SharkTeam：Web3常见的钓鱼方式分析与安全防范建议

近年来web 3钓鱼事件频繁出现，而且所涉及到的黑色产业链也颇为严重，Web 3行业的安全形势尤为严峻，Web 3钓鱼实际上是针对web 3参与者的网络攻击手段，会户以各种方式窃取用户的签名和授权，并引导用户进行各类误操作，最终的目的就是骗取参与者钱包中的加密数字资产，这里将对常见的web 3钓鱼方式做出系统化的分析，并给大家提供一些安全防范建议。

Web 3常见钓鱼方式分析

1.Permit链下钓鱼

Permit主要是针对erc 20标准的一个拓展功能，该功能的原理是通过签名的方式来允许获得签名的一方使用代币，钓鱼者一般会伪造钓鱼链接或钓鱼网站，诱导用户通过这些网站进行签名，如果用户签名了，那么钓鱼者就可以从用户这里盗取签名并授权加密资产交易。

2.Eth_Sign钓鱼

eth_sign作为一种开放式的签名模式，可对任何哈希值进行签名，钓鱼者只需要伪造出恶意签名数据，诱导用户通过eth_sign完成签名即可攻击用户的个人加密资产。

3.授权钓鱼

授权钓鱼的攻击者会通过伪造恶意网站，或在项目官网挂木马的形式诱导用户进行误操作，以此来获取用户的资产操作权限，从而实施加密资产的盗窃行为。

安全防范建议

遇到这类钓鱼行为，用户首先要做的就是不点击任何不明链接，现如今官方社媒账号被盗的情况也频繁出现，所以对于官方发布的消息也不要过度相信，因为这些官方消息或许会被伪装成钓鱼信息，在使用 APP等应用时一定要注意甄别，避免使用伪造的APP或站点，对任何目标和内容上的信息一定要做到多次确认，要保持高度的怀疑心态，确保自己的每一步都是安全的。