Análise da lógica subjacente de phishing por assinatura Web3

Muitos usuários enfrentam uma confusão ao interagir com carteiras: "Eu apenas assinei, por que meus fundos desapareceram?" Essa "phishing de assinatura" está se tornando uma das táticas de fraude favoritas dos hackers de Web3. Embora especialistas em segurança e empresas de carteiras estejam constantemente alertando os usuários a ficarem atentos, ainda há um grande número de usuários caindo na armadilha todos os dias.

Uma das principais razões para esta situação é a falta de compreensão da maioria dos usuários sobre os mecanismos subjacentes da interação com as carteiras, e o alto nível de dificuldade para os não técnicos em aprender. Portanto, decidimos explicar o princípio da pesca por assinatura de forma ilustrativa e usar uma linguagem simples para que usuários comuns também possam entender.

Primeiro, precisamos entender que ao usar uma carteira, existem apenas duas operações: "assinatura" e "interação". A compreensão mais simples é: a assinatura ocorre fora da blockchain (, off-chain ), e não requer o pagamento de taxas de Gas; enquanto a interação ocorre na blockchain (, on-chain ), e requer o pagamento de taxas de Gas.

A assinatura é normalmente usada para autenticação, como ao fazer login na carteira. Quando você deseja trocar tokens em um DEX, primeiro precisa conectar a carteira, e nesse momento é necessária a assinatura para provar "eu sou o proprietário desta carteira". Esse processo não gera nenhuma alteração nos dados ou estado da blockchain, portanto, não há necessidade de gastos.

E a interação ocorre quando você realmente deseja trocar tokens em um DEX, você precisa primeiro pagar uma taxa para informar o contrato inteligente do DEX: "Eu quero trocar 100USDT por um token, eu autorizo você a mover meu 100USDT". Esse passo é chamado de autorização (approve). Depois, você também precisa pagar uma taxa para informar o contrato inteligente: "Agora eu quero trocar 100USDT por um token, você pode executar a operação". Assim, você completa a transação de trocar 100USDT por um token.

Depois de entender a diferença entre assinatura e interação, vamos apresentar três tipos comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.

A autorização de phishing é uma das técnicas de phishing mais clássicas do início do Web3. Os hackers criam um site falso disfarçado de projeto NFT, que contém um botão chamativo "Receber Airdrop". Quando o usuário clica, a interface que aparece na carteira na verdade está pedindo ao usuário para autorizar a transferência de tokens para o endereço do hacker. Se o usuário confirmar essa operação, o hacker completou com sucesso uma fraude.

No entanto, a phishing autorizada tem uma desvantagem: como é necessário pagar taxas de Gas, muitos usuários agora são mais cautelosos ao realizar operações que envolvem fundos, e um pequeno cuidado em sites desconhecidos pode revelar anomalias.

A seguir estão as fraudes de assinatura Permit e Permit2, que são um grande problema para a segurança dos ativos Web3 atualmente. A dificuldade em prevenir isso se deve ao fato de que, antes de usar um DApp, é necessário assinar para fazer login na carteira, e muitos usuários já desenvolveram um pensamento habitual de "essa operação é segura". Além disso, como não é necessário pagar taxas, e a maioria das pessoas não entende o significado por trás de cada assinatura, esse tipo de fraude é particularmente perigoso.

O Permit é uma funcionalidade de extensão autorizada sob o padrão ERC-20. Em termos simples, você pode aprovar outras pessoas a moverem seus tokens através de uma assinatura. Ao contrário da autorização (Approve) que exige que você pague uma taxa, o Permit equivale a você assinar uma "autorização" permitindo que alguém mova seus tokens. Então, essa pessoa leva essa "autorização" ao contrato inteligente, paga a taxa de Gas e informa ao contrato: "ele me permite mover seus tokens". Durante esse processo, você apenas assinou, mas na realidade permitiu que outra pessoa chamasse a autorização e transferisse seus tokens.

Permit2 não é uma funcionalidade do ERC-20, mas sim uma funcionalidade lançada por algumas DEXs para facilitar a vida dos usuários. O seu objetivo é permitir que os usuários autorizem um grande montante de uma só vez, e após isso, para cada transação, basta assinar, sem a necessidade de autorizações repetidas. Desta forma, os usuários pagam a taxa de Gas apenas uma vez por transação, e essa taxa é paga pelo contrato Permit2, sendo finalmente descontada dos tokens trocados.

No entanto, a premissa do phishing do Permit2 é que o usuário tenha usado esse DEX antes e tenha concedido uma autorização ilimitada ao contrato inteligente Permit2. Como atualmente a operação padrão desse DEX é a autorização de limite ilimitado, o número de usuários que atendem a essa condição é bastante alto.

Em resumo, a essência da phishing de autorização é que você paga uma taxa dizendo ao contrato inteligente: "Eu autorizo você a transferir meus tokens para o hacker". A essência da phishing de assinatura é que você assina um "bilhete" permitindo que outros movam seus ativos para o hacker, e o hacker então paga uma taxa dizendo ao contrato inteligente: "Eu quero transferir os tokens dele para mim".

Então, como prevenir esses ataques de phishing?

1. É fundamental cultivar a consciência de segurança. Sempre que realizar operações na carteira, verifique cuidadosamente qual é a operação que está a executar.

2. Separe grandes quantias de dinheiro da carteira que usa no dia a dia, assim, mesmo que seja alvo de phishing, poderá minimizar as perdas.

3. Aprenda a reconhecer o formato de assinatura do Permit e do Permit2. Se você ver uma assinatura que contenha as seguintes informações, fique atento:

   • Interativo：endereço interativo
   • Proprietário：endereço do autorizador
   • Spender: Endereço do autorizado
   • Valor: Quantidade autorizada
   • Nonce: número aleatório
   • Prazo: prazo de expiração

Ao entender essas lógicas subjacentes e medidas de prevenção, os usuários podem proteger melhor seus ativos digitais e evitar se tornarem vítimas de phishing por assinatura.