Основная логика и меры предосторожности против фишинга в Web3

В последнее время "подписной фишинг" стал одним из самых популярных методов атак для хакеров в Web3. Несмотря на то, что эксперты отрасли и компании по безопасности продолжают проводить просветительскую работу, каждый день множество пользователей сталкиваются с потерями. Одной из основных причин этой ситуации является то, что большинство пользователей не понимают основные механизмы взаимодействия с кошельком, а для людей, не обладающих техническими знаниями, порог для изучения соответствующих знаний достаточно высок.

Чтобы помочь большему количеству людей понять эту проблему, мы будем объяснять основную логику подписного фишинга с помощью иллюстраций на самом простом и понятном языке.

Во-первых, нам нужно понять, что при использовании кошелька есть две основные операции: "подпись" и "взаимодействие". Проще говоря, подпись происходит вне блокчейна (вне сети) и не требует оплаты Gas; тогда как взаимодействие происходит в блокчейне (в сети) и требует оплаты Gas.

Подпись обычно используется для аутентификации, например, при входе в кошелек или подключении к какому-либо DApp. Этот процесс не изменяет никаких данных или состояния в блокчейне, поэтому не требуется уплата сборов.

Взаимодействие включает в себя фактические операции в блокчейне. Например, при обмене токенов на определённом DEX, вам сначала нужно разрешить смарт-контракту DEX использовать ваши токены (этот этап называется "разрешение" или "approve"), а затем выполнить фактическую операцию обмена. Обе эти операции требуют оплаты Gas.

После того как мы поняли разницу между подписью и взаимодействием, давайте рассмотрим несколько распространенных способов фишинга: фишинг с использованием авторизации, фишинг с использованием подписи Permit и фишинг с использованием подписи Permit2.

Авторизация фишинга — это классический метод фишинга в Web3. Хакеры обычно подделывают сайт, который выглядит законным, чтобы заставить пользователей нажать на кнопки "Получить аирдроп" и т. д. На самом деле, при нажатии пользователем будет инициирована операция авторизации, позволяющая хакерам получить доступ к токенам пользователя. Недостатком этого метода является то, что необходимо платить Gas-стоимость, что может вызвать подозрения у пользователей.

Подпись Permit и Permit2 для фишинга становится еще более скрытой. Permit является расширенной функцией стандарта ERC-20, позволяющей пользователям одобрять другим перемещение своих токенов через подпись. Это похоже на подпись на "записке", разрешающей кому-то использовать ваши активы. Хакеры могут использовать этот механизм, чтобы заставить пользователей подписывать казалось бы безвредные сообщения, которые на самом деле являются разрешением хакерам на перевод активов пользователей.

Permit2 — это функция, представленная некоторыми DEX, предназначенная для упрощения процесса операций пользователей. Она позволяет пользователям единовременно предоставить большие полномочия смарт-контракту Permit2, после чего для каждой последующей сделки требуется только подпись, без необходимости повторного предоставления полномочий. Однако это также предоставляет возможность для хакеров. Если пользователь когда-либо использовал этот DEX и предоставил неограниченный лимит, то, как только он будет введен в заблуждение и подпишет сообщение Permit2, хакер сможет легко перевести активы пользователя.

Чтобы предотвратить эти фишинговые атаки, мы рекомендуем:

1. Развивайте осознание безопасности и тщательно проверяйте конкретное содержание операции каждый раз, когда вы используете кошелек.

2. Разделите крупные средства и деньги для повседневного использования, чтобы снизить потенциальные потери.

3. Научитесь распознавать формат подписей Permit и Permit2. Если вы видите запрос на подпись, содержащий следующие поля, обязательно проявите осторожность:

   • Интерактивный（交互网址）
   • Владелец（адрес уполномоченной стороны）
   • Spender (адрес уполномоченного лица)
   • Значение（授权数量）
   • Нонс (случайное число)
   • Срок действия（过期时间）

Поняв эти основные логики и приняв соответствующие меры предосторожности, мы можем лучше защитить безопасность наших активов Web3.