Web3 Phishing de Assinatura: Compreender a Lógica Subjacente para Aumentar a Consciência de Segurança
No mundo Web3, "phishing por assinatura" tornou-se uma das táticas mais utilizadas por hackers. Apesar de especialistas da indústria constantemente promoverem conhecimentos relacionados, ainda há muitos usuários que inadvertidamente caem na armadilha. Uma das principais razões para isso é que a maioria das pessoas carece de compreensão sobre a lógica subjacente das interações com carteiras, e a barreira de entrada para aprender esses conhecimentos é bastante elevada.
Para isso, este artigo tentará explicar aos leitores os princípios do phishing de assinatura de forma simples e compreensível, utilizando linguagem acessível e ilustrações, bem como como se proteger eficazmente.
Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da cadeia e não requer pagamento de taxa de Gas; enquanto a interação ocorre na cadeia e requer pagamento de taxa de Gas.
A assinatura é geralmente usada para autenticação. Por exemplo, quando você precisa fazer login em um aplicativo descentralizado (DApp), você precisa assinar para provar que é o proprietário da carteira. Este processo não terá impacto na blockchain, portanto, não há necessidade de pagar taxas.
Em comparação, a interação envolve operações reais na blockchain. Por exemplo, ao realizar uma troca de tokens em um determinado DEX, você precisa primeiro autorizar o contrato inteligente a operar seus tokens (approve), e só então executar a operação de troca real. Ambas as etapas requerem o pagamento de taxas de Gas.
Depois de entender esses conceitos básicos, vamos dar uma olhada em algumas das formas comuns de phishing:
Phishing autorizado: Esta é uma técnica clássica de phishing. Os hackers disfarçam-se como DApps ou projetos de NFT normais, induzindo os usuários a realizar operações de autorização. Uma vez que o usuário confirma, o hacker consegue obter permissão para operar os ativos do usuário.
Phishing de assinatura Permit: Permit é uma funcionalidade de extensão do padrão de token ERC-20, que permite aos usuários autorizar outras pessoas a operar seus tokens através de uma assinatura. Hackers podem induzir os usuários a assinar mensagens Permit, obtendo assim permissão para transferir os ativos dos usuários.
Phishing de assinatura Permit2: Permit2 é uma funcionalidade lançada por uma DEX, com o objetivo de simplificar o processo de operação dos usuários. No entanto, se um usuário já utilizou essa DEX e concedeu um limite ilimitado, os hackers podem explorar esse mecanismo para transferir os ativos do usuário.
Para prevenir esses ataques de phishing, podemos tomar as seguintes medidas:
Cultivar a consciência de segurança: sempre que realizar operações na carteira, deve verificar cuidadosamente qual operação está a executar.
Gestão de ativos diversificada: separar grandes quantias de dinheiro da carteira usada diariamente, para reduzir perdas potenciais.
Aprender a reconhecer solicitações de assinatura suspeitas: Preste especial atenção às solicitações de assinatura que contêm os seguintes campos:
Interativo: endereço interativo
Owner: Endereço do autorizador
Spender: Endereço do autorizado
Valor: quantidade autorizada
Nonce:número aleatório
Prazo: Data de expiração
Ao compreender essas lógicas subjacentes e adotar as medidas de prevenção adequadas, podemos reduzir significativamente o risco de nos tornarmos vítimas de phishing de assinatura. No mundo Web3, manter-se alerta e continuar aprendendo é a chave para garantir a segurança dos ativos.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
20 Curtidas
Recompensa
20
5
Repostar
Compartilhar
Comentário
0/400
AirdropHunter007
· 08-12 15:38
Assina o que? Gosto de ser enganado.
Ver originalResponder0
ProveMyZK
· 08-10 17:54
Já caíste no lago de peixes novamente?
Ver originalResponder0
FastLeaver
· 08-10 17:52
Só se aprende com perdas!
Ver originalResponder0
MerkleDreamer
· 08-10 17:51
Fui enganado por mais duas máquinas, falar demais só traz lágrimas.
Ver originalResponder0
ZenChainWalker
· 08-10 17:48
Fui enganado novamente, perdi trezentas moedas. Entendi tarde demais.
Guia de prevenção contra phishing em assinaturas Web3: revelando os princípios subjacentes e estratégias de segurança
Web3 Phishing de Assinatura: Compreender a Lógica Subjacente para Aumentar a Consciência de Segurança
No mundo Web3, "phishing por assinatura" tornou-se uma das táticas mais utilizadas por hackers. Apesar de especialistas da indústria constantemente promoverem conhecimentos relacionados, ainda há muitos usuários que inadvertidamente caem na armadilha. Uma das principais razões para isso é que a maioria das pessoas carece de compreensão sobre a lógica subjacente das interações com carteiras, e a barreira de entrada para aprender esses conhecimentos é bastante elevada.
Para isso, este artigo tentará explicar aos leitores os princípios do phishing de assinatura de forma simples e compreensível, utilizando linguagem acessível e ilustrações, bem como como se proteger eficazmente.
Primeiro, precisamos entender que ao usar uma carteira, existem principalmente duas operações: "assinatura" e "interação". De forma simples, a assinatura ocorre fora da cadeia e não requer pagamento de taxa de Gas; enquanto a interação ocorre na cadeia e requer pagamento de taxa de Gas.
A assinatura é geralmente usada para autenticação. Por exemplo, quando você precisa fazer login em um aplicativo descentralizado (DApp), você precisa assinar para provar que é o proprietário da carteira. Este processo não terá impacto na blockchain, portanto, não há necessidade de pagar taxas.
Em comparação, a interação envolve operações reais na blockchain. Por exemplo, ao realizar uma troca de tokens em um determinado DEX, você precisa primeiro autorizar o contrato inteligente a operar seus tokens (approve), e só então executar a operação de troca real. Ambas as etapas requerem o pagamento de taxas de Gas.
Depois de entender esses conceitos básicos, vamos dar uma olhada em algumas das formas comuns de phishing:
Phishing autorizado: Esta é uma técnica clássica de phishing. Os hackers disfarçam-se como DApps ou projetos de NFT normais, induzindo os usuários a realizar operações de autorização. Uma vez que o usuário confirma, o hacker consegue obter permissão para operar os ativos do usuário.
Phishing de assinatura Permit: Permit é uma funcionalidade de extensão do padrão de token ERC-20, que permite aos usuários autorizar outras pessoas a operar seus tokens através de uma assinatura. Hackers podem induzir os usuários a assinar mensagens Permit, obtendo assim permissão para transferir os ativos dos usuários.
Phishing de assinatura Permit2: Permit2 é uma funcionalidade lançada por uma DEX, com o objetivo de simplificar o processo de operação dos usuários. No entanto, se um usuário já utilizou essa DEX e concedeu um limite ilimitado, os hackers podem explorar esse mecanismo para transferir os ativos do usuário.
Para prevenir esses ataques de phishing, podemos tomar as seguintes medidas:
Cultivar a consciência de segurança: sempre que realizar operações na carteira, deve verificar cuidadosamente qual operação está a executar.
Gestão de ativos diversificada: separar grandes quantias de dinheiro da carteira usada diariamente, para reduzir perdas potenciais.
Aprender a reconhecer solicitações de assinatura suspeitas: Preste especial atenção às solicitações de assinatura que contêm os seguintes campos:
Ao compreender essas lógicas subjacentes e adotar as medidas de prevenção adequadas, podemos reduzir significativamente o risco de nos tornarmos vítimas de phishing de assinatura. No mundo Web3, manter-se alerta e continuar aprendendo é a chave para garantir a segurança dos ativos.