Mình vừa ký tên mà sao lại hết tiền vậy? ? "Phishing bằng chữ ký" hiện đang trở thành phương thức Phishing ưa thích của hacker Web3. Gần đây, tôi thấy Cosine và các công ty ví và bảo mật lớn không ngừng nâng cao kiến thức về các chữ ký Phishing phổ cập , nhưng nhiều người vẫn đang bị Phishing hàng ngày.
Spinach cho rằng trong đó trong những lý do là hầu hết mọi người không hiểu logic cơ bản của tương tác ví và ngưỡng học tập quá cao đối với những người không hiểu công nghệ, vì vậy Spinach quyết định tạo một phiên bản minh họa về logic cơ bản của phổ cập. Phishing chữ ký khoa học và cố gắng sử dụng Hình thức bản địa tối đa có thể được hiểu bởi những người không rành về kỹ thuật.
Trước hết, chúng ta cần biết rằng chỉ có hai thao tác trong việc sử dụng ví: "ký" và "tương tác". Cách hiểu đơn giản và trực tiếp nhất là: chữ ký xảy ra bên ngoài blockchain(off Chuỗi) và không yêu cầu phí Gas; các tương tác xảy ra trên blockchain(on Chuỗi) và yêu cầu phí Gas.
Kịch bản sử dụng chung của chữ ký là để xác minh rằng bạn là bạn, chẳng hạn như đăng nhập vào ví. Cũng giống như nếu bạn muốn vào Uniswap để trao đổi token, trước tiên bạn cần phải liên kết ví của mình. ký tên để thông báo với trang web "Tôi là "Chủ sở hữu ví" này, sau đó bạn có thể sử dụng Uniswap . Bước này sẽ không gây ra bất kỳ thay đổi dữ liệu hoặc trạng thái nào đối với blockchain nên không cần phải tốn tiền.
Về mặt tương tác, khi bạn muốn thực sự trao đổi Token trên Uniswap, trước tiên bạn cần phải bỏ ra một khoản tiền để nói với hợp đồng thông minh của Uniswap: "Tôi muốn đổi 100USDT lấy một xu rau bina và tôi đồng ý rằng bạn có thể di chuyển 100USDT của tôi." Bước này được gọi là ủy quyền và sau đó bạn phải chi một số tiền khác để nói với hợp đồng thông minh của Uniswap: "Tôi muốn đổi 100USDT lấy một đồng xu rau bina ngay bây giờ và bạn có thể thực hiện thao tác ngay bây giờ." Vậy là bạn đã sử dụng xong 100USDT Thao tác đổi xu rau bina.
Sau khi hiểu ngắn gọn về sự khác biệt giữa chữ ký và tương tác, chúng tôi sẽ giới thiệu nguyên tắc Phishing . Spinach sẽ liệt kê ba phương pháp khác nhau: Phishing ủy quyền, Phishing chữ ký Permit và Phishing chữ ký Permit2. Ba phương pháp này rất phổ biến.
Trước tiên hãy nói về Phishing ủy quyền. Đây là một trong những phương pháp Phishing cổ điển nhất trong Web3 trước đây. Như tên cho thấy, nó sử dụng cơ chế ủy quyền (phê duyệt). Ví dụ trước đây của Uniswap cho chúng ta biết rằng ủy quyền là để nói với người thông minh. hợp đồng “Tôi chấp thuận cho bạn di chuyển mã thông báo xxx của tôi "Sau đó, hacker có thể tạo một trang web Phishing giả mạo với giao diện người dùng đẹp mắt được ngụy trang dưới dạng dự án NFT. Ở giữa trang web có một nút lớn tuyệt đẹp "Lĩnh nhận airdrop của bạn ". Trong Trên thực tế, giao diện bật lên trong ví sau khi bạn nhấp vào thực chất là Địa chỉ trên yêu cầu bạn ủy quyền mã thông báo của mình cho hacker. Nếu bạn nhấp vào Xác nhận vào thời điểm này, xin chúc mừng hacker đã hoàn thành KPI.
Tuy nhiên, có một vấn đề với Phishing được ủy quyền: vì phí Gas nên nhiều người hiện cảnh giác với các hoạt động liên quan đến việc tiêu tiền. Sau khi nhấn vào một trang web lạ, bạn sẽ thấy có gì đó không ổn sau khi xem nhanh, vì vậy tốt hơn hết bạn nên ngăn chặn. Nó.
Sau đó đến nhân vật chính của ngày hôm nay: Phishing chữ ký Permit và Permit2, đây là lĩnh vực bị ảnh hưởng nặng nề nhất trong lĩnh vực bảo mật tài sản Web3. Bởi vì lần muốn sử dụng Dapp, bạn phải đăng nhập vào ví của mình. Nhiều người có thể đã hình thành một suy nghĩ quán tính trong đầu: "Hoạt động này an toàn". không biết ý nghĩa của từng chữ ký
Trước tiên, hãy xem xét cơ chế Giấy phép. Giấy phép là một chức năng mở rộng để ủy quyền theo tiêu chuẩn ERC-20. Chúng tôi biết Ủy quyền. Nói một cách đơn giản, bạn có thể ký để phê duyệt cho người khác di chuyển Mã thông báo của mình. Phê duyệt) là khi bạn chi tiền để nói với hợp đồng thông minh: "Bạn có thể di chuyển số lượng Token của tôi." Sau đó, Giấy phép là khi bạn ký một "ghi chú" cho một người nào đó. Giấy này nói: ""Tôi cho phép như vậy-và. -để di chuyển số lượng Token xxx của tôi", thì người này lấy "ghi chú" này vào hợp đồng thông minh và bỏ ra một phí Gas để nói với hợp đồng thông minh: "Anh ta cho phép tôi di chuyển số lượng Token xxx của anh ta", và sau đó bạn Tiền có thể bị người khác chiếm đoạt. Trong quá trình này, bạn chỉ cần ký một tên, nhưng đằng sau nó có nghĩa là bạn cho phép người khác gọi ủy quyền (Phê duyệt) và chuyển mã thông báo của bạn. Hacker có thể tạo một trang web Phishing, thay thế nút. để đăng nhập vào ví bằng Permit Phishing thì bạn có thể dễ dàng lừa đảo tài sản của mình.
Vậy Permit2 là gì? Permit2 thực ra không phải là một chức năng của ERC-20 mà là một chức năng được Uniswap đưa ra để thuận tiện cho người dùng. Ví dụ trước nói rằng nếu bạn muốn đổi USDT lấy coin rau bina trên Uniswap, bạn cần phải ủy quyền (Phê duyệt) một lần và sau đó. trao đổi nó, yêu cầu hai phí Gas, vì vậy Uniswap đã nghĩ ra một cách: "Bạn ủy quyền tất cả hạn ngạch cho tôi cùng một lúc và bạn ký tên của mình lần đổi và tôi sẽ xử lý nó cho bạn." Người dùng Uniswap Bạn chỉ cần thanh toán phí Gas một lần khi sử dụng và bước này đang ký kết, vì vậy phí Gas thực tế không phải do bạn thanh toán mà được thanh toán bằng hợp đồng Permit2, nhưng nó sẽ được khấu trừ vào Token mà cuối cùng bạn đổi .
Tuy nhiên, điều kiện tiên quyết để Phishing Permit2 là bạn đã sử dụng Uniswap trước đó và bạn cũng đã cấp phép hạn ngạch không giới hạn cho hợp đồng thông minh Permit2. Vì hoạt động mặc định hiện tại của Uniswap là ủy quyền hạn ngạch không giới hạn nên số lượng người dùng đáp ứng điều kiện này thực tế là rất nhiều. khá lớn Tương tự như vậy, Hacker có thể chuyển mã thông báo của bạn đi bằng cách lừa bạn ký tên (chỉ được ủy quyền).
Tóm lại, bản chất của Phishing ủy quyền là bạn bỏ ra một khoản tiền để nói với hợp đồng thông minh: "Tôi chấp thuận cho bạn chiếm đoạt Mã thông báo của tôi cho hacker." Bản chất của Phishing chữ ký là bạn ký một "ghi chú" cho phép. người khác di chuyển tài sản của bạn. Hacker hacker tiền ra để nói với hợp đồng thông minh: "Tôi muốn chiếm đoạt Token của anh ta và chuyển nó cho tôi." Permit và Permit2 hiện là khu vực bị ảnh hưởng nặng nề nhất bởi chữ ký Phishing. Permit là một chức năng mở rộng được ủy quyền của ERC-20 và Permit2 là một tính năng mới được Uniswap ra mắt.
Vậy một khi bạn đã hiểu được nguyên lý thì làm sao bạn có thể ngăn chặn được nó?
1. Điều đầu tiên và quan trọng nhất là nâng cao nhận thức về bảo mật của bạn. Mỗi khi vận hành ví của mình, bạn phải kiểm tra xem chính xác mình đang làm gì?
2. Số tiền lớn được tách khỏi ví trên Chuỗi, do đó tổn thất có thể được giảm thiểu khi Phishing.
3. Tìm hiểu cách xác định định dạng chữ ký của Permit và Permit2. Chỉ cần bạn nhìn thấy định dạng chữ ký sau, bạn nên cảnh giác:
Tương tác: URL tương tác
Chủ sở hữu: Địa chỉ bên ủy quyền
Người chi tiêu: Địa chỉ của bên được ủy quyền
Giá trị: Số lượng được ủy quyền
Nonce: số ngẫu nhiên
Hạn chót: Thời gian hết hạn
