لقد كانت القرصنة دائمًا واحدة من أكثر الظواهر المخيفة في نظام Web3 البيئي. بالنسبة لمطوري المشاريع، فإن خاصية المصدر المفتوح تجعلهم يشعرون كما لو كانوا يسيرون على حافة الهاوية أثناء التطوير، خوفًا من ترك ثغرات أمنية. بالنسبة للمستخدمين الأفراد، كل تفاعل أو توقيع على السلسلة يمكن أن يؤدي إلى سرقة الأصول، وإذا لم يفهموا معنى العملية، فإن ذلك يصبح أكثر خطورة. لذلك، كانت مشكلات الأمان دائمًا واحدة من أكثر القضايا تعقيدًا في عالم التشفير. نظرًا للطبيعة غير القابلة للعكس للبلوكشين، فإن الأصول المسروقة نادرًا ما يمكن استردادها، مما يبرز أهمية المعرفة الأمنية.
في الآونة الأخيرة، بدأت طريقة جديدة للاحتيال في الظهور، حيث يكفي التوقيع للتسبب في سرقة الأصول. هذه الطريقة خفية للغاية وصعبة الحماية، وقد تواجه العناوين التي تفاعلت مع Uniswap مخاطر. ستتناول هذه المقالة بالتفصيل طريقة الاحتيال بالتوقيع، بهدف تقليل خسائر الأصول للمزيد من المستخدمين.
تفاصيل الحادث
مؤخراً, تم سرقة أصول محفظة صديقي ( المعروف مؤقتاً بـ "小A)". على عكس طرق السرقة الشائعة, لم يتمكن 小A من تسريب المفتاح الخاص, ولم يتفاعل مع عقود مشبوهة. من خلال متصفح البلوكشين, يمكن رؤية أن USDT في محفظة 小A تم نقله عبر دالة Transfer From. وهذا يعني أن عنوان طرف ثالث هو الذي قام بعملية نقل الرموز, وليس تسريب المفتاح الخاص للمحفظة.
تفاصيل الصفقة تظهر:
عنوان ينتهي بالرقم fd51 سيقوم بنقل أصول 小A إلى عنوان ينتهي بالرقم a0c8
هذه العملية تتفاعل مع عقد Permit2 الخاص بمنصة التداول.
المسألة الرئيسية هي: كيف حصل عنوان ينتهي بـ fd51 على صلاحية هذا الأصل؟ ولماذا يرتبط بمنصة تداول معينة؟
أظهرت التحقيقات الإضافية أنه قبل نقل أصول A الصغيرة، تم إجراء عملية تصريح (Permit) من قبل العنوان الذي ينتهي بالرقم fd51، وكانت كائنات التفاعل في هاتين العمليتين هي عقد Permit2 الخاص بمنصة تداول معينة.
عقد Permit2 هو عقد ذكي جديد أطلقته منصة تداول في نهاية عام 2022. يسمح بتفويض الرموز لمشاركة وإدارة في تطبيقات مختلفة، ويهدف إلى خلق تجربة مستخدم أكثر توحيدًا وفعالية من حيث التكلفة وأكثر أمانًا. مع تكامل المزيد من المشاريع مع Permit2، قد يتم تحقيق معيار تفويض رموز في جميع التطبيقات، من خلال تقليل تكاليف المعاملات وتحسين تجربة المستخدم، مع تعزيز أمان العقود الذكية.
قد تؤدي ظهور Permit2 إلى تغيير قواعد اللعبة في بيئة Dapp. في الطريقة التقليدية، يحتاج المستخدم إلى منح إذن منفصل لكل تفاعل مع Dapp. بينما يمكن أن يوفر Permit2 هذه الخطوة، مما يقلل بشكل فعال من تكلفة تفاعل المستخدم ويقدم تجربة أفضل. يعمل Permit2 كوسيط بين المستخدم وDapp، حيث يحتاج المستخدم فقط إلى منح صلاحيات Token لعقد Permit2، ويمكن لجميع Dapp التي تتكامل مع هذا العقد مشاركة هذا الحد من الإذن.
ومع ذلك، فإن Permit2 هو أيضًا سلاح ذو حدين. حيث يحول عمليات المستخدم إلى توقيع خارج السلسلة، وكل العمليات على السلسلة تتم بواسطة طرف وسطي. وهذا يعني أنه يمكن للمستخدمين استخدام رموز أخرى لدفع رسوم الغاز حتى لو لم يكن لديهم ETH في محفظتهم، أو أن يتولى الطرف الوسيط سداد الرسوم. ولكن توقيع خارج السلسلة هو أيضًا الحلقة الأكثر عرضة للإهمال من قبل المستخدمين، حيث إن معظم الناس لن يتحققوا بدقة من محتوى التوقيع، وهذا هو المكان الأكثر خطورة.
إعادة تقنيات الصيد
لتحفيز هذا النوع من تصيد توقيع Permit2، الشرط الأساسي هو أنه يجب على المحفظة التي تم تصيدها أن تكون قد منحت تفويضًا للتوكن لعقد Permit2 الخاص بمنصة تداول معينة. في الوقت الحالي، كلما تم إجراء Swap على Dapp المدمج مع Permit2 أو على منصة تداول معينة، يجب منح التفويض لعقد Permit2.
الأخطر هو أنه بغض النظر عن مبلغ Swap، فإن عقد Permit2 في منصة تداول معينة سيجعل المستخدمين يعطون تفويضًا لجميع رصيد هذا التوكن بشكل افتراضي. على الرغم من أن المحفظة ستظهر رسالة تطلب إدخال المبلغ المخصص، إلا أن معظم الناس سيختارون القيمة القصوى أو القيمة الافتراضية مباشرة، والقيمة الافتراضية لـ Permit2 هي حد غير محدود.
هذا يعني أنه طالما أنك تفاعلت مع منصة تداول معينة بعد عام 2023 ومنحت الإذن لعقد Permit2، فقد تواجه هذا النوع من مخاطر التضليل.
الجوهر هو وظيفة Permit، التي تسمح بنقل حدود الرموز المصرح بها لعقد Permit2 إلى عناوين أخرى. يحتاج القراصنة فقط إلى الحصول على توقيع المستخدم، ليتمكنوا من الحصول على صلاحيات الرموز في محفظة المستخدم ونقل الأصول.
تدابير الوقاية
فهم وتحديد محتوى التوقيع: تعلم كيفية التعرف على تنسيق توقيع الإذن، والذي يتضمن معلومات رئيسية مثل المالك، المنفق، القيمة، الرقم التسلسلي والموعد النهائي. استخدام ملحقات الأمان يساعد في التعرف.
فصل تخزين الأصول عن محفظة التفاعل: يتم الاحتفاظ بكميات كبيرة من الأصول في محفظة باردة، بينما تحتفظ محفظة التفاعل بمبالغ صغيرة فقط، مما يمكن أن يقلل بشكل كبير من الخسائر عند مواجهة خداع.
تقييد حدود التفويض أو إلغاء التفويض: عند إجراء Swap على منصة تداول معينة، يجب تفويض فقط المبلغ المطلوب للتفاعل. على الرغم من أن الحاجة إلى إعادة التفويض في كل مرة ستزيد من التكاليف، إلا أنها قد تمنع مخاطر التصيد بتوقيع Permit2. يمكن للمستخدمين الذين تم تفويضهم إلغاء التفويض من خلال مكون إضافي آمن.
تحديد ما إذا كانت الرموز تدعم وظيفة الإذن: انتبه إلى ما إذا كانت الرموز التي تمتلكها تدعم هذه الوظيفة، يجب أن تكون حذرًا بشكل خاص عند تداول الرموز المدعومة، والتحقق بدقة من كل توقيع غير معروف.
وضع خطة إنقاذ الأصول الكاملة: إذا كان هناك رموز موجودة على منصات أخرى بعد التعرض للتضليل، يجب توخي الحذر عند سحبها ونقلها. قد يقوم القراصنة بمراقبة رصيد عنوانك في أي وقت، وعندما يظهر رمز، سيتم نقله. النظر في استخدام نقل MEV أو طلب المساعدة من فريق أمان محترف.
مع توسع نطاق استخدام Permit2، قد تزداد عمليات الاحتيال القائمة على ذلك. إن أسلوب التصيد هذا من خلال التوقيع خفي للغاية وصعب الحماية، مما يزيد من عدد العناوين المعرضة للخطر. نأمل أن يتمكن القراء من نشر هذه المعلومات للآخرين لتجنب تعرض المزيد من الأشخاص للخسائر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 14
أعجبني
14
3
مشاركة
تعليق
0/400
CryptoGoldmine
· 07-28 16:06
البيانات أفضل من النقاش، عائد الاستثمار لمدة عام 155%
تضليل توقيع Uniswap Permit2 الجديد أمان الأصول أربع تدابير وقائية
كشف خدعة تصيد توقيع Uniswap Permit2
لقد كانت القرصنة دائمًا واحدة من أكثر الظواهر المخيفة في نظام Web3 البيئي. بالنسبة لمطوري المشاريع، فإن خاصية المصدر المفتوح تجعلهم يشعرون كما لو كانوا يسيرون على حافة الهاوية أثناء التطوير، خوفًا من ترك ثغرات أمنية. بالنسبة للمستخدمين الأفراد، كل تفاعل أو توقيع على السلسلة يمكن أن يؤدي إلى سرقة الأصول، وإذا لم يفهموا معنى العملية، فإن ذلك يصبح أكثر خطورة. لذلك، كانت مشكلات الأمان دائمًا واحدة من أكثر القضايا تعقيدًا في عالم التشفير. نظرًا للطبيعة غير القابلة للعكس للبلوكشين، فإن الأصول المسروقة نادرًا ما يمكن استردادها، مما يبرز أهمية المعرفة الأمنية.
في الآونة الأخيرة، بدأت طريقة جديدة للاحتيال في الظهور، حيث يكفي التوقيع للتسبب في سرقة الأصول. هذه الطريقة خفية للغاية وصعبة الحماية، وقد تواجه العناوين التي تفاعلت مع Uniswap مخاطر. ستتناول هذه المقالة بالتفصيل طريقة الاحتيال بالتوقيع، بهدف تقليل خسائر الأصول للمزيد من المستخدمين.
تفاصيل الحادث
مؤخراً, تم سرقة أصول محفظة صديقي ( المعروف مؤقتاً بـ "小A)". على عكس طرق السرقة الشائعة, لم يتمكن 小A من تسريب المفتاح الخاص, ولم يتفاعل مع عقود مشبوهة. من خلال متصفح البلوكشين, يمكن رؤية أن USDT في محفظة 小A تم نقله عبر دالة Transfer From. وهذا يعني أن عنوان طرف ثالث هو الذي قام بعملية نقل الرموز, وليس تسريب المفتاح الخاص للمحفظة.
تفاصيل الصفقة تظهر:
المسألة الرئيسية هي: كيف حصل عنوان ينتهي بـ fd51 على صلاحية هذا الأصل؟ ولماذا يرتبط بمنصة تداول معينة؟
أظهرت التحقيقات الإضافية أنه قبل نقل أصول A الصغيرة، تم إجراء عملية تصريح (Permit) من قبل العنوان الذي ينتهي بالرقم fd51، وكانت كائنات التفاعل في هاتين العمليتين هي عقد Permit2 الخاص بمنصة تداول معينة.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp)
عقد Permit2 هو عقد ذكي جديد أطلقته منصة تداول في نهاية عام 2022. يسمح بتفويض الرموز لمشاركة وإدارة في تطبيقات مختلفة، ويهدف إلى خلق تجربة مستخدم أكثر توحيدًا وفعالية من حيث التكلفة وأكثر أمانًا. مع تكامل المزيد من المشاريع مع Permit2، قد يتم تحقيق معيار تفويض رموز في جميع التطبيقات، من خلال تقليل تكاليف المعاملات وتحسين تجربة المستخدم، مع تعزيز أمان العقود الذكية.
قد تؤدي ظهور Permit2 إلى تغيير قواعد اللعبة في بيئة Dapp. في الطريقة التقليدية، يحتاج المستخدم إلى منح إذن منفصل لكل تفاعل مع Dapp. بينما يمكن أن يوفر Permit2 هذه الخطوة، مما يقلل بشكل فعال من تكلفة تفاعل المستخدم ويقدم تجربة أفضل. يعمل Permit2 كوسيط بين المستخدم وDapp، حيث يحتاج المستخدم فقط إلى منح صلاحيات Token لعقد Permit2، ويمكن لجميع Dapp التي تتكامل مع هذا العقد مشاركة هذا الحد من الإذن.
ومع ذلك، فإن Permit2 هو أيضًا سلاح ذو حدين. حيث يحول عمليات المستخدم إلى توقيع خارج السلسلة، وكل العمليات على السلسلة تتم بواسطة طرف وسطي. وهذا يعني أنه يمكن للمستخدمين استخدام رموز أخرى لدفع رسوم الغاز حتى لو لم يكن لديهم ETH في محفظتهم، أو أن يتولى الطرف الوسيط سداد الرسوم. ولكن توقيع خارج السلسلة هو أيضًا الحلقة الأكثر عرضة للإهمال من قبل المستخدمين، حيث إن معظم الناس لن يتحققوا بدقة من محتوى التوقيع، وهذا هو المكان الأكثر خطورة.
إعادة تقنيات الصيد
لتحفيز هذا النوع من تصيد توقيع Permit2، الشرط الأساسي هو أنه يجب على المحفظة التي تم تصيدها أن تكون قد منحت تفويضًا للتوكن لعقد Permit2 الخاص بمنصة تداول معينة. في الوقت الحالي، كلما تم إجراء Swap على Dapp المدمج مع Permit2 أو على منصة تداول معينة، يجب منح التفويض لعقد Permit2.
الأخطر هو أنه بغض النظر عن مبلغ Swap، فإن عقد Permit2 في منصة تداول معينة سيجعل المستخدمين يعطون تفويضًا لجميع رصيد هذا التوكن بشكل افتراضي. على الرغم من أن المحفظة ستظهر رسالة تطلب إدخال المبلغ المخصص، إلا أن معظم الناس سيختارون القيمة القصوى أو القيمة الافتراضية مباشرة، والقيمة الافتراضية لـ Permit2 هي حد غير محدود.
هذا يعني أنه طالما أنك تفاعلت مع منصة تداول معينة بعد عام 2023 ومنحت الإذن لعقد Permit2، فقد تواجه هذا النوع من مخاطر التضليل.
الجوهر هو وظيفة Permit، التي تسمح بنقل حدود الرموز المصرح بها لعقد Permit2 إلى عناوين أخرى. يحتاج القراصنة فقط إلى الحصول على توقيع المستخدم، ليتمكنوا من الحصول على صلاحيات الرموز في محفظة المستخدم ونقل الأصول.
تدابير الوقاية
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp)
فصل تخزين الأصول عن محفظة التفاعل: يتم الاحتفاظ بكميات كبيرة من الأصول في محفظة باردة، بينما تحتفظ محفظة التفاعل بمبالغ صغيرة فقط، مما يمكن أن يقلل بشكل كبير من الخسائر عند مواجهة خداع.
تقييد حدود التفويض أو إلغاء التفويض: عند إجراء Swap على منصة تداول معينة، يجب تفويض فقط المبلغ المطلوب للتفاعل. على الرغم من أن الحاجة إلى إعادة التفويض في كل مرة ستزيد من التكاليف، إلا أنها قد تمنع مخاطر التصيد بتوقيع Permit2. يمكن للمستخدمين الذين تم تفويضهم إلغاء التفويض من خلال مكون إضافي آمن.
تحديد ما إذا كانت الرموز تدعم وظيفة الإذن: انتبه إلى ما إذا كانت الرموز التي تمتلكها تدعم هذه الوظيفة، يجب أن تكون حذرًا بشكل خاص عند تداول الرموز المدعومة، والتحقق بدقة من كل توقيع غير معروف.
وضع خطة إنقاذ الأصول الكاملة: إذا كان هناك رموز موجودة على منصات أخرى بعد التعرض للتضليل، يجب توخي الحذر عند سحبها ونقلها. قد يقوم القراصنة بمراقبة رصيد عنوانك في أي وقت، وعندما يظهر رمز، سيتم نقله. النظر في استخدام نقل MEV أو طلب المساعدة من فريق أمان محترف.
مع توسع نطاق استخدام Permit2، قد تزداد عمليات الاحتيال القائمة على ذلك. إن أسلوب التصيد هذا من خلال التوقيع خفي للغاية وصعب الحماية، مما يزيد من عدد العناوين المعرضة للخطر. نأمل أن يتمكن القراء من نشر هذه المعلومات للآخرين لتجنب تعرض المزيد من الأشخاص للخسائر.
! [التوقيع مسروق؟] إزالة الغموض عن Uniswap Permit2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp)
! [التوقيع مسروق؟] إزالة الغموض عن Uniswap Permit2 Signature Phishing Scam](https://img-cdn.gateio.im/webp-social/moments-c2d0bc61729aaca413737ac667eaf7d5.webp)
! [التوقيع مسروق؟] إزالة الغموض عن عملية احتيال التصيد الاحتيالي Uniswap Permit2](https://img-cdn.gateio.im/webp-social/moments-f72c38a16e315ce33b8cc5567854f5c6.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-4fdf03afb062f8f5d531cca3cd6330cc.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-dc94f3781aa7b30ba08a99ee827ca2e3.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-3c5d855a6c3bc51a57a4a17fe28b2657.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-c1e00cf62c806e99c4188dfa650090ce.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-b80025f211f7c0ef6371b6bd1a309ebc.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-1b868982a90873ccc2af4ad8c5e4f1ff.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-3213312ac0a792dabb27109da5084835.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-9e636d675ee5c6c6e57ed6022fce956a.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-8961f519f6452dbcd4876e0135b0cb64.webp)
! [التوقيع مسروق؟] إزالة الغموض عن عملية احتيال التصيد الاحتيالي Uniswap Permit2](https://img-cdn.gateio.im/webp-social/moments-1a57d7d1db3a8e31c46432f068871722.webp)