Анализ базовой логики фишинга с использованием Web3

В последнее время "фишинг с подписями" стал одним из самых популярных методов мошенничества среди хакеров Web3. Несмотря на то, что эксперты отрасли и компании по безопасности постоянно пропагандируют соответствующие знания, каждый день огромное количество пользователей попадает в ловушку. Одна из основных причин этого явления заключается в том, что большинство людей не понимает основных механизмов взаимодействия с кошельками, и для нетехнических специалистов порог входа довольно высок.

Чтобы помочь большему количеству людей понять эту проблему, мы объясним основную логику фишинга с помощью диаграмм и простого для понимания языка.

Во-первых, нам необходимо понять, что при использовании кошелька есть два основных действия: "подписка" и "взаимодействие". Проще говоря, подписка происходит вне блокчейна (off-chain) и не требует оплаты Gas; в то время как взаимодействие происходит в блокчейне (on-chain) и требует оплаты Gas.

Подпись обычно используется для аутентификации, например, для входа в кошелек. Когда вы подключаетесь к какому-либо DEX, вам необходимо подписать, чтобы доказать, что вы являетесь владельцем этого кошелька. Этот процесс не изменяет никаких данных или состояния в блокчейне, поэтому платить за него не нужно.

В сравнении, взаимодействие включает фактические операции на блокчейне. Например, при обмене токенов на каком-либо DEX, вам сначала нужно разрешить смарт-контракту DEX перемещение ваших токенов (называемое "разрешением" или "approve"), а затем выполнить фактическую операцию обмена. Оба этих шага требуют оплаты Gas.

Поняв различия между подписью и взаимодействием, давайте рассмотрим три распространенных метода фишинга: фишинг через разрешение, фишинг через подпись Permit и фишинг через подпись Permit2.

Фишинг на основе авторизации использует механизм одобрения (approve). Хакеры могут создать фишинговый сайт, маскирующийся под проект NFT, чтобы заставить пользователей нажать кнопку "Получить аирдроп". На самом деле это действие потребует от пользователей разрешить хакерскому адресу управлять своими токенами. Поскольку необходимо оплатить комиссию за газ, многие пользователи становятся более осторожными в таких ситуациях, поэтому их относительно легко предотвратить.

Защита от фишинга с использованием Permit и Permit2 труднее, потому что пользователи привыкли подписывать вход в кошелек перед использованием DApp, что легко приводит к инерционному мышлению "это действие безопасно".

Механизм Permit является расширенной функцией авторизации в стандарте ERC-20. Пользователи могут подписывать одобрение другим на перемещение своих токенов, вместо того чтобы напрямую выполнять операции авторизации в блокчейне. Хакеры могут воспользоваться этим механизмом, заставляя пользователей подписывать сообщения, разрешающие перевод активов, а затем использовать эту подпись, чтобы вывести токены пользователей.

Permit2 — это функция, введенная некоторыми DEX для повышения удобства пользователей. Она позволяет пользователям единовременно предоставить большой лимит смарт-контракту Permit2, после чего для каждой сделки требуется только подпись, без необходимости повторной оплаты Gas. Однако, если пользователь ранее использовал этот DEX и предоставил неограниченный лимит, он может стать целью фишинга через Permit2.

В общем, авторизационная фишинг-атака заставляет пользователей напрямую разрешать хакерам управлять своими токенами, в то время как подделка подписи обманывает пользователей, заставляя их подписывать "лицензию", позволяющую хакерам перемещать активы.

Чтобы предотвратить эти фишинговые атаки, мы можем предпринять следующие меры:

1. Развивайте осознание безопасности, каждый раз при выполнении операций с кошельком внимательно проверяйте конкретные действия.

2. Разделите крупные средства и деньги, используемые в повседневной жизни, чтобы снизить потенциальные потери.

3. Научитесь распознавать форматы подписей Permit и Permit2. Будьте особенно осторожны, когда видите запрос на подпись, содержащий следующее:

   • Интерактивный：交互网址
   • Владелец：адрес уполномоченной стороны
   • Spender: адрес уполномоченной стороны
   • Значение：количество разрешений
   • Nonce: случайное число
   • Срок действия：过期时间

Понимая эти основные механизмы и принимая соответствующие меры предосторожности, мы можем лучше защитить свои цифровые активы и избежать того, чтобы стать жертвами фишинга по подписям.