Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers siempre han sido la existencia más temida en el ecosistema Web3. Para los desarrolladores del proyecto, la naturaleza de código abierto hace que se sientan como si caminaran sobre hielo delgado durante el desarrollo, temiendo dejar vulnerabilidades de seguridad. Para los usuarios individuales, cada interacción o firma en la cadena puede resultar en el robo de activos, y no comprender el significado de la operación es aún más peligroso. Por lo tanto, los problemas de seguridad siempre han sido uno de los más difíciles en el mundo de las criptomonedas. Debido a la irreversibilidad de la blockchain, los activos robados son casi imposibles de recuperar, lo que resalta aún más la importancia del conocimiento de la seguridad.
Recientemente, ha comenzado a activarse un nuevo tipo de técnica de phishing que puede llevar al robo de activos con solo firmar. Esta técnica es extremadamente encubierta y difícil de prevenir, y cualquier dirección que haya interactuado con Uniswap puede estar en riesgo. Este artículo describirá en detalle esta técnica de phishing de firma para reducir las pérdidas de activos de más usuarios.
desarrollo del evento
Recientemente, un amigo (, denominado provisoriamente como Xiao A ), tuvo sus activos en la billetera robados. A diferencia de los métodos de robo comunes, Xiao A no filtró su clave privada ni interactuó con contratos sospechosos. A través del explorador de blockchain se puede ver que los USDT en la billetera de Xiao A fueron transferidos a través de la función Transfer From. Esto significa que una dirección de terceros operó para mover los tokens, y no fue una filtración de la clave privada de la billetera.
Detalles de la transacción:
La dirección que termina en fd51 ha transferido los activos de Xiao A a la dirección que termina en a0c8.
Esta operación interactúa con el contrato Permit2 de una plataforma de intercambio.
La cuestión clave es: ¿cómo consiguió la dirección que termina en fd51 los permisos para este activo? ¿Por qué está relacionada con alguna plataforma de intercambio?
Investigaciones adicionales revelaron que, antes de transferir los activos de A, la dirección que termina en fd51 realizó una operación de Permiso, y ambos operaciones interactuaron con el contrato Permit2 de una plataforma de intercambio.
El contrato Permit2 es un nuevo contrato inteligente lanzado por una plataforma de intercambio a finales de 2022. Permite la autorización de tokens para compartir y gestionar entre diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, rentable y segura. A medida que más proyectos integren Permit2, podría lograr la estandarización de la aprobación de tokens en todas las aplicaciones, mejorando la experiencia del usuario al reducir los costos de transacción y al mismo tiempo aumentar la seguridad de los contratos inteligentes.
La aparición de Permit2 podría cambiar las reglas del juego en el ecosistema Dapp. De manera tradicional, los usuarios necesitan autorizar por separado cada vez que interactúan con un Dapp. Sin embargo, Permit2 puede omitir este paso, reduciendo efectivamente el costo de interacción del usuario y ofreciendo una mejor experiencia. Como intermediario entre el usuario y el Dapp, el usuario solo necesita otorgar permisos de Token al contrato de Permit2, y todos los Dapp que integren este contrato podrán compartir este límite de autorización.
Sin embargo, Permit2 también es una espada de doble filo. Convierte las operaciones de los usuarios en firmas fuera de la cadena, y todas las operaciones en la cadena son realizadas por un intermediario. Esto permite que los usuarios, incluso si no tienen ETH en su billetera, puedan utilizar otros tokens para pagar las tarifas de Gas o ser reembolsados por un intermediario. Pero las firmas fuera de la cadena son también el eslabón más fácil de descuidar para los usuarios; la mayoría de las personas no revisarán cuidadosamente el contenido de la firma, y ese es precisamente el punto más peligroso.
Reaparición de la técnica de pesca
Para activar esta pesca de firmas Permit2, el requisito clave es que la billetera de pesca ya haya autorizado el Token al contrato Permit2 de alguna plataforma de intercambio. Actualmente, siempre que se realice un Swap en una Dapp integrada con Permit2 o en alguna plataforma de intercambio, se necesita autorizar al contrato Permit2.
Lo más aterrador es que, sin importar cuánto sea el monto del Swap, el contrato Permit2 de una plataforma de intercambio hará que los usuarios autoricen automáticamente el saldo total de ese Token. Aunque la billetera sugerirá ingresar un monto personalizado, la mayoría de las personas elegirá directamente el máximo o el valor predeterminado, y el valor predeterminado de Permit2 es un límite infinito.
Esto significa que, siempre que hayas interactuado con alguna plataforma de intercambio y autorizado el contrato Permit2 después de 2023, podrías enfrentar este riesgo de phishing.
El núcleo radica en la función Permit, que permite transferir la cantidad de tokens autorizados al contrato Permit2 a otras direcciones. Los hackers solo necesitan obtener la firma del usuario para obtener los permisos de los tokens en la billetera del usuario y transferir los activos.
Medidas de prevención
Comprender e identificar el contenido de la firma: aprender a reconocer el formato de la firma de permiso, que incluye información clave como Owner, Spender, value, nonce y deadline. Usar complementos de seguridad ayuda a la identificación.
Separar el almacenamiento de activos y la billetera de interacción: almacenar una gran cantidad de activos en una billetera fría, mientras que la billetera de interacción solo conserva una pequeña cantidad de fondos, puede reducir significativamente las pérdidas en caso de un ataque de phishing.
Limitar el monto de autorización o cancelar la autorización: Al realizar un Swap en una plataforma de intercambio, solo autorice el monto necesario para la interacción. Aunque volver a autorizar cada vez aumentará los costos, se puede evitar el riesgo de phishing de firmas Permit2. Los usuarios autorizados pueden cancelar la autorización a través de un complemento de seguridad.
Identificar si el token admite la función de permiso: Prestar atención a si el token que se posee admite esta función, ser especialmente cauteloso con las transacciones de tokens que la soportan, y revisar estrictamente cada firma desconocida.
Establecer un plan de rescate de activos completo: si después de haber sido víctima de un Lavado de ojos aún hay tokens en otras plataformas, es necesario retirar y transferir con precaución. Los hackers pueden monitorear tu saldo de dirección en cualquier momento, y en cuanto aparezcan tokens, los transferirán. Considera usar transferencias MEV o buscar la ayuda de un equipo de seguridad profesional.
A medida que se expande el alcance de la aplicación Permit2, podría haber cada vez más pesca basada en ella. Este método de pesca por firma es extremadamente sutil y difícil de prevenir, y cada vez más direcciones estarán expuestas a riesgos. Espero que los lectores puedan difundir esta información a más personas para evitar que más personas sufran pérdidas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
12 me gusta
Recompensa
12
3
Compartir
Comentar
0/400
CryptoGoldmine
· 07-28 16:06
Los datos superan los debates. Rendimiento de la inversión del 155% en un año.
Uniswap Permit2 firma phishing nuevo Lavado de ojos seguridad del activo cuatro medidas de prevención
Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers siempre han sido la existencia más temida en el ecosistema Web3. Para los desarrolladores del proyecto, la naturaleza de código abierto hace que se sientan como si caminaran sobre hielo delgado durante el desarrollo, temiendo dejar vulnerabilidades de seguridad. Para los usuarios individuales, cada interacción o firma en la cadena puede resultar en el robo de activos, y no comprender el significado de la operación es aún más peligroso. Por lo tanto, los problemas de seguridad siempre han sido uno de los más difíciles en el mundo de las criptomonedas. Debido a la irreversibilidad de la blockchain, los activos robados son casi imposibles de recuperar, lo que resalta aún más la importancia del conocimiento de la seguridad.
Recientemente, ha comenzado a activarse un nuevo tipo de técnica de phishing que puede llevar al robo de activos con solo firmar. Esta técnica es extremadamente encubierta y difícil de prevenir, y cualquier dirección que haya interactuado con Uniswap puede estar en riesgo. Este artículo describirá en detalle esta técnica de phishing de firma para reducir las pérdidas de activos de más usuarios.
desarrollo del evento
Recientemente, un amigo (, denominado provisoriamente como Xiao A ), tuvo sus activos en la billetera robados. A diferencia de los métodos de robo comunes, Xiao A no filtró su clave privada ni interactuó con contratos sospechosos. A través del explorador de blockchain se puede ver que los USDT en la billetera de Xiao A fueron transferidos a través de la función Transfer From. Esto significa que una dirección de terceros operó para mover los tokens, y no fue una filtración de la clave privada de la billetera.
Detalles de la transacción:
La cuestión clave es: ¿cómo consiguió la dirección que termina en fd51 los permisos para este activo? ¿Por qué está relacionada con alguna plataforma de intercambio?
Investigaciones adicionales revelaron que, antes de transferir los activos de A, la dirección que termina en fd51 realizó una operación de Permiso, y ambos operaciones interactuaron con el contrato Permit2 de una plataforma de intercambio.
El contrato Permit2 es un nuevo contrato inteligente lanzado por una plataforma de intercambio a finales de 2022. Permite la autorización de tokens para compartir y gestionar entre diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, rentable y segura. A medida que más proyectos integren Permit2, podría lograr la estandarización de la aprobación de tokens en todas las aplicaciones, mejorando la experiencia del usuario al reducir los costos de transacción y al mismo tiempo aumentar la seguridad de los contratos inteligentes.
La aparición de Permit2 podría cambiar las reglas del juego en el ecosistema Dapp. De manera tradicional, los usuarios necesitan autorizar por separado cada vez que interactúan con un Dapp. Sin embargo, Permit2 puede omitir este paso, reduciendo efectivamente el costo de interacción del usuario y ofreciendo una mejor experiencia. Como intermediario entre el usuario y el Dapp, el usuario solo necesita otorgar permisos de Token al contrato de Permit2, y todos los Dapp que integren este contrato podrán compartir este límite de autorización.
Sin embargo, Permit2 también es una espada de doble filo. Convierte las operaciones de los usuarios en firmas fuera de la cadena, y todas las operaciones en la cadena son realizadas por un intermediario. Esto permite que los usuarios, incluso si no tienen ETH en su billetera, puedan utilizar otros tokens para pagar las tarifas de Gas o ser reembolsados por un intermediario. Pero las firmas fuera de la cadena son también el eslabón más fácil de descuidar para los usuarios; la mayoría de las personas no revisarán cuidadosamente el contenido de la firma, y ese es precisamente el punto más peligroso.
Reaparición de la técnica de pesca
Para activar esta pesca de firmas Permit2, el requisito clave es que la billetera de pesca ya haya autorizado el Token al contrato Permit2 de alguna plataforma de intercambio. Actualmente, siempre que se realice un Swap en una Dapp integrada con Permit2 o en alguna plataforma de intercambio, se necesita autorizar al contrato Permit2.
Lo más aterrador es que, sin importar cuánto sea el monto del Swap, el contrato Permit2 de una plataforma de intercambio hará que los usuarios autoricen automáticamente el saldo total de ese Token. Aunque la billetera sugerirá ingresar un monto personalizado, la mayoría de las personas elegirá directamente el máximo o el valor predeterminado, y el valor predeterminado de Permit2 es un límite infinito.
Esto significa que, siempre que hayas interactuado con alguna plataforma de intercambio y autorizado el contrato Permit2 después de 2023, podrías enfrentar este riesgo de phishing.
El núcleo radica en la función Permit, que permite transferir la cantidad de tokens autorizados al contrato Permit2 a otras direcciones. Los hackers solo necesitan obtener la firma del usuario para obtener los permisos de los tokens en la billetera del usuario y transferir los activos.
Medidas de prevención
Separar el almacenamiento de activos y la billetera de interacción: almacenar una gran cantidad de activos en una billetera fría, mientras que la billetera de interacción solo conserva una pequeña cantidad de fondos, puede reducir significativamente las pérdidas en caso de un ataque de phishing.
Limitar el monto de autorización o cancelar la autorización: Al realizar un Swap en una plataforma de intercambio, solo autorice el monto necesario para la interacción. Aunque volver a autorizar cada vez aumentará los costos, se puede evitar el riesgo de phishing de firmas Permit2. Los usuarios autorizados pueden cancelar la autorización a través de un complemento de seguridad.
Identificar si el token admite la función de permiso: Prestar atención a si el token que se posee admite esta función, ser especialmente cauteloso con las transacciones de tokens que la soportan, y revisar estrictamente cada firma desconocida.
Establecer un plan de rescate de activos completo: si después de haber sido víctima de un Lavado de ojos aún hay tokens en otras plataformas, es necesario retirar y transferir con precaución. Los hackers pueden monitorear tu saldo de dirección en cualquier momento, y en cuanto aparezcan tokens, los transferirán. Considera usar transferencias MEV o buscar la ayuda de un equipo de seguridad profesional.
A medida que se expande el alcance de la aplicación Permit2, podría haber cada vez más pesca basada en ella. Este método de pesca por firma es extremadamente sutil y difícil de prevenir, y cada vez más direcciones estarán expuestas a riesgos. Espero que los lectores puedan difundir esta información a más personas para evitar que más personas sufran pérdidas.