Web3 İmza Phishing'in Temel Mantığının Analizi

Son zamanlarda, "imza oltalama" Web3 korsanlarının en çok tercih ettiği dolandırıcılık yöntemlerinden biri haline geldi. Sektör uzmanları ve güvenlik şirketleri sürekli olarak ilgili bilgileri yaymasına rağmen, her gün çok sayıda kullanıcı tuzağa düşüyor. Bu durumun başlıca nedenlerinden biri, çoğu insanın cüzdan etkileşimlerinin temel mekanizması hakkında yeterli bilgiye sahip olmaması ve teknik olmayan kişiler için öğrenme eşiğinin yüksek olmasıdır.

Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, imza oltalama işleminin temel mantığını grafikler ve anlaşılır bir dil ile açıklayacağız.

Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imza" ve "etkileşim". Kısaca, imza blok zincirinin dışında (off-chain) gerçekleşir ve Gas ücreti ödemez; etkileşim ise blok zincirinin üzerinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekir.

İmza genellikle kimlik doğrulama için kullanılır, örneğin cüzdana giriş yaparken. Bir DEX'e bağlandığınızda, bu cüzdanın sahibi olduğunuzu kanıtlamak için imza atmanız gerekir. Bu işlem, blok zincirindeki herhangi bir veriyi veya durumu değiştirmediğinden, ücret ödemeniz gerekmez.

Buna karşılık, etkileşim gerçek zincir üzerinde işlem yapmayı içerir. Örneğin, bir DEX'te Token değişimi yaparken, önce DEX'in akıllı sözleşmesine Token'larınızı hareket ettirmesi için yetki vermeniz gerekir (bu "yetkilendirme" veya "approve" olarak adlandırılır), ardından gerçek değişim işlemini gerçekleştirirsiniz. Bu iki adım da Gas ücreti ödemeyi gerektirir.

İmza ve etkileşim arasındaki farkı anladıktan sonra, üç yaygın dolandırıcılık yöntemine bakalım: yetkilendirme dolandırıcılığı, Permit imza dolandırıcılığı ve Permit2 imza dolandırıcılığı.

Yetkilendirme phishing'i, yetkilendirme (approve) mekanizmasını kullanır. Hackerlar, kendilerini bir NFT projesi olarak gizleyen bir phishing sitesi oluşturabilir ve kullanıcıları "airdrop al" butonuna tıklamaya ikna edebilir. Aslında, bu işlem kullanıcıdan hacker adresine kendi Token'ını kullanma yetkisi vermesini talep edecektir. Gas ücreti ödenmesi gerektiğinden, birçok kullanıcı bu tür durumlarla karşılaştıklarında daha dikkatli olur, bu nedenle önlemek nispeten daha kolaydır.

Permit ve Permit2 imza sahtekarlığı, kullanıcıların DApp'i kullanmadan önce cüzdanlarını imzalamaya alışkın olmaları nedeniyle daha zor önlenir; bu da "bu işlem güvenli" şeklinde bir alışkanlık düşüncesi oluşturabilir.

Permit mekanizması, ERC-20 standardı altında yetkilendirilmiş bir genişletme işlevidir. Kullanıcılar, başkalarının kendi Token'larını hareket ettirmesine izin vermek için imza atarak onay verirler, bu da doğrudan zincir üzerinde yetkilendirme işlemi yapmaktan kaçınmalarını sağlar. Hackerlar bu mekanizmayı kullanarak, kullanıcıları varlıklarını transfer etmeye izin veren bir mesaj imzalamaya ikna edebilir ve ardından bu imzayı kullanarak kullanıcının Token'larını çalabilirler.

Permit2, kullanıcı deneyimini artırmak amacıyla bir DEX tarafından sunulan bir özelliktir. Kullanıcının Permit2 akıllı sözleşmesine büyük bir miktarı bir kerede yetkilendirmesine olanak tanır, böylece her işlemde sadece imza atmak yeterlidir ve yeniden Gas ücreti ödemezsiniz. Ancak, kullanıcı daha önce bu DEX'i kullanmış ve sınırsız bir limit vermişse, Permit2 dolandırıcılığının hedefi olabilir.

Genel olarak, yetkilendirme phishing'i kullanıcıların doğrudan hacker'ların kendi Token'larını kullanmasına izin vermesidir, oysa imza phishing'i kullanıcıları hacker'ların varlıkları taşımalarına izin veren bir "lisans" imzalamaya ikna etmektir.

Bu tür phishing saldırılarını önlemek için aşağıdaki önlemleri alabiliriz:

1. Güvenlik bilincini geliştirin, her cüzdan işlemi yaparken işlem içeriğini dikkatlice kontrol edin.

2. Büyük miktardaki fonları günlük kullanılan cüzdanlardan ayırarak potansiyel kayıpları azaltın.

3. Permit ve Permit2'nin imza formatını tanımayı öğrenin. Aşağıdaki içeriği içeren bir imza talebi gördüğünüzde dikkatli olun:

   • Etkileşimli：etkileşim web sitesi
   • Sahip：Yetki veren adres
   • Harcayan: Yetkilendirilmiş taraf adresi
   • Değer: Yetkilendirilmiş Miktar
   • Nonce: rastgele sayı
   • Son Tarih：geçerlilik süresi

Bu temel mekanizmaları anlamak ve uygun önleyici tedbirleri almak suretiyle, dijital varlıklarımızı daha iyi koruyabilir ve imza oltalaması kurbanı olmaktan kaçınabiliriz.