Analyse de la logique sous-jacente du phishing par signature Web3

Récemment, la "phishing par signature" est devenue l'une des méthodes de fraude les plus prisées par les hackers Web3. Bien que les experts du secteur et les entreprises de sécurité continuent de promouvoir les connaissances connexes, un grand nombre d'utilisateurs tombent chaque jour dans le piège. L'une des principales raisons de ce phénomène est que la plupart des gens manquent de compréhension des mécanismes sous-jacents des interactions avec les portefeuilles, et pour les non-techniciens, le seuil d'apprentissage est relativement élevé.

Pour aider un plus grand nombre de personnes à comprendre ce problème, nous expliquerons la logique sous-jacente du phishing par signature à l'aide d'illustrations et d'un langage simple.

Tout d'abord, nous devons comprendre qu'il y a principalement deux types d'opérations lors de l'utilisation d'un portefeuille : "signature" et "interaction". En termes simples, la signature se produit en dehors de la blockchain (hors chaîne) et ne nécessite pas de frais de Gas ; tandis que l'interaction se produit sur la blockchain (sur chaîne) et nécessite le paiement de frais de Gas.

Une signature est généralement utilisée pour l'authentification, par exemple pour se connecter à un portefeuille. Lorsque vous vous connectez à un DEX, une signature est nécessaire pour prouver que vous êtes le propriétaire de ce portefeuille. Ce processus ne modifie aucune donnée ou état sur la blockchain, il n'est donc pas nécessaire de payer de frais.

En comparaison, l'interaction implique des opérations réelles sur la chaîne. Par exemple, lorsque vous échangez des tokens sur un DEX, vous devez d'abord autoriser le contrat intelligent du DEX à déplacer vos tokens (appelé "autorisation" ou "approve"), puis effectuer l'opération d'échange réelle. Ces deux étapes nécessitent le paiement des frais de Gas.

Après avoir compris la différence entre la signature et l'interaction, examinons les trois types courants de phishing : le phishing par autorisation, le phishing par signature Permit et le phishing par signature Permit2.

Le phishing autorisé exploite le mécanisme d'approbation. Les hackers peuvent créer un site de phishing déguisé en projet NFT, incitant les utilisateurs à cliquer sur le bouton "Recevoir l'airdrop". En réalité, cette opération demandera aux utilisateurs d'autoriser l'adresse du hacker à manipuler leurs tokens. Comme il faut payer des frais de Gas, de nombreux utilisateurs deviennent plus prudents lorsqu'ils rencontrent ce type de situation, ce qui le rend relativement facile à prévenir.

Il est plus difficile de se défendre contre le phishing par signature Permit et Permit2, car les utilisateurs ont l'habitude de signer pour se connecter à leur portefeuille avant d'utiliser des DApp, ce qui peut créer une pensée habituelle de "cette opération est sécurisée".

Le mécanisme Permit est une fonctionnalité d'extension sous le standard ERC-20. Les utilisateurs approuvent par signature d'autres personnes pour déplacer leurs tokens, au lieu d'effectuer directement des opérations d'autorisation sur la chaîne. Les hackers peuvent exploiter ce mécanisme pour inciter les utilisateurs à signer des messages autorisant le transfert d'actifs, puis utiliser cette signature pour déplacer les tokens de l'utilisateur.

Permit2 est une fonctionnalité introduite par un certain DEX pour améliorer l'expérience utilisateur. Elle permet aux utilisateurs d'autoriser une grande limite à un contrat intelligent Permit2 en une seule fois, après quoi chaque transaction nécessite seulement une signature, sans avoir à payer de frais de Gas. Cependant, si un utilisateur a déjà utilisé ce DEX et a accordé une limite illimitée, il pourrait devenir une cible pour le phishing Permit2.

En général, le phishing par autorisation permet aux utilisateurs de donner directement aux hackers l'autorisation d'agir sur leur Token, tandis que le phishing par signature incite les utilisateurs à signer un "permis" qui autorise les hackers à déplacer des actifs.

Pour prévenir ces attaques de phishing, nous pouvons prendre les mesures suivantes :

1. Développer une conscience de la sécurité, vérifiez soigneusement le contenu spécifique de chaque opération de portefeuille.

2. Séparer les fonds importants de l'argent utilisé au quotidien pour réduire les pertes potentielles.

3. Apprenez à reconnaître le format de signature de Permit et Permit2. Soyez particulièrement vigilant lorsque vous voyez une demande de signature contenant ce qui suit :

   • Interactif：site web interactif
   • Propriétaire : adresse de l'autorisateur
   • Spender : adresse du titulaire autorisé
   • Valeur : Quantité autorisée
   • Nonce : nombre aléatoire
   • Deadline : Date d'expiration

En comprenant ces mécanismes sous-jacents et en prenant les mesures préventives appropriées, nous pouvons mieux protéger nos actifs numériques et éviter de devenir des victimes de phishing par signature.