A lógica subjacente à phishing de assinatura Web3 e como se prevenir

Recentemente, "phishing por assinatura" tornou-se o método de ataque favorito dos hackers do Web3. Embora especialistas da indústria e empresas de segurança estejam constantemente educando o público, ainda há muitos usuários que enfrentam perdas diariamente. Uma das principais razões para isso é a falta de compreensão da maioria dos usuários sobre os mecanismos subjacentes das interações com carteiras, e para não especialistas, o nível de dificuldade para aprender esses conhecimentos é bastante elevado.

Para ajudar mais pessoas a entender este problema, iremos analisar a lógica subjacente à pesca de assinatura de forma ilustrativa, utilizando uma linguagem simples e fácil de entender.

Primeiro, precisamos entender que ao usar uma carteira há principalmente duas operações: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), não requerendo o pagamento de taxa de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento de taxa de Gas.

A assinatura é normalmente utilizada para autenticação, como por exemplo, ao entrar na carteira ou conectar-se a uma DApp. Este processo não altera quaisquer dados ou estados na blockchain, portanto, não é necessário pagar taxas.

A interação envolve operações reais na cadeia. Por exemplo, ao realizar a troca de tokens em um DEX, você primeiro precisa autorizar o contrato inteligente do DEX a usar seus tokens (este passo é chamado de "autorização" ou "approve"), e então executar a operação de troca real. Ambos os passos requerem o pagamento de taxas de Gas.

Após entender a diferença entre assinatura e interação, vamos dar uma olhada em algumas das formas comuns de phishing: phishing de autorização, phishing de assinatura Permit e phishing de assinatura Permit2.

A autorização de phishing é uma técnica clássica de phishing em Web3. Os hackers geralmente falsificam um site que parece legítimo, induzindo os usuários a clicar em botões como "receber airdrop". Na realidade, o clique do usuário aciona uma operação de autorização, permitindo que os hackers acessem os tokens do usuário. A desvantagem desse método é que ele requer o pagamento de taxas de Gas, o que pode despertar a atenção dos usuários.

As assinaturas Permit e Permit2 são ainda mais disfarçadas. Permit é uma funcionalidade expandida do padrão ERC-20 que permite aos usuários aprovar outras pessoas a mover seus tokens através de uma assinatura. É como assinar um "bilhete", autorizando alguém a usar seus ativos. Hackers podem explorar esse mecanismo, induzindo os usuários a assinar mensagens que parecem inofensivas, mas que na verdade autorizam os hackers a transferir os ativos dos usuários.

Permit2 é uma funcionalidade lançada por uma DEX, destinada a simplificar o fluxo de operações dos usuários. Ela permite que os usuários autorizem uma grande quantia de uma só vez para o contrato inteligente Permit2, e após isso, para cada transação, só é necessário assinar, sem a necessidade de autorizações repetidas. No entanto, isso também oferece uma oportunidade para os hackers. Se um usuário já utilizou essa DEX e concedeu um limite infinito, assim que for induzido a assinar uma mensagem do Permit2, os hackers poderão transferir facilmente os ativos do usuário.

Para prevenir esses ataques de phishing, recomendamos:

1. Desenvolver uma consciência de segurança, verificando cuidadosamente o conteúdo específico da operação sempre que utilizar a carteira.

2. Separe grandes quantias de dinheiro das carteiras de uso diário para reduzir perdas potenciais.

3. Aprenda a identificar o formato de assinatura do Permit e Permit2. Se você ver um pedido de assinatura que contém os seguintes campos, fique atento:

   • Interativo（交互网址）
   • Proprietário（授权方地址）
   • Spender (endereço autorizado)
   • Valor（授权数量）
   • Nonce (número aleatório)
   • Prazo (data de expiração)

Ao compreender estas lógicas subjacentes e tomar as devidas precauções, podemos proteger melhor a segurança dos nossos ativos Web3.