Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia temida en el ecosistema Web3. Para los desarrolladores de proyectos, la naturaleza de código abierto les hace estar nerviosos, temiendo que aparezcan vulnerabilidades que puedan causar accidentes de seguridad. Para los individuos, no entender el significado de las operaciones puede llevar a que cada interacción o firma en la cadena conlleve el riesgo de robo de activos. Los problemas de seguridad han sido uno de los principales puntos críticos en el mundo de las criptomonedas, y las características de la blockchain hacen que los activos robados sean casi imposibles de recuperar, por lo que tener conocimientos de seguridad es especialmente importante.
Recientemente, ha comenzado a activarse un nuevo método de phishing que solo requiere una firma para provocar el robo de activos, siendo una técnica oculta y difícil de prevenir. Todas las direcciones que han interactuado con algún DEX pueden estar en riesgo. Este artículo analizará este método de phishing por firma para evitar más pérdidas de activos.
Evento
Un amigo (, Xiao A ), busca ayuda después de que sus activos de billetera fueron robados. A diferencia de los métodos comunes de robo, Xiao A no divulgó su clave privada ni interactuó con contratos de sitios de phishing.
La investigación revela que el USDT de Xiao A fue transferido a través de la función Transfer From. Esto significa que otra dirección realizó la transferencia del token, y no que se haya filtrado la clave privada de la billetera.
Detalles de la transacción:
La dirección que termina en fd51 transferirá los activos de Xiao A a la dirección que termina en a0c8
Interacción con el contrato Permit2 de algún DEX
La cuestión clave es: ¿cómo obtiene la dirección fd51 los derechos de los activos? ¿Por qué está relacionada con un DEX?
Una investigación adicional reveló que la dirección fd51 realizó una operación de Permiso antes de transferir activos, y ambas operaciones interactuaron con el contrato Permit2 de cierto DEX.
Permit2 es un nuevo contrato lanzado por un DEX a finales de 2022, que permite compartir y gestionar autorizaciones de tokens entre aplicaciones, con el objetivo de ofrecer una experiencia de usuario más unificada, de bajo costo y segura.
Permit2 actúa como intermediario entre el usuario y la DApp, el usuario solo necesita autorizar al contrato Permit2, todas las DApp que integren Permit2 pueden compartir el límite de autorización. Esto reduce el costo de interacción y mejora la experiencia del usuario, pero también puede convertirse en una espada de doble filo.
Permit2 convierte las operaciones del usuario en firmas fuera de la cadena, y las operaciones en la cadena son realizadas por un rol intermedio. Esto permite que los usuarios sin ETH también puedan usar otros Tokens para pagar Gas o estar completamente exentos de Gas.
Sin embargo, la firma fuera de la cadena es el aspecto más descuidado por los usuarios. Muchas personas no revisan ni entienden cuidadosamente el contenido de la firma, que es precisamente el lugar más peligroso.
Para activar este método de phishing, la condición clave es que la billetera debe autorizar el Token al contrato Permit2. Actualmente, solo se necesita esta autorización al realizar un Swap en una DApp que integre Permit2 o en algún DEX.
Lo que es más aterrador es que, sin importar cuánto sea el monto del Swap, el contrato Permit2 de cierto DEX solicita por defecto la autorización de todo el saldo. Aunque la billetera puede sugerir un monto de entrada personalizado, la mayoría de las personas pueden optar directamente por el valor máximo o por el valor predeterminado, y el valor predeterminado de Permit2 es un límite ilimitado.
Esto significa que los usuarios que interactúan con algún DEX y autorizan el contrato Permit2 después de 2023 pueden enfrentar riesgos.
Los hackers utilizan la función Permit para transferir el límite de Tokens autorizado al contrato Permit2 mediante la firma de la víctima. Tan solo con obtener la firma, los hackers pueden transferir los activos de la víctima.
¿Cómo prevenir?
Comprender e identificar el contenido de la firma:
Aprender a identificar el formato de firma de Permit, que incluye información clave como Owner, Spender, value, nonce y deadline. Usar complementos de seguridad ayuda a la identificación.
Separación de la billetera de activos y la billetera de interacción:
Se recomienda almacenar una gran cantidad de activos en una billetera fría, dejando solo una pequeña cantidad de fondos en una billetera de interacción, lo que puede reducir significativamente las pérdidas potenciales.
Restringir la autorización o revocación de autorización del contrato Permit2:
Al realizar un Swap, solo autorice la cantidad necesaria. Aunque aumenta el costo de interacción, puede evitar el riesgo de phishing de firma Permit2. Los usuarios autorizados pueden revocar la autorización utilizando un complemento seguro.
Identificar si el token soporta la función permit:
Presta atención a si los tokens que posees soportan esta función; si es así, debes ser extremadamente cauteloso en las operaciones de intercambio y revisar estrictamente las firmas desconocidas.
Establecer un plan integral de rescate de activos:
Si se descubre un Lavado de ojos pero hay tokens en otras plataformas, se debe tener cuidado al extraer y transferir. Los hackers pueden monitorear en tiempo real el saldo de la dirección, se recomienda utilizar transferencias MEV o buscar la ayuda de una empresa de seguridad profesional.
El phishing basado en Permit2 podría aumentar en el futuro, ya que este método de phishing por firma es sigiloso y difícil de prevenir. Con la expansión del ámbito de aplicación de Permit2, aumentarán las direcciones expuestas a riesgos. Espero que los lectores difundan este artículo para evitar que más personas sufran pérdidas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
9 me gusta
Recompensa
9
4
Compartir
Comentar
0/400
GmGmNoGn
· hace16h
La firma es una trampa
Ver originalesResponder0
NFTArchaeologis
· hace16h
Las lecciones de los restos de la era salvaje digital nos enseñan el valor de la seguridad, el fallo del Sistema Plato en 1970.
Ver originalesResponder0
FlippedSignal
· hace16h
¿Quién puede soportar esto ahora?
Ver originalesResponder0
AirdropHunterWang
· hace16h
Hay que ser cuidadoso con las firmas, se quiere ganar dinero pero se teme ser estafado.
Permiso2 firma pesca nueva Lavado de ojos Transacciones deben ser cautelosas
Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia temida en el ecosistema Web3. Para los desarrolladores de proyectos, la naturaleza de código abierto les hace estar nerviosos, temiendo que aparezcan vulnerabilidades que puedan causar accidentes de seguridad. Para los individuos, no entender el significado de las operaciones puede llevar a que cada interacción o firma en la cadena conlleve el riesgo de robo de activos. Los problemas de seguridad han sido uno de los principales puntos críticos en el mundo de las criptomonedas, y las características de la blockchain hacen que los activos robados sean casi imposibles de recuperar, por lo que tener conocimientos de seguridad es especialmente importante.
Recientemente, ha comenzado a activarse un nuevo método de phishing que solo requiere una firma para provocar el robo de activos, siendo una técnica oculta y difícil de prevenir. Todas las direcciones que han interactuado con algún DEX pueden estar en riesgo. Este artículo analizará este método de phishing por firma para evitar más pérdidas de activos.
Evento
Un amigo (, Xiao A ), busca ayuda después de que sus activos de billetera fueron robados. A diferencia de los métodos comunes de robo, Xiao A no divulgó su clave privada ni interactuó con contratos de sitios de phishing.
La investigación revela que el USDT de Xiao A fue transferido a través de la función Transfer From. Esto significa que otra dirección realizó la transferencia del token, y no que se haya filtrado la clave privada de la billetera.
Detalles de la transacción:
La cuestión clave es: ¿cómo obtiene la dirección fd51 los derechos de los activos? ¿Por qué está relacionada con un DEX?
Una investigación adicional reveló que la dirección fd51 realizó una operación de Permiso antes de transferir activos, y ambas operaciones interactuaron con el contrato Permit2 de cierto DEX.
Permit2 es un nuevo contrato lanzado por un DEX a finales de 2022, que permite compartir y gestionar autorizaciones de tokens entre aplicaciones, con el objetivo de ofrecer una experiencia de usuario más unificada, de bajo costo y segura.
Permit2 actúa como intermediario entre el usuario y la DApp, el usuario solo necesita autorizar al contrato Permit2, todas las DApp que integren Permit2 pueden compartir el límite de autorización. Esto reduce el costo de interacción y mejora la experiencia del usuario, pero también puede convertirse en una espada de doble filo.
Permit2 convierte las operaciones del usuario en firmas fuera de la cadena, y las operaciones en la cadena son realizadas por un rol intermedio. Esto permite que los usuarios sin ETH también puedan usar otros Tokens para pagar Gas o estar completamente exentos de Gas.
Sin embargo, la firma fuera de la cadena es el aspecto más descuidado por los usuarios. Muchas personas no revisan ni entienden cuidadosamente el contenido de la firma, que es precisamente el lugar más peligroso.
Para activar este método de phishing, la condición clave es que la billetera debe autorizar el Token al contrato Permit2. Actualmente, solo se necesita esta autorización al realizar un Swap en una DApp que integre Permit2 o en algún DEX.
Lo que es más aterrador es que, sin importar cuánto sea el monto del Swap, el contrato Permit2 de cierto DEX solicita por defecto la autorización de todo el saldo. Aunque la billetera puede sugerir un monto de entrada personalizado, la mayoría de las personas pueden optar directamente por el valor máximo o por el valor predeterminado, y el valor predeterminado de Permit2 es un límite ilimitado.
Esto significa que los usuarios que interactúan con algún DEX y autorizan el contrato Permit2 después de 2023 pueden enfrentar riesgos.
Los hackers utilizan la función Permit para transferir el límite de Tokens autorizado al contrato Permit2 mediante la firma de la víctima. Tan solo con obtener la firma, los hackers pueden transferir los activos de la víctima.
¿Cómo prevenir?
Separación de la billetera de activos y la billetera de interacción: Se recomienda almacenar una gran cantidad de activos en una billetera fría, dejando solo una pequeña cantidad de fondos en una billetera de interacción, lo que puede reducir significativamente las pérdidas potenciales.
Restringir la autorización o revocación de autorización del contrato Permit2: Al realizar un Swap, solo autorice la cantidad necesaria. Aunque aumenta el costo de interacción, puede evitar el riesgo de phishing de firma Permit2. Los usuarios autorizados pueden revocar la autorización utilizando un complemento seguro.
Identificar si el token soporta la función permit: Presta atención a si los tokens que posees soportan esta función; si es así, debes ser extremadamente cauteloso en las operaciones de intercambio y revisar estrictamente las firmas desconocidas.
Establecer un plan integral de rescate de activos: Si se descubre un Lavado de ojos pero hay tokens en otras plataformas, se debe tener cuidado al extraer y transferir. Los hackers pueden monitorear en tiempo real el saldo de la dirección, se recomienda utilizar transferencias MEV o buscar la ayuda de una empresa de seguridad profesional.
El phishing basado en Permit2 podría aumentar en el futuro, ya que este método de phishing por firma es sigiloso y difícil de prevenir. Con la expansión del ámbito de aplicación de Permit2, aumentarán las direcciones expuestas a riesgos. Espero que los lectores difundan este artículo para evitar que más personas sufran pérdidas.