# Uniswap Permit2 Signature フィッシング詐欺の謎を解くハッカーはWeb3エコシステムにおいて恐ろしい存在です。プロジェクト側にとって、コードのオープンソース特性は彼らを震え上がらせ、脆弱性が発生して安全事故が起こるのを恐れています。個人にとっては、操作の意味を理解していないと、毎回のオンチェーンインタラクションや署名において資産が盗まれるリスクがあります。安全性の問題は暗号の世界での痛点の一つであり、ブロックチェーンの特性により資産が盗まれるとほぼ回収不可能であるため、安全に関する知識を持つことが特に重要です。最近、新しいフィッシング手法が活発化しており、署名するだけで資産が盗まれる可能性があります。この手法は隠密で防ぎにくいです。特定のDEXとやり取りをしたアドレスは、リスクにさらされる可能性があります。本記事では、この署名フィッシング手法について分析し、さらなる資産の損失を防ぐための対策を講じます。###イベント友人(小A)が財布の資産を盗まれた後、助けを求めています。一般的な盗難の方法とは異なり、小Aはプライベートキーを漏らさず、フィッシングサイトの契約とも相互作用していません。調査によると、小AのUSDTはTransfer From関数を通じて移転されました。これは、別のアドレスがトークンを移転したことを意味し、ウォレットの秘密鍵が漏れたわけではありません。トランザクションの詳細には、次の情報が表示されます。- 尾号fd51アドレスから小A資産を尾号a0c8アドレスに移転します- DEXのPermit2コントラクトとのインタラクション重要な問題は: fd51アドレスが資産の権限をどのように取得するのか? なぜ特定のDEXに関連しているのか?さらに調査したところ、fd51アドレスは資産移転前にPermit操作を行い、両方の操作はあるDEXのPermit2契約と相互作用していました。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0cc586809f131d9dfab81df33fd1835e)Permit2は、あるDEXが2022年末に導入した新しい契約で、アプリ間でトークンの承認を共有および管理することを可能にし、より統一された、低コストで安全なユーザーエクスペリエンスを提供することを目指しています。Permit2はユーザーとDAppの間の仲介者として機能し、ユーザーはPermit2コントラクトにのみ権限を付与する必要があります。これにより、Permit2を統合したすべてのDAppが権限の限度を共有できます。これにより、インタラクションコストが削減され、ユーザー体験が向上しますが、同時に二刀流の剣になる可能性もあります。Permit2はユーザーの操作をオフチェーン署名に変え、オンチェーン操作は中間者によって行われます。これにより、ETHを持たないユーザーでも他のトークンでガスを支払ったり、完全にガスを免除されたりすることが可能になります。しかし、オフチェーン署名はユーザーが最も見落としがちな部分です。多くの人は署名の内容を注意深く確認したり理解したりしませんが、これが最も危険な点です。このフィッシング手法を発動させるための重要な前提は、ウォレットがPermit2コントラクトにトークンを承認する必要があることです。現在、Permit2を統合したDAppやDEXでスワップする際には、この承認が必要です。さらに恐ろしいことに、Swapの金額に関わらず、あるDEXのPermit2契約はデフォルトで全残高の権限を要求します。ウォレットはカスタム入力金額を提示しますが、多くの人は最大またはデフォルト値を直接選択するかもしれません。そして、Permit2のデフォルト値は無制限の額です。これは、2023年以降に特定のDEXと相互作用し、Permit2契約を承認したユーザーがリスクに直面する可能性があることを意味します。ハッカーはPermit関数を利用して、被害者の署名を通じてPermit2コントラクトへのトークンの許可額を移転します。署名を取得する限り、ハッカーは被害者の資産を移転できるのです。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-bb348691082594ecc577f91d7f9dc800)### どのように防ぐか?1. サイン内容を理解し、識別する:Permitサイン形式を識別することを学び、Owner、Spender、value、nonce、deadlineなどの重要な情報を含める。安全なプラグインを使用することで識別に役立ちます。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-30520c8399a6ee69aa22424476c5870c)2. アセットウォレットとインタラクティブウォレットの分離:大量の資産はコールドウォレットに保管し、インタラクティブウォレットには少量の資金のみを保持することをお勧めします。これにより、潜在的な損失を大幅に減少させることができます。3. Permit2コントラクトの承認または承認の取り消しの制限:Swapを行う際は、必要な金額のみを承認してください。インタラクションコストは増加しますが、Permit2の署名フィッシングリスクを回避できます。承認されたユーザーは、安全プラグインを使用して承認を取り消すことができます。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-730db044a34a8dc242f04cf8ae4d394c)4. トークンがpermit機能をサポートしているかを識別する:保有しているトークンがその機能をサポートしているかどうかに注意してください。サポートしている場合は、取引操作に特に注意し、未知の署名を厳密に確認する必要があります。5.堅牢な資産救済計画を策定します。詐欺に遭った場合でも、他のプラットフォームにトークンが残っている場合は、慎重に引き出しや移動を行う必要があります。ハッカーはアドレスの残高をリアルタイムで監視している可能性があるため、MEV移転を利用するか、専門のセキュリティ会社に支援を求めることをお勧めします。未来Permit2に基づくフィッシングが増加する可能性があり、この署名フィッシング手法は隠密で防ぎにくいです。Permit2の適用範囲が拡大するにつれて、リスクにさらされるアドレスが増加します。読者がこの記事を広め、より多くの人々が損失を被らないことを願っています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-610abe28375ce9ad0e08e0ff1f483c1d)
Permit2サインフィッシング新目薬 取引は慎重に
Uniswap Permit2 Signature フィッシング詐欺の謎を解く
ハッカーはWeb3エコシステムにおいて恐ろしい存在です。プロジェクト側にとって、コードのオープンソース特性は彼らを震え上がらせ、脆弱性が発生して安全事故が起こるのを恐れています。個人にとっては、操作の意味を理解していないと、毎回のオンチェーンインタラクションや署名において資産が盗まれるリスクがあります。安全性の問題は暗号の世界での痛点の一つであり、ブロックチェーンの特性により資産が盗まれるとほぼ回収不可能であるため、安全に関する知識を持つことが特に重要です。
最近、新しいフィッシング手法が活発化しており、署名するだけで資産が盗まれる可能性があります。この手法は隠密で防ぎにくいです。特定のDEXとやり取りをしたアドレスは、リスクにさらされる可能性があります。本記事では、この署名フィッシング手法について分析し、さらなる資産の損失を防ぐための対策を講じます。
###イベント
友人(小A)が財布の資産を盗まれた後、助けを求めています。一般的な盗難の方法とは異なり、小Aはプライベートキーを漏らさず、フィッシングサイトの契約とも相互作用していません。
調査によると、小AのUSDTはTransfer From関数を通じて移転されました。これは、別のアドレスがトークンを移転したことを意味し、ウォレットの秘密鍵が漏れたわけではありません。
トランザクションの詳細には、次の情報が表示されます。
重要な問題は: fd51アドレスが資産の権限をどのように取得するのか? なぜ特定のDEXに関連しているのか?
さらに調査したところ、fd51アドレスは資産移転前にPermit操作を行い、両方の操作はあるDEXのPermit2契約と相互作用していました。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Permit2は、あるDEXが2022年末に導入した新しい契約で、アプリ間でトークンの承認を共有および管理することを可能にし、より統一された、低コストで安全なユーザーエクスペリエンスを提供することを目指しています。
Permit2はユーザーとDAppの間の仲介者として機能し、ユーザーはPermit2コントラクトにのみ権限を付与する必要があります。これにより、Permit2を統合したすべてのDAppが権限の限度を共有できます。これにより、インタラクションコストが削減され、ユーザー体験が向上しますが、同時に二刀流の剣になる可能性もあります。
Permit2はユーザーの操作をオフチェーン署名に変え、オンチェーン操作は中間者によって行われます。これにより、ETHを持たないユーザーでも他のトークンでガスを支払ったり、完全にガスを免除されたりすることが可能になります。
しかし、オフチェーン署名はユーザーが最も見落としがちな部分です。多くの人は署名の内容を注意深く確認したり理解したりしませんが、これが最も危険な点です。
このフィッシング手法を発動させるための重要な前提は、ウォレットがPermit2コントラクトにトークンを承認する必要があることです。現在、Permit2を統合したDAppやDEXでスワップする際には、この承認が必要です。
さらに恐ろしいことに、Swapの金額に関わらず、あるDEXのPermit2契約はデフォルトで全残高の権限を要求します。ウォレットはカスタム入力金額を提示しますが、多くの人は最大またはデフォルト値を直接選択するかもしれません。そして、Permit2のデフォルト値は無制限の額です。
これは、2023年以降に特定のDEXと相互作用し、Permit2契約を承認したユーザーがリスクに直面する可能性があることを意味します。
ハッカーはPermit関数を利用して、被害者の署名を通じてPermit2コントラクトへのトークンの許可額を移転します。署名を取得する限り、ハッカーは被害者の資産を移転できるのです。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
どのように防ぐか?
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
アセットウォレットとインタラクティブウォレットの分離: 大量の資産はコールドウォレットに保管し、インタラクティブウォレットには少量の資金のみを保持することをお勧めします。これにより、潜在的な損失を大幅に減少させることができます。
Permit2コントラクトの承認または承認の取り消しの制限: Swapを行う際は、必要な金額のみを承認してください。インタラクションコストは増加しますが、Permit2の署名フィッシングリスクを回避できます。承認されたユーザーは、安全プラグインを使用して承認を取り消すことができます。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
5.堅牢な資産救済計画を策定します。 詐欺に遭った場合でも、他のプラットフォームにトークンが残っている場合は、慎重に引き出しや移動を行う必要があります。ハッカーはアドレスの残高をリアルタイムで監視している可能性があるため、MEV移転を利用するか、専門のセキュリティ会社に支援を求めることをお勧めします。
未来Permit2に基づくフィッシングが増加する可能性があり、この署名フィッシング手法は隠密で防ぎにくいです。Permit2の適用範囲が拡大するにつれて、リスクにさらされるアドレスが増加します。読者がこの記事を広め、より多くの人々が損失を被らないことを願っています。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く