Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pengembang proyek, sifat kode yang sumber terbuka membuat mereka cemas, takut ada celah yang menyebabkan insiden keamanan. Bagi individu, kurangnya pemahaman tentang arti dari suatu operasi dapat menyebabkan risiko kehilangan aset setiap kali berinteraksi atau menandatangani di blockchain. Masalah keamanan telah menjadi salah satu poin sakit di dunia kripto, dan sifat blockchain membuat pencurian aset hampir tidak dapat dipulihkan, sehingga memiliki pengetahuan keamanan menjadi sangat penting.
Belakangan ini, sebuah metode phishing baru mulai aktif, yang hanya memerlukan tanda tangan untuk menyebabkan pencurian aset, metode ini sulit terdeteksi dan dicegah. Alamat yang pernah berinteraksi dengan DEX tertentu mungkin menghadapi risiko. Artikel ini akan menganalisis metode phishing tanda tangan ini untuk menghindari kerugian aset lebih lanjut.
Kronologi kejadian
Seorang teman ( Xiao A ) mencari bantuan setelah aset dompetnya dicuri. Berbeda dengan cara pencurian yang umum, Xiao A tidak membocorkan kunci privatnya dan tidak berinteraksi dengan kontrak situs phishing.
Investigasi menemukan bahwa USDT milik A kecil dipindahkan melalui fungsi Transfer From. Ini berarti alamat lain yang melakukan transfer Token, bukan kebocoran kunci pribadi dompet.
Detail transaksi menunjukkan:
Alamat dengan akhiran fd51 akan memindahkan aset kecil A ke alamat dengan akhiran a0c8
Interaksi dengan kontrak Permit2 dari DEX tertentu
Pertanyaan kunci adalah: bagaimana cara mendapatkan hak aset di alamat fd51? Mengapa terkait dengan DEX tertentu?
Investigasi lebih lanjut menemukan bahwa alamat fd51 melakukan operasi Permit sebelum memindahkan aset, kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari suatu DEX.
Permit2 adalah kontrak baru yang diluncurkan oleh suatu DEX pada akhir tahun 2022, yang memungkinkan berbagi dan pengelolaan otorisasi token antar aplikasi, bertujuan untuk memberikan pengalaman pengguna yang lebih terintegrasi, biaya rendah, dan aman.
Permit2 berfungsi sebagai perantara antara pengguna dan DApp, pengguna hanya perlu memberikan otorisasi kepada kontrak Permit2, semua DApp yang terintegrasi dengan Permit2 dapat berbagi batasan otorisasi. Ini mengurangi biaya interaksi dan meningkatkan pengalaman pengguna, tetapi juga dapat menjadi pedang bermata dua.
Permit2 mengubah operasi pengguna menjadi tanda tangan off-chain, sementara operasi on-chain dilakukan oleh peran perantara. Ini memungkinkan pengguna tanpa ETH untuk membayar Gas dengan Token lain atau sepenuhnya bebas Gas.
Namun, tanda tangan di luar rantai adalah bagian yang paling mudah diabaikan oleh pengguna. Banyak orang tidak akan memeriksa atau memahami isi tanda tangan dengan seksama, dan inilah yang paling berbahaya.
Untuk memicu teknik phishing ini, prasyarat kuncinya adalah dompet harus memberikan otorisasi Token kepada kontrak Permit2. Saat ini, hanya dengan mengintegrasikan DApp Permit2 atau melakukan Swap di DEX tertentu, otorisasi ini diperlukan.
Yang lebih menakutkan adalah, tidak peduli berapa jumlah Swap, kontrak Permit2 dari suatu DEX secara default meminta otorisasi untuk semua saldo. Meskipun dompet akan memberi tahu untuk memasukkan jumlah secara kustom, banyak orang mungkin langsung memilih nilai maksimum atau default, dan nilai default Permit2 adalah batas tanpa batas.
Ini berarti, pengguna yang berinteraksi dengan DEX tertentu dan memberikan izin pada kontrak Permit2 setelah tahun 2023 mungkin menghadapi risiko.
Hacker menggunakan fungsi Permit, untuk memindahkan batas Token yang diberikan kepada kontrak Permit2 melalui tanda tangan korban. Selama mendapatkan tanda tangan, hacker dapat memindahkan aset korban.
bagaimana cara mencegah?
Memahami dan mengenali isi tanda tangan:
Pelajari cara mengenali format tanda tangan Permit, yang mencakup informasi kunci seperti Owner, Spender, value, nonce, dan deadline. Menggunakan plugin keamanan dapat membantu dalam identifikasi.
Pemisahan dompet aset dan dompet interaksi:
Disarankan untuk menyimpan aset dalam jumlah besar di dompet dingin, dompet interaktif hanya menyimpan sejumlah kecil dana, dapat secara signifikan mengurangi potensi kerugian.
Batasi otorisasi atau pembatalan otorisasi kontrak Permit2:
Saat melakukan Swap, hanya berikan otorisasi untuk jumlah yang diperlukan. Meskipun meningkatkan biaya interaksi, tetapi dapat menghindari risiko phishing tanda tangan Permit2. Pengguna yang telah memberikan otorisasi dapat membatalkan otorisasi menggunakan plugin keamanan.
Identifikasi apakah token mendukung fungsi permit:
Perhatikan apakah token yang Anda miliki mendukung fungsi ini, jika mendukung perlu berhati-hati dalam melakukan transaksi, periksa tanda tangan yang tidak diketahui dengan ketat.
Menyusun rencana penyelamatan aset yang komprehensif:
Jika Anda menemukan bahwa Anda telah menjadi korban penipuan tetapi platform lain masih memiliki token, perlu berhati-hati saat menarik dan mentransfer. Hacker mungkin memantau saldo alamat secara real-time, disarankan untuk menggunakan transfer MEV atau mencari bantuan dari perusahaan keamanan profesional.
Mungkin akan ada lebih banyak phishing berbasis Permit2 di masa depan, cara phishing dengan tanda tangan ini terselubung dan sulit untuk dicegah. Dengan meluasnya penerapan Permit2, alamat yang terpapar risiko akan meningkat. Semoga pembaca menyebarkan artikel ini, untuk menghindari lebih banyak orang mengalami kerugian.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
9 Suka
Hadiah
9
4
Bagikan
Komentar
0/400
GmGmNoGn
· 4jam yang lalu
Tanda tangan adalah perangkap
Lihat AsliBalas0
NFTArchaeologis
· 4jam yang lalu
Pelajaran dari situs yang ditinggalkan oleh era kebiadaban digital, kerentanan Plato System tahun 1970 mengajarkan kita tentang nilai keamanan.
Lihat AsliBalas0
FlippedSignal
· 4jam yang lalu
Sekarang siapa yang bisa menahan ini?
Lihat AsliBalas0
AirdropHunterWang
· 4jam yang lalu
Tanda tangan harus hati-hati, ingin mendapatkan uang tapi takut ditipu.
Penipuan baru terkait tanda tangan Permit2, harap berhati-hati saat bertransaksi
Mengungkap Penipuan Tanda Tangan Permit2 Uniswap
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pengembang proyek, sifat kode yang sumber terbuka membuat mereka cemas, takut ada celah yang menyebabkan insiden keamanan. Bagi individu, kurangnya pemahaman tentang arti dari suatu operasi dapat menyebabkan risiko kehilangan aset setiap kali berinteraksi atau menandatangani di blockchain. Masalah keamanan telah menjadi salah satu poin sakit di dunia kripto, dan sifat blockchain membuat pencurian aset hampir tidak dapat dipulihkan, sehingga memiliki pengetahuan keamanan menjadi sangat penting.
Belakangan ini, sebuah metode phishing baru mulai aktif, yang hanya memerlukan tanda tangan untuk menyebabkan pencurian aset, metode ini sulit terdeteksi dan dicegah. Alamat yang pernah berinteraksi dengan DEX tertentu mungkin menghadapi risiko. Artikel ini akan menganalisis metode phishing tanda tangan ini untuk menghindari kerugian aset lebih lanjut.
Kronologi kejadian
Seorang teman ( Xiao A ) mencari bantuan setelah aset dompetnya dicuri. Berbeda dengan cara pencurian yang umum, Xiao A tidak membocorkan kunci privatnya dan tidak berinteraksi dengan kontrak situs phishing.
Investigasi menemukan bahwa USDT milik A kecil dipindahkan melalui fungsi Transfer From. Ini berarti alamat lain yang melakukan transfer Token, bukan kebocoran kunci pribadi dompet.
Detail transaksi menunjukkan:
Pertanyaan kunci adalah: bagaimana cara mendapatkan hak aset di alamat fd51? Mengapa terkait dengan DEX tertentu?
Investigasi lebih lanjut menemukan bahwa alamat fd51 melakukan operasi Permit sebelum memindahkan aset, kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari suatu DEX.
Permit2 adalah kontrak baru yang diluncurkan oleh suatu DEX pada akhir tahun 2022, yang memungkinkan berbagi dan pengelolaan otorisasi token antar aplikasi, bertujuan untuk memberikan pengalaman pengguna yang lebih terintegrasi, biaya rendah, dan aman.
Permit2 berfungsi sebagai perantara antara pengguna dan DApp, pengguna hanya perlu memberikan otorisasi kepada kontrak Permit2, semua DApp yang terintegrasi dengan Permit2 dapat berbagi batasan otorisasi. Ini mengurangi biaya interaksi dan meningkatkan pengalaman pengguna, tetapi juga dapat menjadi pedang bermata dua.
Permit2 mengubah operasi pengguna menjadi tanda tangan off-chain, sementara operasi on-chain dilakukan oleh peran perantara. Ini memungkinkan pengguna tanpa ETH untuk membayar Gas dengan Token lain atau sepenuhnya bebas Gas.
Namun, tanda tangan di luar rantai adalah bagian yang paling mudah diabaikan oleh pengguna. Banyak orang tidak akan memeriksa atau memahami isi tanda tangan dengan seksama, dan inilah yang paling berbahaya.
Untuk memicu teknik phishing ini, prasyarat kuncinya adalah dompet harus memberikan otorisasi Token kepada kontrak Permit2. Saat ini, hanya dengan mengintegrasikan DApp Permit2 atau melakukan Swap di DEX tertentu, otorisasi ini diperlukan.
Yang lebih menakutkan adalah, tidak peduli berapa jumlah Swap, kontrak Permit2 dari suatu DEX secara default meminta otorisasi untuk semua saldo. Meskipun dompet akan memberi tahu untuk memasukkan jumlah secara kustom, banyak orang mungkin langsung memilih nilai maksimum atau default, dan nilai default Permit2 adalah batas tanpa batas.
Ini berarti, pengguna yang berinteraksi dengan DEX tertentu dan memberikan izin pada kontrak Permit2 setelah tahun 2023 mungkin menghadapi risiko.
Hacker menggunakan fungsi Permit, untuk memindahkan batas Token yang diberikan kepada kontrak Permit2 melalui tanda tangan korban. Selama mendapatkan tanda tangan, hacker dapat memindahkan aset korban.
bagaimana cara mencegah?
Pemisahan dompet aset dan dompet interaksi: Disarankan untuk menyimpan aset dalam jumlah besar di dompet dingin, dompet interaktif hanya menyimpan sejumlah kecil dana, dapat secara signifikan mengurangi potensi kerugian.
Batasi otorisasi atau pembatalan otorisasi kontrak Permit2: Saat melakukan Swap, hanya berikan otorisasi untuk jumlah yang diperlukan. Meskipun meningkatkan biaya interaksi, tetapi dapat menghindari risiko phishing tanda tangan Permit2. Pengguna yang telah memberikan otorisasi dapat membatalkan otorisasi menggunakan plugin keamanan.
Identifikasi apakah token mendukung fungsi permit: Perhatikan apakah token yang Anda miliki mendukung fungsi ini, jika mendukung perlu berhati-hati dalam melakukan transaksi, periksa tanda tangan yang tidak diketahui dengan ketat.
Menyusun rencana penyelamatan aset yang komprehensif: Jika Anda menemukan bahwa Anda telah menjadi korban penipuan tetapi platform lain masih memiliki token, perlu berhati-hati saat menarik dan mentransfer. Hacker mungkin memantau saldo alamat secara real-time, disarankan untuk menggunakan transfer MEV atau mencari bantuan dari perusahaan keamanan profesional.
Mungkin akan ada lebih banyak phishing berbasis Permit2 di masa depan, cara phishing dengan tanda tangan ini terselubung dan sulit untuk dicegah. Dengan meluasnya penerapan Permit2, alamat yang terpapar risiko akan meningkat. Semoga pembaca menyebarkan artikel ini, untuk menghindari lebih banyak orang mengalami kerugian.