كشف النقاب عن خدعة توقيع الصيد الجديدة: عقد Uniswap Permit2 يصبح جنة هاكر
في نظام Web3 البيئي، كانت مسائل الأمان دائمًا مصدر قلق كبير. مؤخرًا، بدأت تقنية جديدة للاختراق باستخدام عقد Uniswap Permit2 في الظهور، مما يثير القلق بسبب سريتها وخطورتها. ستقوم هذه المقالة بتحليل مبادئ هذا التضليل وإجراءات الوقاية منه بالتفصيل.
سير الأحداث
مؤخراً، أبلغ بعض المستخدمين عن سرقة أصولهم، ولكنهم لم يكشفوا عن مفاتيحهم الخاصة أو يتفاعلوا مع عقود مشبوهة. أظهرت التحقيقات أن الأصول المسروقة تم نقلها من خلال دالة Transfer From، وأن العملية كانت مرتبطة بعقد Permit2 الخاص بـ Uniswap.
Permit2 هو عقد جديد أطلقته Uniswap في أواخر عام 2022، يهدف إلى توفير تجربة إدارة تفويض الرموز أكثر توحيدًا وكفاءة وأمانًا. إنه يسمح للمستخدمين بتفويض عقد Permit2 مرة واحدة فقط، مما يمكنهم من مشاركة حد التفويض عبر تطبيقات متعددة تدمج هذا العقد، مما يقلل بشكل كبير من تكلفة تفاعل المستخدم.
ومع ذلك، فإن هذه السهولة تأتي مع مخاطر محتملة. يقوم Permit2 بتحويل تفاعلات المستخدم من العمليات على السلسلة إلى التوقيع خارج السلسلة، حيث يكون قسم التوقيع غالبًا هو المكان الذي يتجاهله المستخدمون بسهولة.
هاكر يستخدم دالة Permit لعقد Permit2 في عملية تضليل. تتيح هذه الدالة للمستخدمين تفويض الآخرين لاستخدام رموزهم من خلال التوقيع. يقوم المهاجم بإغراء المستخدمين لتوقيع رسائل تبدو غير ضارة، ولكن في الواقع، فإنهم يخولون المهاجم للتصرف في أصول المستخدم.
بمجرد الحصول على التوقيع، يمكن للمهاجم استدعاء الوظائف ذات الصلة بعقد Permit2، وتحويل الحد المسموح به من الرموز المميزة التي منحها المستخدم إلى Permit2 إلى نفسه، وبالتالي سرقة أصول المستخدم.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
عقد Uniswap Permit2 يصبح هدفًا جديدًا للهاكر: تفاصيل عملية الاحتيال بالتوقيع وطرق الحماية منها
كشف النقاب عن خدعة توقيع الصيد الجديدة: عقد Uniswap Permit2 يصبح جنة هاكر
في نظام Web3 البيئي، كانت مسائل الأمان دائمًا مصدر قلق كبير. مؤخرًا، بدأت تقنية جديدة للاختراق باستخدام عقد Uniswap Permit2 في الظهور، مما يثير القلق بسبب سريتها وخطورتها. ستقوم هذه المقالة بتحليل مبادئ هذا التضليل وإجراءات الوقاية منه بالتفصيل.
سير الأحداث
مؤخراً، أبلغ بعض المستخدمين عن سرقة أصولهم، ولكنهم لم يكشفوا عن مفاتيحهم الخاصة أو يتفاعلوا مع عقود مشبوهة. أظهرت التحقيقات أن الأصول المسروقة تم نقلها من خلال دالة Transfer From، وأن العملية كانت مرتبطة بعقد Permit2 الخاص بـ Uniswap.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp)
تحليل عقد Uniswap Permit2
Permit2 هو عقد جديد أطلقته Uniswap في أواخر عام 2022، يهدف إلى توفير تجربة إدارة تفويض الرموز أكثر توحيدًا وكفاءة وأمانًا. إنه يسمح للمستخدمين بتفويض عقد Permit2 مرة واحدة فقط، مما يمكنهم من مشاركة حد التفويض عبر تطبيقات متعددة تدمج هذا العقد، مما يقلل بشكل كبير من تكلفة تفاعل المستخدم.
ومع ذلك، فإن هذه السهولة تأتي مع مخاطر محتملة. يقوم Permit2 بتحويل تفاعلات المستخدم من العمليات على السلسلة إلى التوقيع خارج السلسلة، حيث يكون قسم التوقيع غالبًا هو المكان الذي يتجاهله المستخدمون بسهولة.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp)
شرح طرق الاحتيال
هاكر يستخدم دالة Permit لعقد Permit2 في عملية تضليل. تتيح هذه الدالة للمستخدمين تفويض الآخرين لاستخدام رموزهم من خلال التوقيع. يقوم المهاجم بإغراء المستخدمين لتوقيع رسائل تبدو غير ضارة، ولكن في الواقع، فإنهم يخولون المهاجم للتصرف في أصول المستخدم.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp)
بمجرد الحصول على التوقيع، يمكن للمهاجم استدعاء الوظائف ذات الصلة بعقد Permit2، وتحويل الحد المسموح به من الرموز المميزة التي منحها المستخدم إلى Permit2 إلى نفسه، وبالتالي سرقة أصول المستخدم.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp)
تدابير الحماية
! [التوقيع مسروق؟] إزالة الغموض عن Uniswap Permit2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp)
استخدم استراتيجية فصل المحفظة الساخنة والباردة، وضع الأصول الكبيرة في المحفظة الباردة لتقليل مخاطر السرقة.
عند تفويض عقد Permit2، قم بتفويض المبلغ المطلوب فقط لتجنب تفويض مبلغ زائد.
تعرف على ما إذا كانت الرموز التي تملكها تدعم وظيفة التفويض، وكن حذرًا عند التعامل مع الرموز التي تدعم هذه الوظيفة.
إذا تم سرقتك للأسف، يجب وضع خطة إنقاذ أصول شاملة، ويمكن النظر في استخدام التحويل MEV أو طلب مساعدة فريق أمان محترف.
مع توسع نطاق تطبيق Permit2، قد تزداد هجمات التصيد القائمة عليه. يجب على المستخدمين توخي الحذر والتحقق بعناية من كل طلب توقيع لحماية أصولهم.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp)