Основна логіка та запобігання фішингу підписів Web3

Нещодавно "фішинг за допомогою підписів" став найулюбленішим методом атаки хакерів Web3. Незважаючи на те, що експерти галузі та безпекові компанії постійно проводять просвітницьку роботу, щодня все ще багато користувачів зазнають втрат. Однією з основних причин цього є те, що більшість користувачів не мають розуміння базових механізмів взаємодії з гаманцями, і для нетехнічних спеціалістів поріг для вивчення відповідних знань досить високий.

Щоб допомогти більшій кількості людей зрозуміти цю проблему, ми проаналізуємо підґрунтя логіки підписного фішингу в найзрозумілішій формі, за допомогою ілюстрацій.

По-перше, нам потрібно зрозуміти, що під час використання гаманця існують два основних типи операцій: "підпис" та "взаємодія". Простими словами, підпис відбувається поза блокчейном (поза ланцюгом) і не вимагає сплати Gas-кошту; тоді як взаємодія відбувається в блокчейні (в межах ланцюга) і вимагає сплати Gas-кошту.

Підпис зазвичай використовується для автентифікації, наприклад, при вході в гаманець або підключенні до певного DApp. Цей процес не змінює жодних даних або стану в блокчейні, тому плата не стягується.

Взаємодія передбачає фактичні операції в ланцюзі. Наприклад, під час обміну токенів на певному DEX спочатку потрібно надати дозвіл смарт-контракту DEX на використання ваших токенів (цей етап називається "автоматизація" або "approve"), а потім виконати фактичну операцію обміну. Обидва ці етапи потребують сплати Gas-кошту.

Зрозумівши різницю між підписом та взаємодією, давайте розглянемо кілька поширених способів фішингу: фішинг через авторизацію, фішинг через підпис Permit та фішинг через підпис Permit2.

Авторизаційна фішингова атака є класичним методом фішингу в Web3. Зловмисники зазвичай підробляють сайт, що виглядає легітимно, спонукаючи користувачів натиснути на кнопки, такі як "Отримати аеродроп". Насправді, після натискання користувач запускає операцію авторизації, яка дозволяє зловмисникам отримати доступ до токенів користувача. Недолік цього методу полягає в тому, що потрібно сплачувати Gas-кошти, що може викликати підозру у користувачів.

Підписи Permit та Permit2 є ще більш прихованими. Permit є розширенням стандарту ERC-20, яке дозволяє користувачам затверджувати інших для переміщення своїх токенів за допомогою підпису. Це схоже на підпис на "записці", що надає комусь право використовувати ваші активи. Хакери можуть використати цей механізм, спонукаючи користувачів підписувати на вигляд безпечні повідомлення, які насправді є авторизацією хакерів на переміщення активів користувачів.

Permit2 — це функція, яку впровадив певний DEX, метою якої є спростити процеси користувачів. Вона дозволяє користувачам одноразово надавати великі повноваження смарт-контракту Permit2, після чого для кожної угоди потрібно лише підписати, без повторного надання повноважень. Однак це також надає можливість для хакерів. Якщо користувач раніше використовував цей DEX і надав необмежені повноваження, то, як тільки його вдасться спонукати підписати повідомлення Permit2, хакер може легко перевести активи користувача.

Щоб запобігти цим фішинговим атакам, ми рекомендуємо:

1. Виховуйте свідомість безпеки, кожного разу при виконанні операцій з гаманцем уважно перевіряйте конкретні дії.

2. Розділіть великі суми коштів та гроші для щоденного використання, щоб зменшити потенційні втрати.

3. Навчіться розпізнавати формати підписів Permit та Permit2. Якщо ви бачите запит на підпис, що містить такі поля, обов'язково підвищте обережність:

   • Інтерактивний（交互网址）
   • Власник（адреса уповноваженої особи）
   • Spender (адреса уповноваженої особи)
   • Значення（授权数量）
   • Нонсе (випадкове число)
   • Крайній термін（过期时间）

Зрозумівши ці основні логіки та вживаючи відповідні запобіжні заходи, ми можемо краще захистити свої активи Web3.