原作者:ほうれん草ボカイボカイ(X: @wzxznl )
自分の名前に署名したばかりなのに、お金がなくなってしまったのはなぜですか? ? 「シグネチャ フィッシング」は現在、Web3 ハッカーのお気に入りのフィッシング手法になりつつあります。最近、Cosine のボスである@evilcosや主要なウォレットおよびセキュリティ会社が人気のフィッシング シグネチャに関する知識を絶えず宣伝しているのを目にしましたが、依然として多くの人が毎日フィッシングに遭っています。 。
Spinach は、その理由の 1 つは、ほとんどの人がウォレット インタラクションの基礎となるロジックを理解していないことであると考えており、テクノロジーを理解していない人にとって学習の敷居が高すぎるため、Spinach は人気の高いウォレット インタラクションの基礎となるロジックの図版を作成することにしました。 Science Signature フィッシングを使用してみてください。専門知識のない人でも理解できる最大限の日常的な形式です。
まず最初に、ウォレットの使用には「署名」と「対話」という 2 つの操作しかないことを知っておく必要があります。最も単純かつ直接的な理解は、署名はブロックチェーンの外側 (オフチェーン) で発生し、ガス料金は必要ありませんが、相互作用はブロックチェーン上で (オンチェーン) で発生し、ガス料金が必要であるということです。
署名の一般的な使用シナリオは、ウォレットにログインするなど、本人であることを確認するために行われます。トークンを交換するために最初にウォレットをリンクする必要があります。その後、この時点で署名する必要があります。 Web サイトに「私はこの "ウォレット所有者" であることを伝える名前を付けてください。その後、Uniswap を使用できます。このステップでは、ブロックチェーンにデータやステータスの変更は発生しないため、お金を費やす必要はありません。インタラクションの観点から言えば、Uniswap で実際にトークンを交換したい場合は、まずまとまった金額を支払って USDT コントラクトに次のように伝える必要があります。「100 USDT をほうれん草コインと交換したいので、私のコインを移動できることに同意します」 100 USDT。」 このステップは承認と呼ばれ、次に Uniswap のスマート コントラクトに次のように伝えるために別の金額を費やす必要があります。「100 USDT を使用してほうれん草コインと交換したいので、今すぐ操作を実行できます。」これで、100 USDT をほうれん草コイン 1 枚に交換する操作は完了です。
シグネチャとインタラクションの違いを簡単に理解した後、ホウレンソウは 3 つの異なる方法を挙げます。これらの 3 つは、非常に一般的なフィッシング方法です。
まず、認可フィッシングについて説明します。これは、名前が示すように、認可 (承認) メカニズムを使用します。これは、認可がスマートに通知することであることを示しています。 「xxx のトークンを移動することを承認します」と契約すると、ハッカーは NFT プロジェクトを装った美しいフロントエンドを備えた偽のフィッシング Web サイトを作成できます。Web サイトの中央には、「Airdrop を受信する」という美しい大きなボタンがあります。実際、クリックした後にウォレットからポップアップするインターフェイスは実際には、ハッカーにトークンを承認するよう求めるアドレスです。この時点で [確認] をクリックすると、ハッカーが KPI を正常に完了したことを祝福します。 。
ただし、公認フィッシングにはガス代がかかるため、見慣れない Web サイトをクリックした後、一目見て何か問題が発生する可能性があるため、金銭を伴う操作に警戒する人が多くなっています。それ。
次に、今日の主役です。Permit および Permit 2 シグネチャ フィッシングは、Web3 資産セキュリティの分野で最も大きな被害を受けている分野です。なぜこれを防ぐのがそれほど難しいのでしょうか。 Dapp を使用するたびに、ウォレットにサインインする必要があるため、多くの人は頭の中に「この操作はお金を使う必要がなく、安全である」という考えを抱いているかもしれません。それぞれの署名の意味がわかりません。
まず Permit メカニズムを見てみましょう。Permit は、ERC-20 標準に基づく承認の拡張機能です。簡単に言うと、他の人が自分のトークンを移動することを承認するために署名できます。 (承認) は、お金を使ってスマート コントラクトに「私の xxx 個のトークンを移動できます。」と伝えるときです。次に、許可は、特定の人に「メモ」に署名するときです。それで、私の xxx 個のトークンを移動します」とすると、この人はこの「メモ」をスマート コントラクトに渡し、ガス料金を使ってスマート コントラクトに次のように伝えます。「彼は私に xxx 個のトークンを移動することを許可します」このプロセスでは、名前を署名しただけですが、その裏では、他の人が承認 (承認) を呼び出し、トークンを転送することを許可することを意味します。ボタンをクリックして「フィッシングを許可」を選択してウォレットにログインすると、簡単に資産をフィッシングすることができます。
では、許可2とは何でしょうか? Permit 2 は実際には ERC-20 の機能ではなく、ユーザーの便宜のために Uniswap が立ち上げた機能です。前の例では、Uniswap でほうれん草コインを交換するために USDT を使用したい場合は、一度承認 (承認) する必要があると述べました。交換には 2 つのガス料金が必要です。そこで Uniswap は、「一度にすべての割り当てを私に承認してください。交換するたびに名前に署名してください。私がそれを処理します。」という方法を考え出しました。 Uniswap ユーザーはガス料金を使用時に 1 回支払うだけでよく、このステップは署名であるため、ガス料金は実際にあなたが支払うのではなく、Permit 2 契約によって支払われますが、トークンから差し引かれます。ついに償還。
ただし、Permit 2 フィッシングの前提条件は、以前に Uniswap を使用したことがあり、Permit 2 スマート コントラクトに対して無制限のクォータを承認していることです。Uniswap の現在のデフォルト操作は無制限のクォータの承認であるため、この条件を満たすユーザーの数は増加します。実際には非常に大きいため、同様に、ハッカーはユーザーをだまして自分の名前 (許可されたもののみ) に署名させることでトークンを転送することができます。
要約すると、認証フィッシングの本質は、スマート コントラクトに「私のトークンをハッカーに悪用することを承認します」と伝えるために多額のお金を費やすことです。署名フィッシングの本質は、許可する「メモ」に署名することです。ハッカーに関して言えば、ハッカーはお金をかけてスマートコントラクトに「彼のトークンを悪用して私に転送したい」と伝えます。 Permit と Permit 2 は、現在、フィッシング シグネチャの最も大きな被害を受けている領域です。Permit は ERC-20 の認可された拡張機能であり、Permit 2 は Uniswap によって開始された新機能です。
では、原理を理解したら、どうすればそれを防ぐことができるでしょうか?
1. まず最も重要なことは、セキュリティ意識を高めることです。ウォレットを操作するたびに、正確に何をしているのかを確認する必要があります。
2. 大規模な資金は WanChain 上のウォレットから分離されるため、フィッシングされた場合の損失を最小限に抑えることができます。
3. Permit と Permit 2 の署名形式を識別する方法を学びます。次の署名形式が表示されている限り、注意が必要です。
インタラクティブ: インタラクティブな URL
所有者: 承認者のアドレス
支出者: 承認された当事者のアドレス
値: 承認された数量
ナンス: 乱数
期限: 有効期限
IOS
Android