Раскрытие мошенничества с подписывать фишингом Permit2 Uniswap
Хакеры являются пугающим существом в экосистеме Web3. Для команд проектов открытый исходный код вызывает страх, так как они боятся, что уязвимости могут привести к инцидентам безопасности. Для личных пользователей незнание значений операций может привести к риску кражи активов при каждом взаимодействии или подписании в блокчейне. Проблемы безопасности всегда были одной из главных болей криптомира, и особенности блокчейна делают кражу активов практически невозможной для возврата, поэтому наличие знаний в области безопасности особенно важно.
В последнее время активизировался новый способ фишинга, который может привести к краже активов всего лишь с помощью подписи, и этот метод скрыт и труден для предотвращения. Адреса, которые использовали взаимодействие с некоторыми DEX, могут подвергаться риску. В этой статье будет проведен анализ этого метода фишинга с подписями, чтобы избежать дальнейших потерь активов.
Ход событий
Один друг ( маленький А ) после кражи активов из кошелька ищет помощи. В отличие от обычных способов кражи, маленький А не разглашал личный ключ и не взаимодействовал с контрактами фишингового сайта.
Расследование показало, что USDT маленького A был переведен с помощью функции Transfer From. Это означает, что другой адрес выполнил перевод токена, а не утечка приватного ключа кошелька.
Детали сделки показывают:
адрес с окончанием fd51 перевёл активы маленького A на адрес с окончанием a0c8
Взаимодействие с контрактом Permit2 на определенном DEX
Ключевой вопрос: как адрес fd51 получить права на активы? Почему это связано с некоторой DEX?
Дальнейшее расследование показало, что адрес fd51 выполнил операцию Permit перед перемещением активов, и оба действия взаимодействовали с контрактом Permit2 какого-то DEX.
Permit2 — это новый контракт, выпущенный некоторой DEX в конце 2022 года, который позволяет совместно использовать и управлять авторизацией токенов между приложениями, с целью предоставления более унифицированного, недорогого и безопасного пользовательского опыта.
Permit2 как посредник между пользователем и DApp, пользователю нужно только предоставить разрешение контракту Permit2, все DApp, интегрированные с Permit2, могут делиться разрешенной суммой. Это снижает затраты на взаимодействие и повышает пользовательский опыт, но также может стать двусторонним мечом.
Permit2 преобразует действия пользователей в подписи вне цепи, а операции в цепи выполняются посреднической стороной. Это позволяет пользователям без ETH использовать другие токены для оплаты газа или полностью освобождаться от газа.
Однако подпись вне цепочки — это этап, который пользователи чаще всего игнорируют. Многие не проверяют и не понимают содержание подписи, что и является самой опасной частью.
Чтобы активировать этот метод фишинга, ключевое условие заключается в том, что кошелек должен авторизовать токен для контракта Permit2. В настоящее время для выполнения свопа на DApp или DEX, интегрирующем Permit2, требуется эта авторизация.
Более того, независимо от суммы Swap, контракт Permit2 на определенном DEX по умолчанию запрашивает авторизацию на весь баланс. Хотя кошелек предлагает возможность ввести пользовательскую сумму, большинство людей, возможно, просто выберут максимальное или значение по умолчанию, а значение по умолчанию для Permit2 — это неограниченный лимит.
Это означает, что пользователи, взаимодействующие с некоторыми DEX и авторизующие контракт Permit2 после 2023 года, могут столкнуться с рисками.
Хакеры используют функцию Permit, чтобы через подпись жертвы передать лимит токенов, разрешенных контракту Permit2. Как только они получают подпись, хакеры могут перенести активы жертвы.
Как предотвратить?
Понимание и распознавание содержания подписи:
Научитесь распознавать формат подписи Permit, который включает ключевую информацию, такую как Owner, Spender, value, nonce и deadline. Использование безопасных плагинов помогает в распознавании.
Разделение кошелька активов и интерактивного кошелька:
Рекомендуется хранить значительные активы в холодном кошельке, а в интерактивном кошельке оставлять лишь небольшую сумму, что может значительно снизить потенциальные потери.
Ограничение на разрешение или отмену разрешения контракта Permit2:
При выполнении Swap авторизуйте только необходимую сумму. Хотя это увеличивает затраты на взаимодействие, но позволяет избежать рисков фишинга с подписью Permit2. Пользователи, которые уже авторизовали, могут отменить авторизацию с помощью безопасного плагина.
Определите, поддерживает ли токен функцию разрешения:
Обратите внимание, поддерживают ли ваши токены эту функцию; если поддерживают, будьте особенно осторожны при торговых операциях и строго проверяйте неизвестные подписи.
Разработка完善ного плана спасения активов:
Если вы обнаружили, что стали жертвой промывания глаз, но на других платформах все еще есть токены, будьте осторожны при их выводе и переносе. Хакеры могут в реальном времени отслеживать баланс адреса, рекомендуется использовать MEV-передачу или обратиться за помощью к профессиональной безопасности.
В будущем количество фишинга на основе Permit2 может увеличиться, этот способ фишинга с использованием подписи скрыт и трудно предотвратить. С расширением применения Permit2 количество адресов, подверженных риску, будет расти. Надеюсь, читатели распространят эту статью, чтобы избежать больших потерь для людей.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
4
Поделиться
комментарий
0/400
GmGmNoGn
· 23ч назад
Подпись - это ловушка
Посмотреть ОригиналОтветить0
NFTArchaeologis
· 23ч назад
Уроки, оставленные руинами цифровой варварской эпохи, научили нас ценности безопасности, которую продемонстрировала уязвимость системы Plato в 1970 году.
Посмотреть ОригиналОтветить0
FlippedSignal
· 23ч назад
Кто сейчас это выдержит?
Посмотреть ОригиналОтветить0
AirdropHunterWang
· 23ч назад
Подписывайтесь осторожно, хотите заработать деньги, но боитесь быть обманутыми.
Подделка подписи Permit2 - новое промывание глаз. Будьте осторожны при сделках.
Раскрытие мошенничества с подписывать фишингом Permit2 Uniswap
Хакеры являются пугающим существом в экосистеме Web3. Для команд проектов открытый исходный код вызывает страх, так как они боятся, что уязвимости могут привести к инцидентам безопасности. Для личных пользователей незнание значений операций может привести к риску кражи активов при каждом взаимодействии или подписании в блокчейне. Проблемы безопасности всегда были одной из главных болей криптомира, и особенности блокчейна делают кражу активов практически невозможной для возврата, поэтому наличие знаний в области безопасности особенно важно.
В последнее время активизировался новый способ фишинга, который может привести к краже активов всего лишь с помощью подписи, и этот метод скрыт и труден для предотвращения. Адреса, которые использовали взаимодействие с некоторыми DEX, могут подвергаться риску. В этой статье будет проведен анализ этого метода фишинга с подписями, чтобы избежать дальнейших потерь активов.
Ход событий
Один друг ( маленький А ) после кражи активов из кошелька ищет помощи. В отличие от обычных способов кражи, маленький А не разглашал личный ключ и не взаимодействовал с контрактами фишингового сайта.
Расследование показало, что USDT маленького A был переведен с помощью функции Transfer From. Это означает, что другой адрес выполнил перевод токена, а не утечка приватного ключа кошелька.
Детали сделки показывают:
Ключевой вопрос: как адрес fd51 получить права на активы? Почему это связано с некоторой DEX?
Дальнейшее расследование показало, что адрес fd51 выполнил операцию Permit перед перемещением активов, и оба действия взаимодействовали с контрактом Permit2 какого-то DEX.
Permit2 — это новый контракт, выпущенный некоторой DEX в конце 2022 года, который позволяет совместно использовать и управлять авторизацией токенов между приложениями, с целью предоставления более унифицированного, недорогого и безопасного пользовательского опыта.
Permit2 как посредник между пользователем и DApp, пользователю нужно только предоставить разрешение контракту Permit2, все DApp, интегрированные с Permit2, могут делиться разрешенной суммой. Это снижает затраты на взаимодействие и повышает пользовательский опыт, но также может стать двусторонним мечом.
Permit2 преобразует действия пользователей в подписи вне цепи, а операции в цепи выполняются посреднической стороной. Это позволяет пользователям без ETH использовать другие токены для оплаты газа или полностью освобождаться от газа.
Однако подпись вне цепочки — это этап, который пользователи чаще всего игнорируют. Многие не проверяют и не понимают содержание подписи, что и является самой опасной частью.
Чтобы активировать этот метод фишинга, ключевое условие заключается в том, что кошелек должен авторизовать токен для контракта Permit2. В настоящее время для выполнения свопа на DApp или DEX, интегрирующем Permit2, требуется эта авторизация.
Более того, независимо от суммы Swap, контракт Permit2 на определенном DEX по умолчанию запрашивает авторизацию на весь баланс. Хотя кошелек предлагает возможность ввести пользовательскую сумму, большинство людей, возможно, просто выберут максимальное или значение по умолчанию, а значение по умолчанию для Permit2 — это неограниченный лимит.
Это означает, что пользователи, взаимодействующие с некоторыми DEX и авторизующие контракт Permit2 после 2023 года, могут столкнуться с рисками.
Хакеры используют функцию Permit, чтобы через подпись жертвы передать лимит токенов, разрешенных контракту Permit2. Как только они получают подпись, хакеры могут перенести активы жертвы.
Как предотвратить?
Разделение кошелька активов и интерактивного кошелька: Рекомендуется хранить значительные активы в холодном кошельке, а в интерактивном кошельке оставлять лишь небольшую сумму, что может значительно снизить потенциальные потери.
Ограничение на разрешение или отмену разрешения контракта Permit2: При выполнении Swap авторизуйте только необходимую сумму. Хотя это увеличивает затраты на взаимодействие, но позволяет избежать рисков фишинга с подписью Permit2. Пользователи, которые уже авторизовали, могут отменить авторизацию с помощью безопасного плагина.
Определите, поддерживает ли токен функцию разрешения: Обратите внимание, поддерживают ли ваши токены эту функцию; если поддерживают, будьте особенно осторожны при торговых операциях и строго проверяйте неизвестные подписи.
Разработка完善ного плана спасения активов: Если вы обнаружили, что стали жертвой промывания глаз, но на других платформах все еще есть токены, будьте осторожны при их выводе и переносе. Хакеры могут в реальном времени отслеживать баланс адреса, рекомендуется использовать MEV-передачу или обратиться за помощью к профессиональной безопасности.
В будущем количество фишинга на основе Permit2 может увеличиться, этот способ фишинга с использованием подписи скрыт и трудно предотвратить. С расширением применения Permit2 количество адресов, подверженных риску, будет расти. Надеюсь, читатели распространят эту статью, чтобы избежать больших потерь для людей.