La lógica subyacente de la pesca con firma Web3 y su prevención

Recientemente, el "phishing por firma" se ha convertido en el método de ataque favorito de los hackers en Web3. A pesar de que expertos de la industria y empresas de seguridad continúan educando al público, cada día hay numerosos usuarios que sufren pérdidas. Una de las principales razones de esta situación es que la mayoría de los usuarios carecen de comprensión sobre los mecanismos subyacentes de la interacción con las billeteras, y para las personas no técnicas, la barrera de entrada para aprender sobre el tema es bastante alta.

Para ayudar a más personas a entender este problema, analizaremos la lógica subyacente del phishing de firma a través de ilustraciones, utilizando un lenguaje sencillo y fácil de entender.

Primero, necesitamos entender que hay dos operaciones principales al usar una billetera: "firma" e "interacción". En términos simples, la firma ocurre fuera de la cadena (off-chain) y no requiere pagar tarifas de Gas; mientras que la interacción ocurre en la cadena (on-chain) y requiere pagar tarifas de Gas.

La firma se utiliza comúnmente para la autenticación, como iniciar sesión en una billetera o conectarse a una DApp. Este proceso no cambia ningún dato o estado en la blockchain, por lo que no se requiere pagar tarifas.

La interacción implica operaciones reales en la cadena. Por ejemplo, al intercambiar tokens en un DEX, primero necesitas autorizar el contrato inteligente del DEX para que pueda usar tus tokens (este paso se llama "autorización" o "approve"), y luego realizar la operación de intercambio real. Ambos pasos requieren el pago de tarifas de Gas.

Después de entender la diferencia entre firma e interacción, veamos algunos métodos comunes de phishing: phishing de autorización, phishing de firma de Permit y phishing de firma de Permit2.

El phishing de autorización es una técnica clásica de phishing en Web3. Los hackers suelen falsificar un sitio web que parece legítimo, induciendo a los usuarios a hacer clic en botones como "reclamar airdrop". En realidad, al hacer clic, se activa una operación de autorización que permite a los hackers acceder a los tokens del usuario. La desventaja de este método es que requiere pagar tarifas de Gas, lo que puede alertar a los usuarios.

Las firmas de Permit y Permit2 son aún más discretas en el phishing. Permit es una función extendida del estándar ERC-20 que permite a los usuarios aprobar a otros para mover sus propios tokens mediante una firma. Es como firmar un "pase" que autoriza a alguien a usar tus activos. Los hackers pueden aprovechar este mecanismo para inducir a los usuarios a firmar mensajes que parecen inofensivos, pero en realidad son autorizaciones para que los hackers transfieran los activos de los usuarios.

Permit2 es una función lanzada por un DEX, diseñada para simplificar el proceso operativo del usuario. Permite a los usuarios autorizar una gran cantidad de forma única al contrato inteligente Permit2, de modo que en cada transacción solo se necesita firmar, sin necesidad de autorizar repetidamente. Sin embargo, esto también brinda una oportunidad a los hackers. Si un usuario ha utilizado previamente ese DEX y ha otorgado un límite infinito, una vez que se le induzca a firmar el mensaje de Permit2, el hacker puede transferir fácilmente los activos del usuario.

Para prevenir estos ataques de phishing, recomendamos:

1. Fomentar la conciencia de seguridad, revisa cuidadosamente el contenido específico de la operación cada vez que uses la billetera.

2. Separar los fondos grandes de la billetera que se usa a diario para reducir las pérdidas potenciales.

3. Aprende a identificar el formato de firma de Permit y Permit2. Si ves una solicitud de firma que contiene los siguientes campos, asegúrate de estar alerta:

   • Interactivo（交互网址）
   • Propietario（dirección del autorizante）
   • Spender (dirección del autorizado)
   • Valor（授权数量）
   • Nonce (número aleatorio)
   • Fecha límite

Al comprender estas lógicas subyacentes y tomar las medidas de prevención adecuadas, podemos proteger mejor la seguridad de nuestros activos Web3.