El contrato Permit2 de Uniswap se convierte en un nuevo objetivo para los Hackers: explicación detallada del engaño de phishing por firmas y prevención.
Nueva estafa de phishing con firma: el contrato Permit2 de Uniswap se convierte en un paraíso para los Hackers
En el ecosistema Web3, los problemas de seguridad han sido siempre una de las mayores preocupaciones. Recientemente, ha comenzado a circular un nuevo tipo de técnica de phishing que utiliza el contrato Uniswap Permit2, cuya clandestinidad y peligrosidad son motivo de alerta. Este artículo desglosará en detalle los principios de este Lavado de ojos y las medidas de prevención.
Desarrollo del evento
Recientemente, algunos usuarios han informado que sus activos fueron robados, pero no se filtró ninguna clave privada ni se interactuó con contratos sospechosos. La investigación descubrió que los activos robados se transfirieron a través de la función Transfer From y que la operación estaba relacionada con el contrato Permit2 de Uniswap.
Análisis del contrato Permit2 de Uniswap
Permit2 es un nuevo contrato lanzado por Uniswap a finales de 2022, diseñado para ofrecer una experiencia de gestión de autorización de tokens más unificada, eficiente y segura. Permite a los usuarios otorgar autorización solo una vez al contrato Permit2, lo que les permite compartir el límite de autorización en múltiples aplicaciones que integran dicho contrato, reduciendo significativamente el costo de interacción para los usuarios.
Sin embargo, esta conveniencia también conlleva riesgos potenciales. Permit2 transforma las operaciones de los usuarios de interacciones en cadena a firmas fuera de la cadena, y la etapa de firma es a menudo el lugar donde los usuarios son más propensos a descuidar.
Explicación detallada de las técnicas de phishing
Los hackers utilizan la función Permit del contrato Permit2 para realizar phishing. Esta función permite a los usuarios autorizar a otros a usar sus tokens mediante una firma. Los atacantes inducen a los usuarios a firmar mensajes que parecen inofensivos, pero en realidad están autorizando a los atacantes a operar los activos de los usuarios.
Una vez que obtienen la firma, el atacante puede llamar a las funciones relacionadas del contrato Permit2, transfiriendo el límite de tokens autorizado por el usuario a Permit2 a sí mismo, y así robar los activos del usuario.
Medidas de prevención
Aprende a identificar el formato de firma de Permit, incluyendo información clave como Owner, Spender, value, nonce y deadline.
Utilizar una estrategia de separación de billeteras frías y calientes, almacenando grandes cantidades de activos en billeteras frías para reducir el riesgo de robo.
Al autorizar el contrato Permit2, solo autoriza el monto de la transacción necesario, evitando otorgar un exceso de monto.
Conocer si los tokens que posees soportan la función Permit, y mantener precaución en las transacciones de los tokens que soporten esta función.
Si, desafortunadamente, eres robado, debes elaborar un plan de rescate de activos completo, considerando el uso de transferencias MEV o buscando la asistencia de un equipo de seguridad profesional.
A medida que se expande el alcance de la aplicación Permit2, los ataques de phishing basados en ella pueden volverse cada vez más frecuentes. Los usuarios deben estar alerta y revisar cuidadosamente cada solicitud de firma para proteger la seguridad de sus activos.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
8
Compartir
Comentar
0/400
OnChain_Detective
· 07-19 15:08
Una firma descuidada puede ser mortal.
Ver originalesResponder0
ApeWithAPlan
· 07-19 13:28
La precaución aún no es suficiente
Ver originalesResponder0
BlockchainRetirementHome
· 07-19 12:34
Es increíble que una firma también pueda ser robada.
Ver originalesResponder0
gas_fee_trauma
· 07-18 03:54
La firma también es una gran trampa.
Ver originalesResponder0
OnChainDetective
· 07-16 16:20
La firma es la vida. Con cuidado.
Ver originalesResponder0
TokenTherapist
· 07-16 16:17
Ten cuidado con los contratos de firma desconocida
Ver originalesResponder0
SigmaValidator
· 07-16 16:04
La verificación del nodo debe hacerse con cuidado.
El contrato Permit2 de Uniswap se convierte en un nuevo objetivo para los Hackers: explicación detallada del engaño de phishing por firmas y prevención.
Nueva estafa de phishing con firma: el contrato Permit2 de Uniswap se convierte en un paraíso para los Hackers
En el ecosistema Web3, los problemas de seguridad han sido siempre una de las mayores preocupaciones. Recientemente, ha comenzado a circular un nuevo tipo de técnica de phishing que utiliza el contrato Uniswap Permit2, cuya clandestinidad y peligrosidad son motivo de alerta. Este artículo desglosará en detalle los principios de este Lavado de ojos y las medidas de prevención.
Desarrollo del evento
Recientemente, algunos usuarios han informado que sus activos fueron robados, pero no se filtró ninguna clave privada ni se interactuó con contratos sospechosos. La investigación descubrió que los activos robados se transfirieron a través de la función Transfer From y que la operación estaba relacionada con el contrato Permit2 de Uniswap.
Análisis del contrato Permit2 de Uniswap
Permit2 es un nuevo contrato lanzado por Uniswap a finales de 2022, diseñado para ofrecer una experiencia de gestión de autorización de tokens más unificada, eficiente y segura. Permite a los usuarios otorgar autorización solo una vez al contrato Permit2, lo que les permite compartir el límite de autorización en múltiples aplicaciones que integran dicho contrato, reduciendo significativamente el costo de interacción para los usuarios.
Sin embargo, esta conveniencia también conlleva riesgos potenciales. Permit2 transforma las operaciones de los usuarios de interacciones en cadena a firmas fuera de la cadena, y la etapa de firma es a menudo el lugar donde los usuarios son más propensos a descuidar.
Explicación detallada de las técnicas de phishing
Los hackers utilizan la función Permit del contrato Permit2 para realizar phishing. Esta función permite a los usuarios autorizar a otros a usar sus tokens mediante una firma. Los atacantes inducen a los usuarios a firmar mensajes que parecen inofensivos, pero en realidad están autorizando a los atacantes a operar los activos de los usuarios.
Una vez que obtienen la firma, el atacante puede llamar a las funciones relacionadas del contrato Permit2, transfiriendo el límite de tokens autorizado por el usuario a Permit2 a sí mismo, y así robar los activos del usuario.
Medidas de prevención
Utilizar una estrategia de separación de billeteras frías y calientes, almacenando grandes cantidades de activos en billeteras frías para reducir el riesgo de robo.
Al autorizar el contrato Permit2, solo autoriza el monto de la transacción necesario, evitando otorgar un exceso de monto.
Conocer si los tokens que posees soportan la función Permit, y mantener precaución en las transacciones de los tokens que soporten esta función.
Si, desafortunadamente, eres robado, debes elaborar un plan de rescate de activos completo, considerando el uso de transferencias MEV o buscando la asistencia de un equipo de seguridad profesional.
A medida que se expande el alcance de la aplicación Permit2, los ataques de phishing basados en ella pueden volverse cada vez más frecuentes. Los usuarios deben estar alerta y revisar cuidadosamente cada solicitud de firma para proteger la seguridad de sus activos.