Interpretación vernácula de la lógica subyacente del phishing de firmas Web3: la diferencia entre el phishing de autorización, Permit y Permit2

Fuente: X

Obviamente, acabo de firmar un nombre, ¿por qué se ha ido mi dinero? El “phishing de firmas” se está convirtiendo actualmente en el método de pesca favorito de los hackers de Web3, recientemente veo que el jefe del coseno y las principales empresas de billeteras y seguridad promueven constantemente el conocimiento de las firmas de phishing de ciencia popular, pero las personas anhelantes siguen siendo suplantadas todos los días.

Spinach cree que una de las razones es que la mayoría de las personas no entienden la lógica subyacente de la interacción de la billetera, y el umbral de aprendizaje es demasiado alto para las personas que no entienden la tecnología, por lo que Spinach decidió crear una versión ilustrada de la lógica subyacente de la pesca de firma de ciencia popular, y tratar de usar la forma de la lengua vernácula más grande para que las personas que no entienden la tecnología también puedan entender.

Si crees que es útil, ¡ayuda como y reenvía para ayudar a las personas largas a verlo! Si hay un error, ¡puede señalarlo!

En primer lugar, debemos saber que solo hay dos operaciones que podemos hacer con la billetera: “Firma” e “Interacción”. La comprensión más simple y directa es que la firma ocurre fuera de la cadena de bloques (off-chain) y no necesita gastar tarifas de gas; la interacción ocurre en la cadena de bloques (on-chain) y requiere tarifas de gas.

El escenario de uso de la firma general es verificar que eres tú, como iniciar sesión en el Billetera, al igual que si quieres ir a Uniswap para intercambio Token, primero debes vincular tu Billetera, luego en este momento debes firmar un nombre para decirle al sitio web “Soy el propietario de esta billetera”, y luego puedes usar Uniswap, este paso no tendrá ningún cambio de datos o estado en el Cadena de bloques, por lo que no hay necesidad de gastar dinero. Y la interacción es que cuando realmente quieres intercambio Token en Uniswap, debes gastar una suma de dinero para decirle al contratos inteligentes de Uniswap: “Quiero intercambio 100 USDT por un moneda de espinacas, apruebo que puedas mover mis 100 USDT”, este paso se llama aprobar, y luego tienes que gastar otra cantidad de dinero para decirle al contratos inteligentes de Uniswap: “Voy a intercambio 100 USDT por una moneda de espinacas ahora, puedes operar ahora”. ", y luego ha completado la operación de cambiar 100USDT por una moneda de espinacas.

Después de una breve comprensión de la diferencia entre firma e interacción, introduzcamos el principio de phishing, spinach lista tres métodos diferentes: phishing de autorización, phishing de firma de permiso y phishing de firma permit2, estos tres son métodos de phishing muy comunes.

Hablemos primero del phishing de autorización, que es una de las técnicas de phishing más clásicas en Web3 antes, como su nombre indica es utilizar el mecanismo de autorización (aprobar), el ejemplo anterior de Uniswap nos dice que la autorización es decirle a los contratos inteligentes “Te apruebo para mover mi token xxx más largo”, luego el hacker puede hacer un sitio web de phishing falso, con un hermoso front-end disfrazado de proyecto NFT, en el medio del sitio web hay un hermoso botón grande “reclama tu Airdrop” De hecho, la interfaz que aparece en la billetera después de hacer clic es en realidad la dirección que le permite autorizar su token al hacker, luego, si hace clic para confirmar en este momento, felicitaciones al hacker por completar con éxito un KPI.

Pero hay un problema con el phishing autorizado: debido a que cuesta tarifas de gas, muchas personas ahora desconfiarán de las operaciones que implican gastar dinero, y aún es más fácil protegerse contra el anhelo después de hacer clic en sitios web desconocidos.

Luego llegamos a los protagonistas de hoy: El phishing de firmas Permit y Permit2 son las áreas más afectadas en el campo de la seguridad de activos Web3, ¿por qué es tan difícil de prevenir? Porque cada vez que desea usar una Dapp, debe iniciar sesión para iniciar sesión en su billetera, y muchas personas largas pueden haber formado un pensamiento inercial en sus mentes: “Esta operación es segura”, además de que no hay necesidad de gastar dinero y la mayoría de las personas largas no saben qué hay detrás de cada firma.

Veamos primero el mecanismo de permisos, el permiso es una función extendida de autorización bajo la vela con mecha larga estándar ERC-20, como el USDT que solemos usar es ERC-20, en pocas palabras, puede firmar y aprobar a otros para mover su token, sabemos que la autorización (aprobar) es que gasta dinero para decirle a los contratos inteligentes: “Puedes mover mi número xxx de tokens”, entonces el permiso eres tú en una “nota” Firma un nombre a cierta persona, este pedazo de papel dice: “Permito que fulano mueva mi número xxx de tokens”, y luego esta persona lleva este “desliz” a los contratos inteligentes y gasta una tarifa de gas para decirle a los contratos inteligentes: “Me permite mover su número xxx de tokens” , y luego su dinero puede ser movido por otros, en el proceso solo firma un nombre, pero detrás de eso significa que permite que otros llamen a Automate y transfieran su token, Hacker puede crear un sitio web de phishing, reemplace el botón para iniciar sesión en la billetera con Permit fishing, luego puede pescar fácilmente sus activos.

Entonces, ¿qué es Permit2? Permit2 en realidad no es una característica de ERC-20, sino una función lanzada por Uniswap para la comodidad de los usuarios, el ejemplo anterior decía que debe intercambio USDT monedas de espinacas en Uniswap Debe autorizar (aprobar) una vez y luego intercambio, lo que requiere dos tarifas de gas, por lo que Uniswap pensó en una manera: " Usted me autoriza toda la cuota a la vez, y yo me ocuparé de ella por usted cada vez que canjee su nombre", esta función ayuda a los usuarios de Uniswap solo necesitan pagar la tarifa de gas una vez cuando la usan, y este paso es una firma, por lo que la tarifa de gas en realidad no la paga usted, sino que la paga el contrato Permit2, pero se deducirá del token que finalmente intercambia.

Pero la condición de la pesca de Permit2 es que haya utilizado Uniswap, y también haya autorizado cantidades ilimitadas a los contratos inteligentes de Permit2, porque la operación predeterminada actual de Uniswap es la autorización de cantidad ilimitada, por lo que de hecho, la cantidad de usuarios que cumplen con esta condición sigue siendo bastante grande, y el mismo Hacker puede transferir su Token tan largo como lo engañe para que firme su nombre (solo para aquellos que han sido autorizados).

En resumen, la esencia del phishing autorizado es que gastas una suma de dinero para decirle a los contratos inteligentes: “Te apruebo para apropiarte indebidamente de mi Token al Hacker”, y la esencia del phishing de firmas es que firmas un “papel” que permite a otros mover tus activos al Hacker, y el Hacker gasta dinero para decirle a los contratos inteligentes: “Quiero transferirme su Token”. Permit y Permit2 son actualmente las áreas más afectadas de las firmas de phishing, Permit es una extensión de autorización de ERC-20 y Permit2 es una nueva característica lanzada por Uniswap.

Entonces, después de entender el principio, ¿cómo prevenirlo?

1. En primer lugar, lo más importante es cultivar su conciencia de seguridad, cada operación de billetera para verificar cuál es exactamente la operación que está haciendo.

2. Los fondos grandes se separan de la billetera en la on-chain, y una vez que se pesca, la pérdida se puede minimizar

3. Aprenda a reconocer el formato de firma de Permit y Permit2, tan largo como vea el siguiente formato de firma, entonces debe estar atento:

Interactivo: URLs interactivas

Propietario: la DIRECCIÓN de la parte autorizada

Spender: DIRECCIÓN de la parte autorizada

Valor: el número de autorizaciones

Nonce: un número aleatorio

Plazo: el tiempo de vencimiento