Web3 İmza Oltalama Altında Yatan Mantık ve Önleme Yöntemleri

Son zamanlarda, "imza oltası" Web3 hackerlarının en çok tercih ettiği saldırı yöntemi haline geldi. Sektör uzmanları ve güvenlik şirketleri sürekli olarak bilgi veriyor olsa da, her gün birçok kullanıcı kayıplar yaşıyor. Bu durumun başlıca nedenlerinden biri, çoğu kullanıcının cüzdan etkileşimlerinin temel mekanizmalarını anlamaması ve teknik olmayan kişiler için ilgili bilgilerin öğrenme eşiğinin yüksek olmasıdır.

Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, imza oltalama işleminin temel mantığını en basit ve anlaşılır bir dille grafiklerle açıklayacağız.

Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imza" ve "etkileşim". Kısaca, imza blok zincirinin dışında (off-chain) gerçekleşir ve Gas ücreti ödemez; etkileşim ise blok zincirinin üzerinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekir.

İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yaparken veya bir DApp'e bağlanırken. Bu işlem, blok zincirindeki herhangi bir veriyi veya durumu değiştirmediği için ücret ödenmesine gerek yoktur.

Etkileşim, gerçek zincir üzerindeki işlemleri içerir. Örneğin, bir DEX'te token takası yaparken, öncelikle DEX'in akıllı sözleşmesine token'larınızı kullanma yetkisi vermeniz gerekir (bu adım "yetkilendirme" veya "approve" olarak adlandırılır), ardından gerçek takas işlemini gerçekleştirirsiniz. Bu iki adımda da Gas ücreti ödemeniz gerekmektedir.

İmza ve etkileşim arasındaki farkı anladıktan sonra, birkaç yaygın oltalama türüne bakalım: yetkilendirme oltalaması, Permit imza oltalaması ve Permit2 imza oltalaması.

Yetkilendirme phishing, klasik bir Web3 phishing yöntemidir. Hackerlar genellikle kullanıcıları "airdrop al" gibi butonlara tıklamaya ikna etmek için göründüğü gibi yasal bir web sitesi sahteleyebilirler. Aslında, kullanıcı tıkladığında bir yetkilendirme işlemi tetiklenir ve bu durum hackerların kullanıcının token'larına erişim izni almasına neden olur. Bu yönteminin dezavantajı Gas ücretlerinin ödenmesi gerekliliğidir, bu da kullanıcıların dikkatini çekebilir.

Permit ve Permit2 imza dolandırıcılığı daha gizli bir şekilde gerçekleşir. Permit, kullanıcıların başkalarının kendi token'lerini hareket ettirmesine izin vermek için imza kullanarak onay vermesine olanak tanıyan ERC-20 standardının bir genişletme özelliğidir. Bu, bir "kağıt" üzerinde imza atmak gibi, birine varlıklarınızı kullanma yetkisi vermektir. Hackerlar bu mekanizmayı kullanarak, kullanıcılara zararsız görünen mesajlar imzalatabilir, bu da aslında hackerların kullanıcının varlıklarını aktarmasına yetki vermek anlamına gelir.

Permit2, bir DEX'in kullanıcılara işlemlerini basitleştirmek için sunduğu bir özelliktir. Kullanıcıların Permit2 akıllı sözleşmesine büyük bir yetki vermesini sağlar, böylece her işlemde sadece imza atmak yeterli olur, tekrar yetki vermeye gerek kalmaz. Ancak, bu durum hackerlar için bir fırsat sunar. Kullanıcı daha önce bu DEX'i kullanmış ve sınırsız yetki vermişse, Permit2 mesajını imzalamaya ikna edildiğinde, hackerlar kullanıcı varlıklarını kolayca transfer edebilir.

Bu phishing saldırılarını önlemek için öneriyoruz:

1. Güvenlik bilincini geliştirin, cüzdanınızı her kullandığınızda işlemin içeriğini dikkatlice kontrol edin.

2. Büyük miktardaki fonları günlük kullanım cüzdanından ayırarak potansiyel kayıpları azaltın.

3. Permit ve Permit2'nin imza formatlarını tanımayı öğrenin. Aşağıdaki alanları içeren bir imza isteği gördüğünüzde dikkatli olun:

   • Etkileşimli（交互网址）
   • Sahip (Yetki Veren Adres)
   • Spender (Yetkilendirilmiş Taraf Adresi)
   • Değer (Yetkilendirilmiş Miktar)
   • Nonce (rasgele sayı)
   • Son tarih（过期时间）

Bu temel mantıkları anlayarak ve uygun önlemleri alarak, Web3 varlıklarımızın güvenliğini daha iyi koruyabiliriz.