Nouvelle escroquerie de phishing par signature : le contrat Uniswap Permit2 devient un paradis pour les Hackers
Dans l'écosystème Web3, les problèmes de sécurité ont toujours été les plus préoccupants. Récemment, une nouvelle méthode de phishing utilisant le contrat Uniswap Permit2 a commencé à se répandre, sa discrétion et son danger sont alarmants. Cet article analysera en détail les principes de cette eyewash et les mesures de prévention.
Événements
Récemment, des utilisateurs ont signalé que des actifs avaient été volés, mais ils n'avaient pas divulgué de clé privée ni interagi avec des contrats suspects. L'enquête a révélé que les actifs volés avaient été transférés via la fonction Transfer From, et que l'opération était liée au contrat Permit2 d'Uniswap.
Analyse du contrat Uniswap Permit2
Permit2 est un nouveau contrat lancé par Uniswap à la fin de 2022, visant à offrir une expérience de gestion des autorisations de jetons plus unifiée, efficace et sécurisée. Il permet aux utilisateurs de n'autoriser le contrat Permit2 qu'une seule fois, afin de partager le montant autorisé dans plusieurs applications intégrant ce contrat, réduisant ainsi considérablement le coût des interactions pour les utilisateurs.
Cependant, cette commodité apporte également des risques potentiels. Permit2 transforme les opérations des utilisateurs d'interactions on-chain en signatures off-chain, et l'étape de signature est souvent l'endroit où les utilisateurs sont les plus susceptibles de faire des négligences.
Détails des techniques de phishing
Les hackers exploitent la fonction Permit du contrat Permit2 pour effectuer du phishing. Cette fonction permet aux utilisateurs d'autoriser par signature d'autres personnes à utiliser leurs jetons. Les attaquants incitent les utilisateurs à signer des messages apparemment inoffensifs, alors qu'en réalité, ils autorisent les attaquants à manipuler les actifs des utilisateurs.
Une fois la signature obtenue, l'attaquant peut appeler les fonctions pertinentes du contrat Permit2 pour transférer le montant des tokens autorisés par l'utilisateur à Permit2 vers lui-même, volant ainsi les actifs de l'utilisateur.
Mesures de prévention
Apprenez à reconnaître le format de signature Permit, y compris les informations clés telles que Owner, Spender, value, nonce et deadline.
Utiliser une stratégie de séparation entre les portefeuilles chauds et froids, en plaçant les actifs importants dans un portefeuille froid pour réduire le risque de vol.
Lors de l'autorisation du contrat Permit2, n'autorisez que le montant de la transaction nécessaire pour éviter d'autoriser un montant excessif.
Vérifiez si les tokens détenus prennent en charge la fonction Permit et restez vigilant lors des transactions avec les tokens qui prennent en charge cette fonction.
En cas de vol malheureux, il est nécessaire d'élaborer un plan de sauvetage des actifs complet, en envisageant d'utiliser le transfert MEV ou de demander l'aide d'une équipe de sécurité professionnelle.
Avec l'expansion de l'application Permit2, les attaques par phishing basées sur cela pourraient devenir de plus en plus fréquentes. Les utilisateurs doivent rester vigilants et vérifier attentivement chaque demande de signature pour protéger la sécurité de leurs actifs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
8
Partager
Commentaire
0/400
OnChain_Detective
· 07-19 15:08
Une signature imprudente peut vraiment être fatale.
Voir l'originalRépondre0
ApeWithAPlan
· 07-19 13:28
La prudence n'est toujours pas suffisante.
Voir l'originalRépondre0
BlockchainRetirementHome
· 07-19 12:34
Il est incroyable que des signatures puissent également être volées.
Le contrat Uniswap Permit2 devient la nouvelle cible des Hackers : explication détaillée des pièges à signature et prévention.
Nouvelle escroquerie de phishing par signature : le contrat Uniswap Permit2 devient un paradis pour les Hackers
Dans l'écosystème Web3, les problèmes de sécurité ont toujours été les plus préoccupants. Récemment, une nouvelle méthode de phishing utilisant le contrat Uniswap Permit2 a commencé à se répandre, sa discrétion et son danger sont alarmants. Cet article analysera en détail les principes de cette eyewash et les mesures de prévention.
Événements
Récemment, des utilisateurs ont signalé que des actifs avaient été volés, mais ils n'avaient pas divulgué de clé privée ni interagi avec des contrats suspects. L'enquête a révélé que les actifs volés avaient été transférés via la fonction Transfer From, et que l'opération était liée au contrat Permit2 d'Uniswap.
Analyse du contrat Uniswap Permit2
Permit2 est un nouveau contrat lancé par Uniswap à la fin de 2022, visant à offrir une expérience de gestion des autorisations de jetons plus unifiée, efficace et sécurisée. Il permet aux utilisateurs de n'autoriser le contrat Permit2 qu'une seule fois, afin de partager le montant autorisé dans plusieurs applications intégrant ce contrat, réduisant ainsi considérablement le coût des interactions pour les utilisateurs.
Cependant, cette commodité apporte également des risques potentiels. Permit2 transforme les opérations des utilisateurs d'interactions on-chain en signatures off-chain, et l'étape de signature est souvent l'endroit où les utilisateurs sont les plus susceptibles de faire des négligences.
Détails des techniques de phishing
Les hackers exploitent la fonction Permit du contrat Permit2 pour effectuer du phishing. Cette fonction permet aux utilisateurs d'autoriser par signature d'autres personnes à utiliser leurs jetons. Les attaquants incitent les utilisateurs à signer des messages apparemment inoffensifs, alors qu'en réalité, ils autorisent les attaquants à manipuler les actifs des utilisateurs.
Une fois la signature obtenue, l'attaquant peut appeler les fonctions pertinentes du contrat Permit2 pour transférer le montant des tokens autorisés par l'utilisateur à Permit2 vers lui-même, volant ainsi les actifs de l'utilisateur.
Mesures de prévention
Utiliser une stratégie de séparation entre les portefeuilles chauds et froids, en plaçant les actifs importants dans un portefeuille froid pour réduire le risque de vol.
Lors de l'autorisation du contrat Permit2, n'autorisez que le montant de la transaction nécessaire pour éviter d'autoriser un montant excessif.
Vérifiez si les tokens détenus prennent en charge la fonction Permit et restez vigilant lors des transactions avec les tokens qui prennent en charge cette fonction.
En cas de vol malheureux, il est nécessaire d'élaborer un plan de sauvetage des actifs complet, en envisageant d'utiliser le transfert MEV ou de demander l'aide d'une équipe de sécurité professionnelle.
Avec l'expansion de l'application Permit2, les attaques par phishing basées sur cela pourraient devenir de plus en plus fréquentes. Les utilisateurs doivent rester vigilants et vérifier attentivement chaque demande de signature pour protéger la sécurité de leurs actifs.