المخترقون هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمشاريع المشاريع، فإن خاصية شفرة المصدر المفتوحة تجعلهم يشعرون بالقلق والخوف من ظهور ثغرات تؤدي إلى حوادث أمنية. بالنسبة للأفراد، قد يؤدي عدم فهم معنى الإجراءات إلى مخاطر سرقة الأصول في كل تفاعل على السلسلة أو توقيع. كانت مشكلة الأمان دائمًا واحدة من نقاط الألم في عالم التشفير، وتؤدي خصائص blockchain إلى عدم إمكانية استعادة الأصول المسروقة تقريبًا، لذلك تعتبر المعرفة بالأمان مهمة جدًا.
مؤخراً، بدأت طريقة جديدة لصيد السمك بالظهور، حيث يمكن أن تؤدي التوقيع فقط إلى سرقة الأصول، والطريقة خفية وصعبة الحماية. أي عنوان تعامل مع DEX معين قد يواجه مخاطر. ستقوم هذه المقالة بتحليل طريقة صيد السمك بالتوقيع لتجنب المزيد من خسائر الأصول.
تفاصيل الحدث
صديق يبحث عن المساعدة بعد سرقة أصول محفظته (. على عكس طرق السرقة الشائعة، لم يقم الصديق بإفشاء مفتاحه الخاص ولم يتفاعل مع عقود مواقع الصيد.
أظهرت التحقيقات أن USDT الخاص بـ A الصغيرة تم نقله من خلال وظيفة Transfer From. وهذا يعني أن عنوانًا آخر قام بعملية نقل الرمز، وليس تسرب مفتاح المحفظة الخاص.
تفاصيل الصفقة تظهر:
سيتم نقل أصول 小A إلى عنوان ينتهي بـ a0c8 من عنوان ينتهي بـ fd51
التفاعل مع عقد Permit2 الخاص بـ DEX معين
السؤال الرئيسي هو: كيف يمكن الحصول على أذونات الأصول لعنوان fd51؟ ولماذا يتعلق الأمر ببعض DEX؟
أظهر التحقيق الإضافي أن عنوان fd51 قام بعملية تصريح قبل نقل الأصول، حيث تفاعلت العمليتان مع عقد Permit2 الخاص بـ DEX معين.
Permit2 هو عقد جديد أطلقته بعض منصات تبادل العملات الرقمية في نهاية عام 2022، ويتيح مشاركة وإدارة تفويضات الرموز عبر التطبيقات، بهدف توفير تجربة مستخدم أكثر توحيدًا وبتكلفة منخفضة وآمنة.
يعمل Permit2 كوسيط بين المستخدم وDApp، حيث يحتاج المستخدم فقط إلى تفويض عقد Permit2، ويمكن لجميع DApp التي تدمج Permit2 مشاركة حد التفويض. هذا يقلل من تكاليف التفاعل، ويعزز تجربة المستخدم، لكنه قد يصبح أيضًا سيفًا ذو حدين.
تقوم Permit2 بتحويل عمليات المستخدمين إلى توقيعات خارج السلسلة، بينما يتم تنفيذ العمليات على السلسلة بواسطة طرف وسيط. وهذا يسمح للمستخدمين الذين لا يملكون ETH باستخدام رموز أخرى لدفع رسوم الغاز أو إعفاء كامل من رسوم الغاز.
ومع ذلك، فإن التوقيع خارج السلسلة هو المرحلة الأكثر إهمالًا من قبل المستخدمين. العديد من الناس لا يتحققون بعناية أو يفهمون محتوى التوقيع، وهذه هي النقطة الأكثر خطورة.
لتفعيل هذه الخدعة، الشرط الأساسي هو أن يتم منح المحفظة الإذن بتوكين لعقد Permit2. حالياً، يتطلب الأمر فقط الحصول على هذا الإذن عند التبادل في DApp الذي يدمج Permit2 أو في أي DEX.
الأكثر رعبًا هو أنه بغض النظر عن مقدار Swap، فإن عقد Permit2 الخاص ببعض DEX يطلب افتراضيًا تفويض الرصيد بالكامل. على الرغم من أن المحفظة ستطلب إدخال مبلغ مخصص، إلا أن معظم الناس قد يختارون مباشرة القيمة القصوى أو القيمة الافتراضية، والقيمة الافتراضية لـ Permit2 هي حد غير محدود.
هذا يعني أن المستخدمين الذين يتفاعلون مع بعض DEX بعد عام 2023 ويمنحون إذن عقد Permit2 قد يواجهون مخاطر.
استخدم القراصنة دالة Permit لتحويل حدود التوكنs المصرح بها لعقد Permit2 من خلال توقيع الضحية. طالما حصلوا على التوقيع، يمكن للقراصنة نقل أصول الضحية.
![هل تم سرقة توقيعك؟ كشف خدعة تصيد توقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
) كيف يمكن الحماية؟
فهم وتحديد محتوى التوقيع:
تعلم كيفية التعرف على تنسيق توقيع التصريح، والذي يتضمن معلومات رئيسية مثل المالك، والمستفيد، والقيمة، والعدد المتسلسل، والمواعيد النهائية. يساعد استخدام المكونات الإضافية الآمنة في التعرف.
![التوقيع يتعرض للاختلاس؟ كشف النقاب عن تضليل توقيع Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
فصل محفظة الأصول عن محفظة التفاعل:
يوصى بتخزين الأصول الكبيرة في محفظة باردة، وترك كمية صغيرة من الأموال في المحفظة التفاعلية، مما يمكن أن يقلل بشكل كبير من الخسائر المحتملة.
تقييد تفويض أو إلغاء تفويض عقد Permit2:
عند إجراء Swap، يجب تفويض المبلغ المطلوب فقط. على الرغم من زيادة تكلفة التفاعل، إلا أنه يمكن تجنب مخاطر التصيد المرتبطة بتوقيع Permit2. يمكن للمستخدمين المصرح لهم استخدام المكون الإضافي الآمن لإلغاء التفويض.
![توقيعك قد يتعرض للسرقة؟ كشف عن عملية احتيال توقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
تحديد ما إذا كانت الرموز تدعم وظيفة الإذن:
راقب ما إذا كانت الرموز التي تمتلكها تدعم هذه الميزة، وإذا كانت تدعمها، يجب أن تكون حذرًا بشكل خاص عند إجراء معاملات، وتحقق بدقة من التوقيعات غير المعروفة.
وضع خطة إنقاذ الأصول متكاملة:
إذا تم اكتشاف الاحتيال ولكن لا تزال هناك رموز على منصات أخرى، يجب توخي الحذر عند سحبها أو نقلها. قد يقوم القراصنة بمراقبة رصيد العنوان في الوقت الفعلي، يُنصح باستخدام نقل MEV أو طلب المساعدة من شركة أمان محترفة.
قد تزداد عمليات الاحتيال القائمة على Permit2 في المستقبل، حيث أن هذه الطريقة من الاحتيال من خلال التوقيع خفية وصعبة الحماية. مع توسع نطاق تطبيق Permit2، ستزداد العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المقالة لتجنب تعرض المزيد من الأشخاص للخسائر.
![تمت سرقة التوقيع؟ كشف خدعة في صيد التوقيع لـ Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 9
أعجبني
9
4
مشاركة
تعليق
0/400
GmGmNoGn
· منذ 15 س
التوقيع هو فخ
شاهد النسخة الأصليةرد0
NFTArchaeologis
· منذ 15 س
تترك دروس المواقع الأثرية لعصر البرية الرقمية، علمتنا ثغرة Plato System عام 1970 قيمة الأمان.
شاهد النسخة الأصليةرد0
FlippedSignal
· منذ 15 س
من يستطيع تحمل هذا الآن؟
شاهد النسخة الأصليةرد0
AirdropHunterWang
· منذ 15 س
يجب أن تكون حذرًا عند التوقيع، تريد أن تكسب المال ولكن تخشى أن تتعرض للخداع.
تضليل توقيع Permit2 يجب توخي الحذر في المعاملات
كشف خدعة توقيع Uniswap Permit2
المخترقون هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمشاريع المشاريع، فإن خاصية شفرة المصدر المفتوحة تجعلهم يشعرون بالقلق والخوف من ظهور ثغرات تؤدي إلى حوادث أمنية. بالنسبة للأفراد، قد يؤدي عدم فهم معنى الإجراءات إلى مخاطر سرقة الأصول في كل تفاعل على السلسلة أو توقيع. كانت مشكلة الأمان دائمًا واحدة من نقاط الألم في عالم التشفير، وتؤدي خصائص blockchain إلى عدم إمكانية استعادة الأصول المسروقة تقريبًا، لذلك تعتبر المعرفة بالأمان مهمة جدًا.
مؤخراً، بدأت طريقة جديدة لصيد السمك بالظهور، حيث يمكن أن تؤدي التوقيع فقط إلى سرقة الأصول، والطريقة خفية وصعبة الحماية. أي عنوان تعامل مع DEX معين قد يواجه مخاطر. ستقوم هذه المقالة بتحليل طريقة صيد السمك بالتوقيع لتجنب المزيد من خسائر الأصول.
تفاصيل الحدث
صديق يبحث عن المساعدة بعد سرقة أصول محفظته (. على عكس طرق السرقة الشائعة، لم يقم الصديق بإفشاء مفتاحه الخاص ولم يتفاعل مع عقود مواقع الصيد.
أظهرت التحقيقات أن USDT الخاص بـ A الصغيرة تم نقله من خلال وظيفة Transfer From. وهذا يعني أن عنوانًا آخر قام بعملية نقل الرمز، وليس تسرب مفتاح المحفظة الخاص.
تفاصيل الصفقة تظهر:
السؤال الرئيسي هو: كيف يمكن الحصول على أذونات الأصول لعنوان fd51؟ ولماذا يتعلق الأمر ببعض DEX؟
أظهر التحقيق الإضافي أن عنوان fd51 قام بعملية تصريح قبل نقل الأصول، حيث تفاعلت العمليتان مع عقد Permit2 الخاص بـ DEX معين.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Permit2 هو عقد جديد أطلقته بعض منصات تبادل العملات الرقمية في نهاية عام 2022، ويتيح مشاركة وإدارة تفويضات الرموز عبر التطبيقات، بهدف توفير تجربة مستخدم أكثر توحيدًا وبتكلفة منخفضة وآمنة.
يعمل Permit2 كوسيط بين المستخدم وDApp، حيث يحتاج المستخدم فقط إلى تفويض عقد Permit2، ويمكن لجميع DApp التي تدمج Permit2 مشاركة حد التفويض. هذا يقلل من تكاليف التفاعل، ويعزز تجربة المستخدم، لكنه قد يصبح أيضًا سيفًا ذو حدين.
تقوم Permit2 بتحويل عمليات المستخدمين إلى توقيعات خارج السلسلة، بينما يتم تنفيذ العمليات على السلسلة بواسطة طرف وسيط. وهذا يسمح للمستخدمين الذين لا يملكون ETH باستخدام رموز أخرى لدفع رسوم الغاز أو إعفاء كامل من رسوم الغاز.
ومع ذلك، فإن التوقيع خارج السلسلة هو المرحلة الأكثر إهمالًا من قبل المستخدمين. العديد من الناس لا يتحققون بعناية أو يفهمون محتوى التوقيع، وهذه هي النقطة الأكثر خطورة.
لتفعيل هذه الخدعة، الشرط الأساسي هو أن يتم منح المحفظة الإذن بتوكين لعقد Permit2. حالياً، يتطلب الأمر فقط الحصول على هذا الإذن عند التبادل في DApp الذي يدمج Permit2 أو في أي DEX.
الأكثر رعبًا هو أنه بغض النظر عن مقدار Swap، فإن عقد Permit2 الخاص ببعض DEX يطلب افتراضيًا تفويض الرصيد بالكامل. على الرغم من أن المحفظة ستطلب إدخال مبلغ مخصص، إلا أن معظم الناس قد يختارون مباشرة القيمة القصوى أو القيمة الافتراضية، والقيمة الافتراضية لـ Permit2 هي حد غير محدود.
هذا يعني أن المستخدمين الذين يتفاعلون مع بعض DEX بعد عام 2023 ويمنحون إذن عقد Permit2 قد يواجهون مخاطر.
استخدم القراصنة دالة Permit لتحويل حدود التوكنs المصرح بها لعقد Permit2 من خلال توقيع الضحية. طالما حصلوا على التوقيع، يمكن للقراصنة نقل أصول الضحية.
![هل تم سرقة توقيعك؟ كشف خدعة تصيد توقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
) كيف يمكن الحماية؟
![التوقيع يتعرض للاختلاس؟ كشف النقاب عن تضليل توقيع Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
فصل محفظة الأصول عن محفظة التفاعل: يوصى بتخزين الأصول الكبيرة في محفظة باردة، وترك كمية صغيرة من الأموال في المحفظة التفاعلية، مما يمكن أن يقلل بشكل كبير من الخسائر المحتملة.
تقييد تفويض أو إلغاء تفويض عقد Permit2: عند إجراء Swap، يجب تفويض المبلغ المطلوب فقط. على الرغم من زيادة تكلفة التفاعل، إلا أنه يمكن تجنب مخاطر التصيد المرتبطة بتوقيع Permit2. يمكن للمستخدمين المصرح لهم استخدام المكون الإضافي الآمن لإلغاء التفويض.
![توقيعك قد يتعرض للسرقة؟ كشف عن عملية احتيال توقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
تحديد ما إذا كانت الرموز تدعم وظيفة الإذن: راقب ما إذا كانت الرموز التي تمتلكها تدعم هذه الميزة، وإذا كانت تدعمها، يجب أن تكون حذرًا بشكل خاص عند إجراء معاملات، وتحقق بدقة من التوقيعات غير المعروفة.
وضع خطة إنقاذ الأصول متكاملة: إذا تم اكتشاف الاحتيال ولكن لا تزال هناك رموز على منصات أخرى، يجب توخي الحذر عند سحبها أو نقلها. قد يقوم القراصنة بمراقبة رصيد العنوان في الوقت الفعلي، يُنصح باستخدام نقل MEV أو طلب المساعدة من شركة أمان محترفة.
قد تزداد عمليات الاحتيال القائمة على Permit2 في المستقبل، حيث أن هذه الطريقة من الاحتيال من خلال التوقيع خفية وصعبة الحماية. مع توسع نطاق تطبيق Permit2، ستزداد العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المقالة لتجنب تعرض المزيد من الأشخاص للخسائر.
![تمت سرقة التوقيع؟ كشف خدعة في صيد التوقيع لـ Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(