时间:2024-05-24|浏览:150
近年来web 3钓鱼事件频繁出现,而且所涉及到的黑色产业链也颇为严重,Web 3行业的安全形势尤为严峻,Web 3钓鱼实际上是针对web 3参与者的网络攻击手段,会户以各种方式窃取用户的签名和授权,并引导用户进行各类误操作,最终的目的就是骗取参与者钱包中的加密数字资产,这里将对常见的web 3钓鱼方式做出系统化的分析,并给大家提供一些安全防范建议。
Web 3常见钓鱼方式分析
1.Permit链下钓鱼
Permit主要是针对erc 20标准的一个拓展功能,该功能的原理是通过签名的方式来允许获得签名的一方使用代币,钓鱼者一般会伪造钓鱼链接或钓鱼网站,诱导用户通过这些网站进行签名,如果用户签名了,那么钓鱼者就可以从用户这里盗取签名并授权加密资产交易。
2.Eth_Sign钓鱼
eth_sign作为一种开放式的签名模式,可对任何哈希值进行签名,钓鱼者只需要伪造出恶意签名数据,诱导用户通过eth_sign完成签名即可攻击用户的个人加密资产。
3.授权钓鱼
授权钓鱼的攻击者会通过伪造恶意网站,或在项目官网挂木马的形式诱导用户进行误操作,以此来获取用户的资产操作权限,从而实施加密资产的盗窃行为。
安全防范建议
遇到这类钓鱼行为,用户首先要做的就是不点击任何不明链接,现如今官方社媒账号被盗的情况也频繁出现,所以对于官方发布的消息也不要过度相信,因为这些官方消息或许会被伪装成钓鱼信息,在使用 APP等应用时一定要注意甄别,避免使用伪造的APP或站点,对任何目标和内容上的信息一定要做到多次确认,要保持高度的怀疑心态,确保自己的每一步都是安全的。