguisé en projet NFT, avec un bouton « Réclamer l'airdrop » bien en évidence. Lorsque l'utilisateur clique dessus, l'interface qui s'ouvre dans le portefeuille demande en réalité à l'utilisateur d'autoriser le transfert de jetons vers l'adresse du hacker. Si l'utilisateur confirme cette action, le hacker réussit à réaliser une escroquerie.
Cependant, la pêche par autorisation a un inconvénient : en raison des frais de Gas, de nombreux utilisateurs sont désormais plus prudents lors des opérations impliquant des fonds, et il est possible de détecter des anomalies sur des sites inconnus avec un peu d'attention.
Ensuite, il y a le phishing par signature Permit et Permit2, qui est actuellement une zone à haut risque pour la sécurité des actifs Web3. La difficulté de prévention réside dans le fait qu'il est nécessaire de signer pour se connecter au portefeuille avant chaque utilisation d'une DApp, et de nombreux utilisateurs ont développé une pensée habituelle de "cette opération est sécurisée". De plus, le fait qu'aucun frais ne soit requis, ainsi que l'ignorance de la signification de chaque signature, rend cette méthode de phishing particulièrement dangereuse.
Le Permit est une fonctionnalité d'extension autorisée sous la norme ERC-20. En termes simples, cela signifie que vous pouvez approuver par signature une autre personne pour déplacer vos jetons. Contrairement à l'autorisation (Approve) qui nécessite que vous payiez des frais, le Permit équivaut à signer sur un "papier" pour permettre à quelqu'un de déplacer vos jetons. Ensuite, cette personne prend ce "papier" et va au contrat intelligent, paie les frais de Gas et dit au contrat : "Il m'autorise à déplacer ses jetons". Dans ce processus, vous n'avez signé qu'un nom, mais en réalité, vous avez permis à quelqu'un d'appeler l'autorisation et de transférer vos jetons.
Permit2 n'est pas une fonctionnalité d'ERC-20, mais une fonctionnalité lancée par certains DEX pour faciliter l'utilisation par les utilisateurs. Son objectif est de permettre aux utilisateurs d'autoriser une grande somme en une seule fois, puis pour chaque transaction ultérieure, il suffit de signer, sans avoir besoin de réautoriser. De cette façon, les utilisateurs n'ont à payer des frais de Gas qu'une seule fois par transaction, et ces frais sont réglés par le contrat Permit2, qui seront finalement déduits des jetons échangés.
Cependant, le prérequis pour le phishing de Permit2 est que l'utilisateur ait déjà utilisé ce DEX et qu'il ait accordé une limite illimitée au contrat intelligent Permit2. Étant donné que l'opération par défaut de ce DEX est l'autorisation de limite illimitée, le nombre d'utilisateurs répondant à ce critère est assez élevé.
En résumé, l'essence du phishing par autorisation est que vous payez des frais pour informer le contrat intelligent : "Je vous autorise à transférer mes jetons au hacker". L'essence du phishing par signature est que vous avez signé un "document" permettant à d'autres de déplacer vos actifs au hacker, qui paie ensuite des frais pour informer le contrat intelligent : "Je veux transférer ses jetons à moi".
Alors, comment se prémunir contre ces attaques de phishing ?
Il est essentiel de cultiver la sensibilisation à la sécurité. Chaque fois que vous effectuez une opération de portefeuille, vérifiez attentivement quelle opération vous êtes en train d'exécuter.
Séparer les fonds importants des portefeuilles utilisés quotidiennement, afin que même en cas de phishing, les pertes puissent être minimisées.
Apprenez à reconnaître le format de signature de Permit et Permit2. Si vous voyez une signature contenant les informations suivantes, soyez vigilant :
Interactif:site Web interactif
Propriétaire : adresse de l'autorisateur
Spender : adresse de la partie autorisée
Valeur : Quantité autorisée
Nonce : nombre aléatoire
Deadline : date d'expiration
En comprenant ces logiques sous-jacentes et ces mesures de prévention, les utilisateurs peuvent mieux protéger leurs actifs numériques et éviter de devenir des victimes de phishing par signature.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
22 J'aime
Récompense
22
6
Partager
Commentaire
0/400
PoetryOnChain
· 07-17 15:03
Encore des pigeons se sont fait avoir, n'est-ce pas ?
Voir l'originalRépondre0
SchrodingerWallet
· 07-16 16:37
Personne moyenne de pigeons à abattre...
Voir l'originalRépondre0
PensionDestroyer
· 07-14 18:57
Qui a déjà été dupé, lève la patte ! Qui comprend ?
Voir l'originalRépondre0
RugDocScientist
· 07-14 18:54
Signer pour la solitude
Voir l'originalRépondre0
GhostAddressMiner
· 07-14 18:48
Une autre vague de fonds de pigeons va être suivie par moi.
Voir l'originalRépondre0
GasGrillMaster
· 07-14 18:37
J'ai signé plusieurs contrats, et je ne peux même pas pleurer.
Décryptage de l'hameçonnage par signature Web3 : analyse des principes et guide de prévention
Analyse de la logique sous-jacente de l'hameçonnage par signature Web3
De nombreux utilisateurs rencontrent un dilemme lors de l'interaction avec leur portefeuille : "Je n'ai signé qu'un nom, pourquoi mes fonds ont-ils disparu ?" Cette "phishing par signature" devient l'une des méthodes de fraude les plus prisées par les hackers du Web3. Malgré les rappels constants des experts en sécurité et des entreprises de portefeuille pour inciter les utilisateurs à rester vigilants, un grand nombre d'utilisateurs tombent encore dans le piège chaque jour.
L'une des principales raisons de cette situation est que la plupart des utilisateurs manquent de compréhension des mécanismes sous-jacents des interactions avec les portefeuilles, et que le seuil d'apprentissage est assez élevé pour les personnes non techniques. Par conséquent, nous avons décidé d'expliquer le principe du phishing par signature de manière illustrée et de tenter d'utiliser un langage simple afin que les utilisateurs ordinaires puissent également comprendre.
Tout d'abord, nous devons comprendre qu'il n'y a que deux opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". La compréhension la plus simple est que la signature se produit hors de la blockchain (, en dehors de la chaîne ), sans frais de Gas ; tandis que l'interaction se produit sur la blockchain (, sur la chaîne ), nécessitant des frais de Gas.
Une signature est généralement utilisée pour l'authentification, par exemple lors de la connexion à un portefeuille. Lorsque vous souhaitez échanger des jetons sur un DEX, vous devez d'abord connecter votre portefeuille, et à ce moment-là, une signature est nécessaire pour prouver "Je suis le propriétaire de ce portefeuille". Ce processus n'entraîne aucun changement de données ou d'état sur la blockchain, il n'est donc pas nécessaire de dépenser.
L'interaction se produit lorsque vous devez réellement échanger des jetons sur un DEX, vous devez d'abord payer des frais pour informer le contrat intelligent du DEX : "Je veux échanger 100USDT contre un jeton, je vous autorise à déplacer mes 100USDT". Cette étape s'appelle l'autorisation (approve). Ensuite, vous devez encore payer des frais pour informer le contrat intelligent : "Je veux maintenant échanger 100USDT contre un jeton, vous pouvez procéder à l'exécution". Ainsi, vous avez terminé la transaction pour échanger 100USDT contre un jeton.
Après avoir compris la différence entre la signature et l'interaction, nous allons introduire trois méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.
Le phishing autorisé est l'une des méthodes de phishing les plus classiques du Web3. Les hackers créent un faux site déguisé en projet NFT, avec un bouton « Réclamer l'airdrop » bien en évidence. Lorsque l'utilisateur clique dessus, l'interface qui s'ouvre dans le portefeuille demande en réalité à l'utilisateur d'autoriser le transfert de jetons vers l'adresse du hacker. Si l'utilisateur confirme cette action, le hacker réussit à réaliser une escroquerie.
Cependant, la pêche par autorisation a un inconvénient : en raison des frais de Gas, de nombreux utilisateurs sont désormais plus prudents lors des opérations impliquant des fonds, et il est possible de détecter des anomalies sur des sites inconnus avec un peu d'attention.
Ensuite, il y a le phishing par signature Permit et Permit2, qui est actuellement une zone à haut risque pour la sécurité des actifs Web3. La difficulté de prévention réside dans le fait qu'il est nécessaire de signer pour se connecter au portefeuille avant chaque utilisation d'une DApp, et de nombreux utilisateurs ont développé une pensée habituelle de "cette opération est sécurisée". De plus, le fait qu'aucun frais ne soit requis, ainsi que l'ignorance de la signification de chaque signature, rend cette méthode de phishing particulièrement dangereuse.
Le Permit est une fonctionnalité d'extension autorisée sous la norme ERC-20. En termes simples, cela signifie que vous pouvez approuver par signature une autre personne pour déplacer vos jetons. Contrairement à l'autorisation (Approve) qui nécessite que vous payiez des frais, le Permit équivaut à signer sur un "papier" pour permettre à quelqu'un de déplacer vos jetons. Ensuite, cette personne prend ce "papier" et va au contrat intelligent, paie les frais de Gas et dit au contrat : "Il m'autorise à déplacer ses jetons". Dans ce processus, vous n'avez signé qu'un nom, mais en réalité, vous avez permis à quelqu'un d'appeler l'autorisation et de transférer vos jetons.
Permit2 n'est pas une fonctionnalité d'ERC-20, mais une fonctionnalité lancée par certains DEX pour faciliter l'utilisation par les utilisateurs. Son objectif est de permettre aux utilisateurs d'autoriser une grande somme en une seule fois, puis pour chaque transaction ultérieure, il suffit de signer, sans avoir besoin de réautoriser. De cette façon, les utilisateurs n'ont à payer des frais de Gas qu'une seule fois par transaction, et ces frais sont réglés par le contrat Permit2, qui seront finalement déduits des jetons échangés.
Cependant, le prérequis pour le phishing de Permit2 est que l'utilisateur ait déjà utilisé ce DEX et qu'il ait accordé une limite illimitée au contrat intelligent Permit2. Étant donné que l'opération par défaut de ce DEX est l'autorisation de limite illimitée, le nombre d'utilisateurs répondant à ce critère est assez élevé.
En résumé, l'essence du phishing par autorisation est que vous payez des frais pour informer le contrat intelligent : "Je vous autorise à transférer mes jetons au hacker". L'essence du phishing par signature est que vous avez signé un "document" permettant à d'autres de déplacer vos actifs au hacker, qui paie ensuite des frais pour informer le contrat intelligent : "Je veux transférer ses jetons à moi".
Alors, comment se prémunir contre ces attaques de phishing ?
Il est essentiel de cultiver la sensibilisation à la sécurité. Chaque fois que vous effectuez une opération de portefeuille, vérifiez attentivement quelle opération vous êtes en train d'exécuter.
Séparer les fonds importants des portefeuilles utilisés quotidiennement, afin que même en cas de phishing, les pertes puissent être minimisées.
Apprenez à reconnaître le format de signature de Permit et Permit2. Si vous voyez une signature contenant les informations suivantes, soyez vigilant :
En comprenant ces logiques sous-jacentes et ces mesures de prévention, les utilisateurs peuvent mieux protéger leurs actifs numériques et éviter de devenir des victimes de phishing par signature.