Análisis de la lógica subyacente del phishing en Web3

Recientemente, "phishing mediante firma" se ha convertido en uno de los métodos de fraude más preferidos por los hackers de Web3. A pesar de que expertos de la industria y empresas de seguridad continúan promoviendo conocimientos relacionados, cada día un gran número de usuarios cae en las trampas. Una de las principales razones de este fenómeno es que la mayoría de las personas carece de comprensión sobre el mecanismo subyacente de la interacción con billeteras, y para los no técnicos, la barrera de aprendizaje es bastante alta.

Para ayudar a más personas a entender este problema, explicaremos la lógica subyacente del phishing de firmas a través de diagramas y un lenguaje sencillo.

Primero, necesitamos entender que hay dos operaciones principales al utilizar una billetera: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena (off-chain) y no requiere el pago de tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere el pago de tarifas de Gas.

La firma se utiliza comúnmente para la verificación de identidad, como al iniciar sesión en una billetera. Cuando te conectas a un DEX, necesitas firmar para demostrar que eres el propietario de esa billetera. Este proceso no cambia ningún dato o estado en la blockchain, por lo que no es necesario pagar una tarifa.

En comparación, la interacción implica operaciones reales en la cadena. Por ejemplo, al intercambiar tokens en un DEX, primero necesitas autorizar al contrato inteligente del DEX para que pueda mover tus tokens (llamado "autorización" o "approve"), y luego realizar la operación de intercambio real. Ambos pasos requieren el pago de tarifas de Gas.

Después de entender la diferencia entre las firmas y las interacciones, veamos tres métodos comunes de phishing: phishing de autorización, phishing de firma de Permiso y phishing de firma de Permiso2.

La pesca autorizada utiliza el mecanismo de autorización (approve). Los hackers pueden crear un sitio web de phishing disfrazado como un proyecto de NFT, induciendo a los usuarios a hacer clic en el botón "reclamar airdrop". En realidad, esta acción solicitará a los usuarios que autoricen a la dirección del hacker a operar con su Token. Dado que se requiere pagar una tarifa de Gas, muchos usuarios se vuelven más cautelosos en tales situaciones, lo que hace que sea relativamente fácil de prevenir.

Es más difícil prevenir el phishing de firmas de Permit y Permit2, ya que los usuarios están acostumbrados a firmar para iniciar sesión en la billetera antes de usar DApps, lo que fácilmente crea la mentalidad de "esta operación es segura".

El mecanismo de Permiso es una función de extensión de autorización bajo el estándar ERC-20. Los usuarios aprueban a otros para mover su Token a través de una firma, en lugar de realizar la operación de autorización directamente en la cadena. Los hackers pueden aprovechar este mecanismo para inducir a los usuarios a firmar mensajes que permiten la transferencia de activos, y luego utilizar esta firma para transferir los Tokens del usuario.

Permit2 es una función lanzada por cierto DEX para mejorar la experiencia del usuario. Permite a los usuarios autorizar de una vez una gran cantidad al contrato inteligente Permit2, y luego, en cada transacción, solo necesitan firmar, sin tener que pagar Gas. Sin embargo, si un usuario ha utilizado anteriormente ese DEX y ha otorgado un límite ilimitado, podría convertirse en un objetivo de phishing de Permit2.

En general, el phishing de autorización permite a los usuarios autorizar directamente a los hackers a operar sus Tokens, mientras que el phishing por firma induce a los usuarios a firmar un "permiso" que permite a los hackers mover activos.

Para prevenir estos ataques de phishing, podemos tomar las siguientes medidas:

1. Fomentar la conciencia de seguridad, cada vez que realice operaciones en la billetera, revise cuidadosamente el contenido específico de la operación.

2. Separar grandes cantidades de dinero de la billetera que se usa a diario para reducir las pérdidas potenciales.

3. Aprender a identificar el formato de firma de Permit y Permit2. Cuando veas una solicitud de firma que contenga lo siguiente, debes tener especial cuidado:

   • Interactivo：sitio web interactivo
   • Propietario: dirección del otorgante
   • Spender: Dirección del autorizado
   • Valor：Cantidad autorizada
   • Nonce: número aleatorio
   • Deadline：Tiempo de vencimiento

Al comprender estos mecanismos subyacentes y tomar las medidas de precaución adecuadas, podemos proteger mejor nuestros activos digitales y evitar convertirnos en víctimas de phishing de firmas.