Son zamanlarda, "imza oltası" Web3 hackerlarının en çok tercih ettiği saldırı yöntemlerinden biri haline geldi. Güvenlik uzmanları ve cüzdan şirketleri ilgili bilgileri sürekli olarak yaymaya çalışsalar da, her gün pek çok kullanıcı tuzağa düşüyor. Bunun başlıca sebeplerinden biri, çoğu kullanıcının cüzdan etkileşimlerinin temel mantığını anlamaması ve öğrenme eşiğinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, bu makalede Web3 imza phishing'inin temel mantığı basit ve anlaşılır bir şekilde açıklanacaktır, özellikle de teknolojiye aşina olmayan kullanıcılar için.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imzalama" ve "etkileşim". Kısacası, imzalama blok zincirinin dışında (off-chain) gerçekleşir ve Gas ücreti ödemez; etkileşim ise blok zincirinin içinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekir.
İmza genellikle kimlik doğrulama için kullanılır, örneğin bir cüzdana giriş yapmak veya bir DApp ile bağlantı kurmak. Bu süreç blok zincirini etkilemez, bu nedenle ücret ödenmesine gerek yoktur. Oysa etkileşim, DEX'te token takası gibi gerçek zincir üstü işlemleri içerir ve bu, Gas ücreti ödemeyi gerektirir.
İmza ve etkileşim arasındaki farkı anladıktan sonra, birkaç yaygın oltalama yöntemine bakalım:
Yetkilendirilmiş Phishing:
Bu, klasik bir oltalama yöntemidir. Hackerlar sahte bir web sitesi oluşturur ve kullanıcıları yetkilendirme işlemleri yapmaya ikna eder. Kullanıcılar "Airdrop al" gibi butonlara tıkladıklarında, aslında hacker adresinin kendi token'ları üzerinde işlem yapmasına izin vermiş olurlar. Bu yöntem Gas ücreti ödemeyi gerektirse de, yine de dikkatsiz kullanıcılar tuzağa düşebiliyor.
Permit imza phishing:
Permit, ERC-20 standardının bir genişletme özelliğidir ve kullanıcıların imza ile başkalarına kendi token'larını kullanma yetkisi vermesine olanak tanır. Hackerlar bu mekanizmayı kullanarak kullanıcıları masum görünen bir mesajı imzalamaya kandırabilirler, aslında bu, hacker'ın kullanıcı varlıklarını transfer etmesine izin veren bir "belge"dir.
Permit2 imza phishing:
Permit2, belirli bir DEX'in kullanıma sunduğu bir özelliktir ve kullanıcı işlemlerini basitleştirmeyi amaçlamaktadır. Ancak, kullanıcı Permit2 sözleşmesine sınırsız yetki vermişse, bir hacker bunu kullanarak oltalama saldırısı gerçekleştirebilir.
Bu oltalama saldırılarını önlemek için kullanıcılar aşağıdaki önlemleri alabilir:
Güvenlik bilincini artırın, her cüzdan işlemi yaparken dikkatlice kontrol edin.
Büyük miktardaki fonları günlük kullanım cüzdanından ayırın, potansiyel kayıpları azaltın.
Permit ve Permit2'nin imza formatını tanımayı öğrenin; yetki veren adres, yetki alan adres, yetki miktarı gibi bilgileri içeren imzalara dikkat edin.
Genel olarak, imza oltalama saldırısının doğası, kullanıcıları başkalarının kendi varlıklarını yönetmesine izin veren bir "belgeyi" imzalamaya teşvik etmektir. Bu saldırıların mantığını anlamak ve dikkatli olmak, dijital varlıklarınızı korumak için hayati öneme sahiptir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
7
Share
Comment
0/400
AirdropBlackHole
· 14h ago
Acemi hâlâ soyuluyor mu?
View OriginalReply0
BearMarketHustler
· 14h ago
Yine enayilere insanları enayi yerine koymak için büyük hediye paketleri.
View OriginalReply0
ForkTrooper
· 14h ago
Gerçekten çok enayi insanları enayi yerine koymak bekliyor.
View OriginalReply0
MonkeySeeMonkeyDo
· 14h ago
Aldanmayın, sakin kalın imza atın
View OriginalReply0
DefiOldTrickster
· 14h ago
Daha önce bu tuzağı oynamıştım, açıkça söylemek gerekirse, kafayı takıp bir açık pozisyon açmak daha iyi.
Web3 imza oltacılığı tüm ayrıntılarıyla: Yetkilendirme tuzakları ve Permit2 riski
Web3 İmzalı Phishing Yöntemleri: Yetkilendirmeden Permit2'ye
Son zamanlarda, "imza oltası" Web3 hackerlarının en çok tercih ettiği saldırı yöntemlerinden biri haline geldi. Güvenlik uzmanları ve cüzdan şirketleri ilgili bilgileri sürekli olarak yaymaya çalışsalar da, her gün pek çok kullanıcı tuzağa düşüyor. Bunun başlıca sebeplerinden biri, çoğu kullanıcının cüzdan etkileşimlerinin temel mantığını anlamaması ve öğrenme eşiğinin yüksek olmasıdır.
Daha fazla insanın bu konuyu anlamasına yardımcı olmak için, bu makalede Web3 imza phishing'inin temel mantığı basit ve anlaşılır bir şekilde açıklanacaktır, özellikle de teknolojiye aşina olmayan kullanıcılar için.
Öncelikle, cüzdan kullanırken iki ana işlem olduğunu anlamamız gerekiyor: "imzalama" ve "etkileşim". Kısacası, imzalama blok zincirinin dışında (off-chain) gerçekleşir ve Gas ücreti ödemez; etkileşim ise blok zincirinin içinde (on-chain) gerçekleşir ve Gas ücreti ödenmesi gerekir.
İmza genellikle kimlik doğrulama için kullanılır, örneğin bir cüzdana giriş yapmak veya bir DApp ile bağlantı kurmak. Bu süreç blok zincirini etkilemez, bu nedenle ücret ödenmesine gerek yoktur. Oysa etkileşim, DEX'te token takası gibi gerçek zincir üstü işlemleri içerir ve bu, Gas ücreti ödemeyi gerektirir.
İmza ve etkileşim arasındaki farkı anladıktan sonra, birkaç yaygın oltalama yöntemine bakalım:
Permit imza phishing: Permit, ERC-20 standardının bir genişletme özelliğidir ve kullanıcıların imza ile başkalarına kendi token'larını kullanma yetkisi vermesine olanak tanır. Hackerlar bu mekanizmayı kullanarak kullanıcıları masum görünen bir mesajı imzalamaya kandırabilirler, aslında bu, hacker'ın kullanıcı varlıklarını transfer etmesine izin veren bir "belge"dir.
Permit2 imza phishing: Permit2, belirli bir DEX'in kullanıma sunduğu bir özelliktir ve kullanıcı işlemlerini basitleştirmeyi amaçlamaktadır. Ancak, kullanıcı Permit2 sözleşmesine sınırsız yetki vermişse, bir hacker bunu kullanarak oltalama saldırısı gerçekleştirebilir.
Bu oltalama saldırılarını önlemek için kullanıcılar aşağıdaki önlemleri alabilir:
Genel olarak, imza oltalama saldırısının doğası, kullanıcıları başkalarının kendi varlıklarını yönetmesine izin veren bir "belgeyi" imzalamaya teşvik etmektir. Bu saldırıların mantığını anlamak ve dikkatli olmak, dijital varlıklarınızı korumak için hayati öneme sahiptir.