Análise da lógica subjacente ao phishing de assinaturas Web3

Recentemente, a "phishing por assinatura" tornou-se um dos métodos de fraude mais preferidos pelos hackers do Web3. Apesar de especialistas da indústria e empresas de segurança estarem constantemente promovendo conhecimento relacionado, ainda há um grande número de usuários caindo na armadilha todos os dias. Uma das principais razões para esse fenômeno é a falta de compreensão da maioria das pessoas sobre os mecanismos subjacentes da interação com carteiras, e para não técnicos, a barreira de aprendizado é bastante alta.

Para ajudar mais pessoas a entender este problema, vamos explicar a lógica subjacente da pesca de assinatura através de ilustrações e uma linguagem simples.

Primeiro, precisamos entender que ao usar uma carteira existem principalmente duas operações: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da blockchain (off-chain), não sendo necessário pagar taxa de Gas; enquanto a interação ocorre na blockchain (on-chain), necessitando do pagamento da taxa de Gas.

A assinatura é normalmente utilizada para autenticação, como ao fazer login na carteira. Quando você se conecta a um DEX, é necessário assinar para provar que você é o proprietário da carteira. Este processo não altera nenhum dado ou estado na blockchain, portanto, não é necessário pagar taxas.

Em comparação, a interação envolve operações reais na blockchain. Por exemplo, ao trocar tokens em uma DEX, você precisa primeiro autorizar o contrato inteligente da DEX a mover seus tokens (chamado de "aprovação" ou "approve"), e só depois executar a operação de troca real. Ambas as etapas requerem o pagamento de taxas de Gas.

Depois de entender a diferença entre assinatura e interação, vamos dar uma olhada em três métodos comuns de phishing: phishing por autorização, phishing por assinatura Permit e phishing por assinatura Permit2.

A autorização de phishing aproveitou o mecanismo de autorização (approve). Os hackers podem criar um site de phishing disfarçado de projeto NFT, induzindo os usuários a clicarem no botão "reclamar airdrop". Na verdade, esta ação irá solicitar aos usuários que autorizem o endereço do hacker a operar seu Token. Como é necessário pagar taxas de Gas, muitos usuários ficam mais alertas ao encontrarem essa situação, tornando-a relativamente fácil de prevenir.

A assinatura de phishing com Permit e Permit2 é mais difícil de prevenir, pois os usuários estão habituados a assinar para entrar na carteira antes de usar DApps, o que facilita a formação do pensamento habitual de "esta operação é segura".

O mecanismo Permit é uma funcionalidade de extensão autorizada sob o padrão ERC-20. Os usuários aprovam outras pessoas a mover seus Tokens por meio de assinaturas, em vez de realizar operações de autorização diretamente na cadeia. Os hackers podem explorar esse mecanismo, induzindo os usuários a assinar mensagens que permitem a transferência de ativos, e então usar essa assinatura para transferir os Tokens dos usuários.

Permit2 é uma funcionalidade introduzida por algum DEX para melhorar a experiência do usuário. Permite que os usuários autorizem uma grande quantia de uma só vez ao contrato inteligente Permit2, e depois, para cada transação, apenas uma assinatura é necessária, sem a necessidade de pagar taxas de Gas. No entanto, se o usuário já usou esse DEX e concedeu uma quantia ilimitada, ele pode se tornar um alvo de phishing do Permit2.

De um modo geral, a pesca de autorização permite que os usuários autorizem diretamente os hackers a operar seus tokens, enquanto a pesca de assinatura induz os usuários a assinar uma "licença" que permite aos hackers mover ativos.

Para prevenir esses ataques de phishing, podemos tomar as seguintes medidas:

1. Cultivar a consciência de segurança, deve-se sempre verificar cuidadosamente o conteúdo específico da operação ao realizar operações na carteira.

2. Separe grandes quantias de dinheiro da carteira que usa no dia a dia para reduzir perdas potenciais.

3. Aprenda a identificar o formato de assinatura do Permit e Permit2. Fique especialmente atento quando vir um pedido de assinatura que contenha o seguinte:

   • Interativo：endereço interativo
   • Proprietário：Endereço do autorizador
   • Spender: Endereço do autorizado
   • Valor：Quantidade autorizada
   • Nonce: número aleatório
   • Prazo: Data de expiração

Ao compreender esses mecanismos subjacentes e tomar as medidas de precaução adequadas, podemos proteger melhor nossos ativos digitais e evitar nos tornarmos vítimas de phishing por assinatura.