Lembro-me de alguém no grupo que uma vez compartilhou um ditado sábio: 'Se você não sabe quem está gerando os lucros, então você é quem está gerando'. Isso realmente ressoa comigo. O mesmo princípio se aplica à segurança de usar carteiras de criptomoedas. Se você não tem certeza do que uma ação específica implica, então toda interação ou assinatura on-chain que você fizer pode correr o risco de perda dos ativos da sua carteira.

Recentemente, o Scam Sniffer divulgou um relatório de phishing para meados de 2024: Apenas no primeiro semestre deste ano, 260.000 vítimas foram alvo de phishing nas cadeias EVM (baseadas em Ethereum), resultando em perdas totais de US$ 314 milhões. Para se ter uma ideia, isso já ultrapassou os US$ 295 milhões perdidos em ataques de phishing em todo o ano de 2023, e levou apenas seis meses para atingir esse valor, como mostrado no gráfico abaixo.

O relatório destaca que a maioria dos roubos de tokens ERC20 ocorre ao assinar assinaturas de phishing, como Permit (assinaturas de autorização offline), Increase Allowance (expansão de limites de autorização) e Uniswap Permit2. Os ataques de phishing claramente continuam sendo uma vulnerabilidade significativa na segurança on-chain.

Há alguns dias, um amigo enfrentou um problema. Dois meses atrás, em 14 de junho, eles fizeram três transferências de sua Carteira Coinbase para a Binance (transferências da cadeia Ethereum). A primeira transferência foi concluída com sucesso, mas as outras duas nunca chegaram, e agora já se passaram dois meses. O que poderia ter dado errado?

Verifiquei os registros de transação no Etherscan e encontrei apenas uma transferência, sem rastro das outras duas, conforme mostrado na imagem abaixo.

Olhando mais de perto todas as transações on-chain a partir de 14 de junho, encontrei três tentativas de transferência, mas as duas últimas foram marcadas como transações falhadas, como mostrado na imagem abaixo.

Eu então cliquei em uma das transações falhadas (marcada como "Falha") para ver o que deu errado. A mensagem de erro dizia: "Erro encontrado durante a execução do contrato." De acordo com a documentação oficial do Etherscan, este tipo de erro não deveria resultar em perda de ativos da carteira. Os tokens nunca saem da carteira do remetente em tais casos, embora as taxas de gás ainda sejam deduzidas. Isso é ilustrado na imagem abaixo.

Para lidar com esse tipo de problema, aqui está o que precisa ser confirmado:

-Verifique se os fundos foram realmente transferidos ou perdidos da carteira naquele dia (ou seja, se a transação falhou e os fundos não retornaram para a carteira).

- Se for confirmado que os ativos foram transferidos ou perdidos, você pode precisar entrar em contato com o suporte ao cliente da plataforma relevante. Nesses casos, é melhor entrar em contato com a plataforma responsável pelo envio ou início do saque, pois a plataforma ou endereço de recebimento não poderá resolver o problema.

Dado isso, minha recomendação usual é que é uma boa ideia manter um registro detalhado de transações, como usar o Excel para rastrear suas transações diárias (compra/venda) e seu fluxo de caixa (receitas/despesas). Dessa forma, se surgirem problemas, você pode comparar o registro com os registros de transações on-chain para verificação cruzada. Na verdade, eu mesmo mantenho um registro assim, registrando cada transação em detalhes. Também adiciono notas sobre minhas experiências ou pensamentos sobre certas transações.

Neste ponto, o problema parece estar em grande parte compreendido. No entanto, ao revisar o histórico de transações on-chain, encontrei um problema ainda mais sério com a carteira deste amigo - ela foi alvo de hackers!

O que aconteceu? Vamos dar uma olhada mais de perto (como mostrado na imagem abaixo):

Vamos primeiro olhar para a caixa vermelha na imagem (uma transação legítima):

O proprietário da carteira acabara de concluir uma troca de $10.000 e transferiu o USDT para uma carteira que começa com 0x8F e termina com f103.

Agora, verifique a caixa verde (uma transação de phishing):

Imediatamente após, o hacker criou várias transações falsas. Curiosamente, o endereço da carteira do hacker também começa com 0x8F e termina com f103.

Vamos comparar os endereços da carteira mais de perto:

O endereço real do proprietário da carteira é:

0x8F773C2E1bF81cbA8ee71CBb8d33249Be6e5f103

Os endereços da carteira do hacker são:

0x8F7cCF79d497feDa14eD09F55d2c511001E5f103

0x8F776d5623F778Ea061efcA240912f9643fdf103

Percebeu o problema? Os quatro primeiros e os quatro últimos caracteres destes endereços são idênticos, fazendo com que eles pareçam quase iguais à primeira vista. Se você copiar e colar um endereço diretamente do histórico de transações sem verificar duas vezes, você pode acabar enviando dinheiro diretamente para o hacker.

Portanto, está claro que esta carteira foi de fato alvo de um hacker tentando pescar ativos. Além disso, a página do hash da transação confirma isso - a Ação da Transação é marcada como Fake_Phishing, o que não deixa dúvidas de que este é o endereço de um hacker. Veja a imagem abaixo para referência.

Dica rápida: por que você não pode ver transações inválidas ou transferências de valor zero no Etherscan? Como você pode mudar o navegador Ethereum para chinês simplificado?

Por padrão, o Etherscan oculta transações inválidas e transferências de valor zero. Se você deseja visualizá-las, basta ir para a página de configurações no Etherscan e ativar opções avançadas. Da mesma forma, se você preferir usar a interface em chinês simplificado, também pode ajustar isso nas configurações. Veja a imagem abaixo para referência. Alternativamente, você pode usar exploradores de várias cadeias de terceiros como o Oklink, que também suportam chinês simplificado.

A segurança da carteira é algo que definitivamente requer atenção especial, especialmente para carteiras que possuem ativos significativos (mais de $1 milhão). É uma boa ideia distribuir seus fundos em diferentes carteiras com base em seu propósito para aumentar a segurança. Aqui está como eu pessoalmente organizo minhas carteiras em camadas:

Nível 1: Uma carteira fria configurada em um telefone Apple, estritamente para armazenamento de longo prazo. É mantida offline e nunca utilizada para transações ou transferências. Pretendo manter esses ativos por pelo menos 10 anos sem tocá-los. Se você deseja usar uma carteira fria para transações, pode procurar comprar carteiras de hardware conhecidas por canais confiáveis (como Trezor, Ledger, etc.).

Nível 2: Uma carteira quente para quantias maiores. Eu uso Trust Wallet e não concedo permissões para nenhum dApp. Esta carteira é usada apenas para transferências entre minhas próprias carteiras e saques ou transferências para o Binance.

Nível 3: Dezenas de pequenas carteiras, algumas para fins de teste (como interagir com novos projetos para experimentar seus recursos ou ocasionalmente pegar um airdrop), enquanto outras eram usadas para comprar altcoins ou tokens meme (embora eu tenha feito menos disso nos últimos anos). Cada carteira contém apenas pequenas quantias, variando de algumas centenas a alguns milhares de dólares. Sou mais relaxado em relação a autorizações e assinaturas com essas carteiras e, mesmo que uma seja hackeada, não é grande coisa. Gerenciar todas essas carteiras pode parecer uma complicação, mas vale a pena pela segurança adicional.

Em resumo, cada um tem suas próprias preferências sobre como gerenciar suas carteiras, dependendo de sua situação. Usuários experientes de criptomoedas geralmente preferem manter seus ativos on-chain, mas para a maioria dos iniciantes, é mais seguro armazenar os ativos (abaixo de $100.000) em plataformas principais como Binance ou OKX.

Agora, vamos passar por algumas táticas comuns de phishing:

1. Permitir ataque de phishing

Para começar, vamos explicar alguns conceitos básicos: Ao transferir tokens no Ethereum, geralmente você interage com o contrato inteligente do token usando a função de transferência ou a função de transferência de. A função de transferência é usada quando o proprietário autoriza diretamente a transferência de tokens para outro endereço, enquanto a transferência de permite que um terceiro mova tokens de um endereço para outro.

Veja como funciona um ataque de phishing de permissão:

Primeiro, o atacante engana a vítima para clicar em um link de phishing ou visitar um site falso, pedindo-lhes para assinar uma transação de carteira (off-chain).

Então, o atacante usa a função Permitir para obter autorização.

Finalmente, o atacante chama a função Transfer From para mover os ativos da vítima, completando o ataque de phishing.

Este método de phishing tem uma característica chave: depois que o atacante obtém acesso à sua autorização de assinatura, eles podem executar as operações Permitir e Transferir De. O importante a ser observado é que a autorização não aparecerá no histórico de transações on-chain da vítima, mas será visível na atividade do endereço do atacante.

Normalmente, esse tipo de ataque de phishing de assinatura é um evento único, o que significa que não representa uma ameaça contínua de phishing. Em termos mais simples: um ataque de phishing de assinatura não pode roubar a frase mnemônica (ou chave privada) da sua carteira. Cada tentativa de phishing só permite que o hacker use a autorização uma vez e afeta apenas o token e a blockchain que você autorizou (por exemplo, se você autorizou USDT, o hacker só pode pegar seu USDT). Em outras palavras, uma assinatura de phishing única dá ao hacker uma oportunidade única, a menos que você cometa o erro de assinar novamente no futuro, dando a eles outra chance de explorar sua carteira.

(Crédito da imagem: bocaibocai@wzxznl)

2. Ataque de phishing do Uniswap Permit2

Esse método de phishing é semelhante ao ataque Permit mencionado anteriormente, ambos envolvendo phishing de assinatura fora da cadeia. O Uniswap Permit2 é um contrato inteligente introduzido pelo Uniswap em 2022. De acordo com o Uniswap, é um contrato de aprovação de token projetado para permitir que as permissões de token sejam compartilhadas e gerenciadas em diferentes aplicativos, proporcionando uma experiência do usuário mais fluida, econômica e segura. Muitos projetos agora integraram o Permit2.

Recentemente, li alguns artigos do bocaibocai (X@wzxznl) para mergulhar mais fundo nas mecânicas dos ataques de phishing Permit2. Aqui está um resumo rápido:

Quando você deseja realizar uma troca em uma exchange descentralizada (DEX), o processo tradicional requer que você primeiro aprove a DEX para acessar seus tokens e depois faça a troca. Isso geralmente significa pagar taxas de gás duas vezes, o que pode ser inconveniente para os usuários. O Permit2 simplifica esse processo, pulando a etapa adicional de aprovação, reduzindo efetivamente os custos de interação e melhorando a experiência geral do usuário.

Essencialmente, o Permit2 atua como um intermediário entre os usuários e os dApps. Uma vez que os usuários autorizam o Permit2, qualquer dApp integrado ao Permit2 pode compartilhar esse limite de autorização. Isso não apenas reduz os custos e simplifica o processo para os usuários, mas também ajuda os dApps a atrair mais usuários e liquidez devido à experiência aprimorada.

O que parecia uma situação ganha-ganha também pode se transformar em uma faca de dois gumes. Tradicionalmente, tanto as autorizações quanto as transferências de fundos envolvem ações on-chain pelo usuário. Mas com o Permit2, a interação do usuário é reduzida para uma assinatura off-chain, enquanto intermediários como o contrato do Permit2 ou projetos integrados a ele lidam com as operações on-chain. Essa mudança oferece vantagens ao reduzir o atrito on-chain para os usuários, mas também apresenta riscos. As assinaturas off-chain são onde os usuários frequentemente diminuem suas defesas. Por exemplo, ao conectar uma carteira a determinados dApps, os usuários são solicitados a assinar algo, mas a maioria não examina ou entende cuidadosamente o conteúdo da assinatura (que muitas vezes parece um código confuso). Essa falta de escrutínio pode ser perigosa.

Outra preocupação importante é que o Permit2, por padrão, autoriza o acesso ao saldo total de seus tokens, não importa quanto você planeje trocar. Enquanto carteiras como a MetaMask permitem que você defina um limite personalizado, a maioria dos usuários provavelmente apenas clicará em “max” ou usará a configuração padrão. O padrão para o Permit2 é uma autorização ilimitada, o que é particularmente arriscado. Consulte a imagem abaixo para referência.

Isso significa essencialmente que se você interagiu com a Uniswap e concedeu uma permissão ao contrato Permit2, você está vulnerável a esse golpe de phishing.

Por exemplo, digamos que Xiao Li tenha usado a Uniswap e autorizado uma quantidade ilimitada de USDT para o contrato Permit2. Mais tarde, ao realizar transações de rotina na carteira, Xiao Li caiu involuntariamente em uma armadilha de phishing envolvendo o Permit2. Uma vez que o hacker obteve a assinatura de Xiao Li, eles poderiam usá-la para realizar duas operações-chave no contrato Permit2 - Permitir e Transferir De - para roubar os ativos de Xiao Li.

Veja como funciona esse ataque de phishing:

Antes da tentativa de phishing, o usuário já havia usado Uniswap e concedido permissões de token ao contrato Uniswap Permit2 (com uma permissão ilimitada por padrão).

O atacante então cria um link ou site falso de phishing, enganando o usuário a assinar uma transação. Uma vez que a assinatura é capturada, o hacker obtém todas as informações necessárias (esse passo é semelhante ao phishing de permissão).

Usando isso, o atacante chama a função Permit no contrato Permit2, completando a autorização.

Finalmente, o atacante chama a função Transfer From dentro do contrato Permit2 para transferir os ativos da vítima, concluindo o ataque de phishing.

Normalmente, esses ataques envolvem múltiplos endereços de recebimento. Alguns são usados exclusivamente para operações de phishing (e podem até ser criados para se parecerem com o endereço da vítima com caracteres semelhantes no início e no final), enquanto outros pertencem a grupos de phishing organizados (por exemplo, provedores de DaaS). A indústria de phishing voltada para carteiras de criptomoedas parece ter se desenvolvido em um mercado subterrâneo em grande escala. Veja a imagem abaixo.

Como você pode se proteger dos ataques de phishing de Permit e Permit2?

Uma opção é usar plugins de segurança do navegador como Scamsniffer (tenho usado isso no meu Google Chrome) para bloquear links de phishing. Além disso, você pode verificar regularmente e revogar quaisquer autorizações ou assinaturas desnecessárias ou suspeitas com ferramentas como Revoke Cash. Veja a imagem abaixo para um exemplo.

Você também pode usar uma ferramenta especializada de gerenciamento de autorização da Scamsniffer, projetada especificamente para Uniswap Permit2, para revisar regularmente suas autorizações. Se algo parecer incomum, é importante revogar as permissões imediatamente. Veja a imagem abaixo.

Dito isso, o aspecto mais crucial é manter uma forte conscientização de segurança. Evite visitar sites ou links desconhecidos e, ao interagir com dApps, sempre verifique duplamente o que você está autorizando.

(Crédito da imagem: bocaibocai@wzxznl)

Dica rápida: Como você pode dizer se uma assinatura de carteira é para Permit ou Permit2?

Ao assinar, você verá alguns detalhes na janela de confirmação de autorização. Você pode identificar o tipo de assinatura observando campos-chave como os mostrados na imagem abaixo:

Proprietário (o endereço que concede autorização); Gasto (o endereço que recebe autorização); Valor (a quantidade autorizada); Nonce (um número aleatório único); Prazo final (a data de expiração).

3. Ataque de phishing de reivindicação

Esse tipo de phishing é muito comum. Por exemplo, se você navegar no X (antigo Twitter) com frequência, provavelmente encontrará mensagens oferecendo "airdrops gratuitos". Às vezes, você pode até encontrar NFTs aleatórios misteriosamente jogados em sua carteira (que pode incluir um link para o site).

Se você clicar em um site de phishing e prosseguir com um Reivindicaçãoação, os ativos em sua carteira podem ser imediatamente roubados pelo hacker.

Como você pode se proteger?

Primeiro, não caia em ofertas "boas demais para ser verdade" (evite clicar em links suspeitos ou aceitar NFTs e airdrops gratuitos desconhecidos). Segundo, sempre verifique duas vezes o site que você está usando para garantir que seja o site oficial legítimo antes de realizar qualquer operação de reivindicação.

4. Phishing de transferência de endereço semelhante

Em 3 de maio deste ano, uma baleia criptográfica foi vítima de um ataque de phishing usando um endereço semelhante, perdendo 1.155 WBTC (no valor de aproximadamente $70 milhões na época).

A SlowMist já analisou esse evento em detalhes, então não vou repetir aqui. Se você estiver curioso, pode revisitar o caso aqui:

https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg

Este tipo de phishing é relativamente simples:

Primeiro, o hacker gera um grande número de endereços de phishing enganosos que se assemelham de perto ao endereço pretendido da vítima, muitas vezes correspondendo aos primeiros 4 e últimos 6 caracteres.

Em seguida, eles implantam um programa em lote para monitorar as atividades on-chain da vítima e depois lançam um ataque de phishing enviando um endereço semelhante logo antes da transação pretendida.

Finalmente, quando a vítima faz uma transferência, o hacker usa o endereço de aparência semelhante para enviar uma transação imediatamente após. Desta forma, o endereço de phishing aparece no histórico de transações do usuário. Veja a imagem abaixo.

Como muitos usuários têm o hábito de copiar detalhes de transação de seu histórico de carteira, eles podem ver a transação de phishing que segue de perto a sua própria e não perceberam que copiaram o endereço errado. Sem verificar cuidadosamente, eles poderiam acabar enviando acidentalmente 1.155 WBTC para o endereço de phishing.

Como você pode evitar isso?

Primeiro, salve os endereços comumente usados no livro de endereços da sua carteira (ou adicione-os à lista branca), para que na próxima vez você possa selecionar o endereço correto da lista. Em segundo lugar, sempre verifique duas vezes o endereço completo antes de transferir fundos — não confie apenas nos primeiros ou últimos caracteres. Ao fazer uma grande transferência, é uma boa ideia enviar primeiro uma pequena transação de teste para garantir que tudo esteja correto.

5. Phishing de assinatura autorizada

Os métodos de Permissão, Uniswap Permit2 e Reivindicação mencionados anteriormente estão todos sob o guarda-chuva de phishing de autorização. Na verdade, há muitas maneiras pelas quais os hackers podem explorar as autorizações de carteira, como com Aprovar (concedendo permissão para que uma plataforma como Uniswap use seu USDT) e Aumentar a Permissão (aumentar o limite de quanto pode ser gasto).

O processo de phishing geralmente envolve o atacante configurando um link ou site falso ou até mesmo hackeando um site oficial do projeto e incorporando malware, o que engana os usuários a clicarem e concederem autorização de carteira sem saber.

Os cinco métodos de phishing discutidos são apenas alguns dos mais comuns. Os hackers estão constantemente criando novos e criativos métodos de ataque. Como diz o ditado, "Os hackers sempre estarão um passo à frente." Isso significa que a segurança da carteira é um desafio contínuo, e os usuários precisam ficar vigilantes o tempo todo.

Aviso legal:

1. Este artigo é reproduzido a partir de [话李话外] com o título "你的钱包还安全吗?黑客是如何利用Permit、Uniswap Permit2、授权签名进行钓鱼的(Sua carteira é segura? Como hackers exploram Permit, Uniswap Permit2 e assinaturas para phishing.)", Todos os direitos autorais pertencem ao autor original [话李话外]. Se houver objeções a esta reimpressão, entre em contato com o Gate Aprendaequipe e eles cuidarão disso prontamente.

2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente as do autor e não constituem nenhum conselho de investimento.

3. As traduções do artigo para outros idiomas são feitas pela equipe da Gate Learn. A menos que mencionadoGate.io, copiar, distribuir ou plagiar os artigos traduzidos é proibido.