Revelando o esquema de phishing da assinatura Permit2 do Uniswap
Os hackers são uma presença temível no ecossistema Web3. Para as equipes de projeto, a característica de código aberto os faz ficar apreensivos, com medo de que uma vulnerabilidade cause um acidente de segurança. Para os indivíduos, não entender o significado das operações pode resultar em risco de roubo de ativos a cada interação ou assinatura na blockchain. As questões de segurança sempre foram uma das principais preocupações no mundo das criptomoedas, e as características da blockchain tornam quase impossível recuperar ativos roubados, por isso é especialmente importante ter conhecimentos de segurança.
Recentemente, uma nova técnica de phishing começou a se espalhar, que pode levar ao roubo de ativos apenas com uma assinatura, sendo difícil de detectar. Qualquer endereço que tenha interagido com algum DEX pode estar em risco. Este artigo analisará essa técnica de phishing por assinatura para evitar mais perdas de ativos.
Descrição do evento
Um amigo (, o pequeno A ), procurou ajuda após ter os ativos da sua carteira roubados. Ao contrário das formas comuns de roubo, o pequeno A não divulgou a chave privada nem interagiu com contratos de sites de phishing.
A investigação revelou que o USDT de A foi transferido através da função Transfer From. Isso significa que outro endereço operou a transferência do Token, e não a divulgação da chave privada da carteira.
Detalhes da transação mostram:
O endereço com final fd51 transferiu os ativos de Xiao A para o endereço com final a0c8
Interação com o contrato Permit2 de um DEX
A questão chave é: como o endereço fd51 obtém permissões de ativos? Por que está relacionado a um DEX?
Uma investigação mais aprofundada revelou que o endereço fd51 realizou uma operação de Permit antes de transferir ativos, e ambas as operações interagiram com o contrato Permit2 de um DEX.
Permit2 é um novo contrato lançado por uma DEX no final de 2022, que permite o compartilhamento e gerenciamento de autorizações de tokens entre aplicações, com o objetivo de oferecer uma experiência de usuário mais unificada, de baixo custo e segura.
Permit2, como intermediário entre o usuário e o DApp, permite que o usuário apenas autorize o contrato Permit2, e todos os DApps que integram o Permit2 podem compartilhar o limite de autorização. Isso reduz o custo de interação e melhora a experiência do usuário, mas também pode se tornar uma espada de dois gumes.
O Permit2 transforma as operações do usuário em assinaturas fora da cadeia, enquanto as operações na cadeia são realizadas por um intermediário. Isso permite que usuários sem ETH também possam usar outros Tokens para pagar Gas ou ficar completamente isentos de Gas.
No entanto, a assinatura off-chain é a parte mais negligenciada pelos usuários. Muitas pessoas não verificam ou entendem cuidadosamente o conteúdo da assinatura, e esse é exatamente o ponto mais perigoso.
Para ativar esta técnica de phishing, a condição chave é que a carteira deve autorizar o Token ao contrato Permit2. Atualmente, ao integrar DApps ou realizar swaps em algum DEX que utilize o Permit2, esta autorização é necessária.
Mais assustador é que, independentemente do valor do Swap, o contrato Permit2 de um determinado DEX solicita autorização para o saldo total por padrão. Embora a carteira exiba um aviso para inserir um valor personalizado, a maioria das pessoas pode optar diretamente pelo valor máximo ou pelo valor padrão, e o valor padrão do Permit2 é um limite infinito.
Isto significa que, após 2023, os utilizadores que interagirem com algum DEX e autorizarem o contrato Permit2 poderão enfrentar riscos.
Os hackers utilizam a função Permit para transferir a quota de tokens autorizada ao contrato Permit2 através da assinatura da vítima. Assim que obtiverem a assinatura, os hackers poderão transferir os ativos da vítima.
Como prevenir?
Compreender e identificar o conteúdo da assinatura:
Aprenda a reconhecer o formato da assinatura do Permito, que inclui informações-chave como Proprietário, Gastador, valor, nonce e prazo. Usar plugins de segurança ajuda na identificação.
Separação da carteira de ativos e da carteira de interação:
Recomenda-se armazenar uma grande quantidade de ativos em carteiras frias, mantendo apenas uma pequena quantia em carteiras de interação, o que pode reduzir significativamente as perdas potenciais.
Restringir a autorização ou revogação de autorização do contrato Permit2:
Ao realizar o Swap, autorize apenas o montante necessário. Embora aumente o custo de interação, pode evitar o risco de phishing de assinatura do Permit2. Os usuários autorizados podem usar um plugin seguro para revogar a autorização.
Identificar se o token suporta a funcionalidade permit:
Preste atenção se os tokens que possui suportam essa função, se suportarem, é necessário ter cuidado redobrado nas operações de negociação, e verificar rigorosamente assinaturas desconhecidas.
Elaborar um plano de salvação de ativos completo:
Se descobrir que foi enganado, mas ainda há tokens em outras plataformas, deve ser cauteloso ao retirar e transferir. Hackers podem monitorar em tempo real o saldo do endereço, recomenda-se usar transferência MEV ou procurar assistência de uma empresa de segurança profissional.
O phishing baseado no Permit2 pode aumentar no futuro, uma vez que este método de phishing por assinatura é discreto e difícil de prevenir. Com a expansão da aplicação do Permit2, o número de endereços expostos ao risco aumentará. Esperamos que os leitores compartilhem este artigo para evitar que mais pessoas sofram perdas.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
9 Curtidas
Recompensa
9
4
Compartilhar
Comentário
0/400
GmGmNoGn
· 15h atrás
Assinar é uma armadilha
Ver originalResponder0
NFTArchaeologis
· 15h atrás
As lições das ruínas deixadas pela era da barbárie digital, o bug do Plato System de 1970 nos ensinou o valor da segurança.
Ver originalResponder0
FlippedSignal
· 15h atrás
Agora, quem consegue aguentar isso?
Ver originalResponder0
AirdropHunterWang
· 15h atrás
A assinatura deve ser feita com cautela, quer ganhar dinheiro, mas tem medo de ser enganado.
Permit2 assinatura phishing nova lavar os olhos transações devem ser cautelosas
Revelando o esquema de phishing da assinatura Permit2 do Uniswap
Os hackers são uma presença temível no ecossistema Web3. Para as equipes de projeto, a característica de código aberto os faz ficar apreensivos, com medo de que uma vulnerabilidade cause um acidente de segurança. Para os indivíduos, não entender o significado das operações pode resultar em risco de roubo de ativos a cada interação ou assinatura na blockchain. As questões de segurança sempre foram uma das principais preocupações no mundo das criptomoedas, e as características da blockchain tornam quase impossível recuperar ativos roubados, por isso é especialmente importante ter conhecimentos de segurança.
Recentemente, uma nova técnica de phishing começou a se espalhar, que pode levar ao roubo de ativos apenas com uma assinatura, sendo difícil de detectar. Qualquer endereço que tenha interagido com algum DEX pode estar em risco. Este artigo analisará essa técnica de phishing por assinatura para evitar mais perdas de ativos.
Descrição do evento
Um amigo (, o pequeno A ), procurou ajuda após ter os ativos da sua carteira roubados. Ao contrário das formas comuns de roubo, o pequeno A não divulgou a chave privada nem interagiu com contratos de sites de phishing.
A investigação revelou que o USDT de A foi transferido através da função Transfer From. Isso significa que outro endereço operou a transferência do Token, e não a divulgação da chave privada da carteira.
Detalhes da transação mostram:
A questão chave é: como o endereço fd51 obtém permissões de ativos? Por que está relacionado a um DEX?
Uma investigação mais aprofundada revelou que o endereço fd51 realizou uma operação de Permit antes de transferir ativos, e ambas as operações interagiram com o contrato Permit2 de um DEX.
Permit2 é um novo contrato lançado por uma DEX no final de 2022, que permite o compartilhamento e gerenciamento de autorizações de tokens entre aplicações, com o objetivo de oferecer uma experiência de usuário mais unificada, de baixo custo e segura.
Permit2, como intermediário entre o usuário e o DApp, permite que o usuário apenas autorize o contrato Permit2, e todos os DApps que integram o Permit2 podem compartilhar o limite de autorização. Isso reduz o custo de interação e melhora a experiência do usuário, mas também pode se tornar uma espada de dois gumes.
O Permit2 transforma as operações do usuário em assinaturas fora da cadeia, enquanto as operações na cadeia são realizadas por um intermediário. Isso permite que usuários sem ETH também possam usar outros Tokens para pagar Gas ou ficar completamente isentos de Gas.
No entanto, a assinatura off-chain é a parte mais negligenciada pelos usuários. Muitas pessoas não verificam ou entendem cuidadosamente o conteúdo da assinatura, e esse é exatamente o ponto mais perigoso.
Para ativar esta técnica de phishing, a condição chave é que a carteira deve autorizar o Token ao contrato Permit2. Atualmente, ao integrar DApps ou realizar swaps em algum DEX que utilize o Permit2, esta autorização é necessária.
Mais assustador é que, independentemente do valor do Swap, o contrato Permit2 de um determinado DEX solicita autorização para o saldo total por padrão. Embora a carteira exiba um aviso para inserir um valor personalizado, a maioria das pessoas pode optar diretamente pelo valor máximo ou pelo valor padrão, e o valor padrão do Permit2 é um limite infinito.
Isto significa que, após 2023, os utilizadores que interagirem com algum DEX e autorizarem o contrato Permit2 poderão enfrentar riscos.
Os hackers utilizam a função Permit para transferir a quota de tokens autorizada ao contrato Permit2 através da assinatura da vítima. Assim que obtiverem a assinatura, os hackers poderão transferir os ativos da vítima.
Como prevenir?
Separação da carteira de ativos e da carteira de interação: Recomenda-se armazenar uma grande quantidade de ativos em carteiras frias, mantendo apenas uma pequena quantia em carteiras de interação, o que pode reduzir significativamente as perdas potenciais.
Restringir a autorização ou revogação de autorização do contrato Permit2: Ao realizar o Swap, autorize apenas o montante necessário. Embora aumente o custo de interação, pode evitar o risco de phishing de assinatura do Permit2. Os usuários autorizados podem usar um plugin seguro para revogar a autorização.
Identificar se o token suporta a funcionalidade permit: Preste atenção se os tokens que possui suportam essa função, se suportarem, é necessário ter cuidado redobrado nas operações de negociação, e verificar rigorosamente assinaturas desconhecidas.
Elaborar um plano de salvação de ativos completo: Se descobrir que foi enganado, mas ainda há tokens em outras plataformas, deve ser cauteloso ao retirar e transferir. Hackers podem monitorar em tempo real o saldo do endereço, recomenda-se usar transferência MEV ou procurar assistência de uma empresa de segurança profissional.
O phishing baseado no Permit2 pode aumentar no futuro, uma vez que este método de phishing por assinatura é discreto e difícil de prevenir. Com a expansão da aplicação do Permit2, o número de endereços expostos ao risco aumentará. Esperamos que os leitores compartilhem este artigo para evitar que mais pessoas sofram perdas.