La logique sous-jacente de l'hameçonnage par signature Web3 et ses préventions

Récemment, la "phishing par signature" est devenue la méthode d'attaque préférée des hackers Web3. Bien que des experts du secteur et des entreprises de sécurité continuent de sensibiliser le public, de nombreux utilisateurs subissent encore des pertes chaque jour. L'une des principales raisons de cette situation est que la plupart des utilisateurs manquent de compréhension des mécanismes sous-jacents des interactions avec les portefeuilles, et pour les non-techniciens, le seuil d'apprentissage des connaissances pertinentes est relativement élevé.

Pour aider un plus grand nombre de personnes à comprendre ce problème, nous allons utiliser des illustrations pour expliquer la logique sous-jacente du phishing par signature dans un langage simple et accessible.

Tout d'abord, nous devons comprendre qu'il y a principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de paiement de frais de Gas ; tandis que l'interaction se produit sur la blockchain (sur chaîne) et nécessite le paiement de frais de Gas.

Les signatures sont généralement utilisées pour l'authentification, par exemple pour se connecter à un portefeuille ou se connecter à une DApp. Ce processus ne modifie aucune donnée ou état sur la blockchain, il n'est donc pas nécessaire de payer des frais.

L'interaction implique des opérations réelles sur la chaîne. Par exemple, lors de l'échange de jetons sur un DEX, vous devez d'abord autoriser le contrat intelligent du DEX à utiliser vos jetons (cette étape est appelée "autorisation" ou "approve"), puis effectuer l'opération d'échange réelle. Ces deux étapes nécessitent le paiement des frais de Gas.

Après avoir compris la différence entre la signature et l'interaction, examinons quelques méthodes de phishing courantes : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.

L'hameçonnage par autorisation est une méthode classique de phishing Web3. Les hackers usurpent généralement un site Web semblant légitime, incitant les utilisateurs à cliquer sur des boutons comme "Recevoir l'airdrop". En réalité, le clic de l'utilisateur déclenche une opération d'autorisation, permettant aux hackers d'accéder aux tokens de l'utilisateur. L'inconvénient de cette méthode est qu'elle nécessite le paiement de frais de Gas, ce qui peut alerter les utilisateurs.

Les signatures de Permit et Permit2 sont encore plus discrètes pour le phishing. Permit est une fonction d'extension de la norme ERC-20 qui permet aux utilisateurs d'approuver d'autres personnes pour déplacer leurs propres tokens via une signature. C'est comme signer un "ordre" autorisant quelqu'un à utiliser vos actifs. Les hackers peuvent exploiter ce mécanisme pour inciter les utilisateurs à signer des messages apparemment inoffensifs, qui en réalité autorisent les hackers à transférer les actifs des utilisateurs.

Permit2 est une fonctionnalité lancée par un certain DEX, visant à simplifier le processus d'opération des utilisateurs. Il permet aux utilisateurs d'autoriser une grande somme en une seule fois au contrat intelligent Permit2, après quoi chaque transaction ne nécessite qu'une signature, sans avoir à réautoriser. Cependant, cela offre également une opportunité aux hackers. Si un utilisateur a déjà utilisé ce DEX et a accordé une limite illimitée, alors une fois qu'il est induit à signer un message Permit2, le hacker peut facilement transférer les actifs de l'utilisateur.

Pour prévenir ces attaques de phishing, nous recommandons :

1. Développez une conscience de la sécurité, vérifiez attentivement le contenu spécifique de chaque opération lors de l'utilisation du portefeuille.

2. Séparez les fonds importants de votre portefeuille d'utilisation quotidienne pour réduire les pertes potentielles.

3. Apprenez à reconnaître le format de signature de Permit et Permit2. Si vous voyez une demande de signature contenant les champs suivants, assurez-vous de rester vigilant :

   • Interactif（交互网址）
   • Propriétaire（adresse de l'autorisateur）
   • Spender (adresse du mandataire)
   • Valeur（quantité autorisée）
   • Nonce (nombre aléatoire)
   • Date limite

En comprenant ces logiques sous-jacentes et en prenant les mesures de prévention appropriées, nous pouvons mieux protéger la sécurité de nos actifs Web3.