Hacker selalu menjadi keberadaan yang paling menakutkan di ekosistem Web3. Bagi pihak proyek, sifat kode yang bersifat open source membuat mereka merasa seperti berjalan di atas es tipis saat mengembangkan, takut meninggalkan celah keamanan. Bagi pengguna individu, setiap interaksi atau tanda tangan di blockchain bisa menyebabkan aset dicuri, dan jika tidak memahami arti dari tindakan tersebut, maka lebih berbahaya. Oleh karena itu, masalah keamanan selalu menjadi salah satu masalah paling rumit di dunia kripto. Karena sifat blockchain yang tidak dapat diubah, aset yang dicuri hampir tidak mungkin untuk dipulihkan, yang semakin menekankan pentingnya pengetahuan keamanan.
Baru-baru ini, suatu metode phishing baru mulai aktif, yang hanya membutuhkan tanda tangan untuk menyebabkan pencurian aset. Metode ini sangat tersembunyi dan sulit untuk dicegah, dan alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan menjelaskan secara rinci metode phishing tanda tangan ini, untuk mengurangi kerugian aset lebih banyak pengguna.
kronologi kejadian
Baru-baru ini, seorang teman ( yang sementara disebut sebagai A) kehilangan aset dompetnya. Berbeda dengan cara pencurian yang umum, A tidak membocorkan kunci pribadi, dan juga tidak berinteraksi dengan kontrak yang mencurigakan. Melalui penjelajah blockchain, dapat dilihat bahwa USDT di dompet A dipindahkan melalui fungsi Transfer From. Ini berarti alamat pihak ketiga yang mengoperasikan untuk memindahkan Token, bukan karena kebocoran kunci pribadi dompet.
Detail transaksi menunjukkan:
Alamat dengan nomor akhir fd51 telah memindahkan aset kecil A ke alamat dengan nomor akhir a0c8
Operasi ini berinteraksi dengan kontrak Permit2 dari suatu platform perdagangan.
Masalah kunci adalah: bagaimana alamat yang diakhiri dengan fd51 memperoleh hak atas aset ini? Mengapa itu terkait dengan suatu platform perdagangan?
Penyelidikan lebih lanjut menemukan bahwa sebelum memindahkan aset kecil A, alamat yang berakhiran fd51 juga melakukan operasi Permit, dan kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari suatu platform perdagangan.
Kontrak Permit2 adalah kontrak pintar baru yang diluncurkan oleh suatu platform perdagangan pada akhir tahun 2022. Ini memungkinkan otorisasi token untuk dibagikan dan dikelola di antara aplikasi yang berbeda, bertujuan untuk menciptakan pengalaman pengguna yang lebih terpadu, lebih hemat biaya, dan lebih aman. Seiring semakin banyak proyek yang mengintegrasikan Permit2, ini dapat mengimplementasikan standarisasi persetujuan Token di semua aplikasi, dengan meningkatkan pengalaman pengguna melalui pengurangan biaya transaksi, sambil meningkatkan keamanan kontrak pintar.
Kehadiran Permit2 dapat mengubah aturan permainan dalam ekosistem Dapp. Dalam cara tradisional, pengguna perlu memberikan otorisasi secara terpisah setiap kali berinteraksi dengan sebuah Dapp. Namun, Permit2 dapat menghilangkan langkah ini, secara efektif mengurangi biaya interaksi pengguna dan memberikan pengalaman yang lebih baik. Permit2 bertindak sebagai perantara antara pengguna dan Dapp, di mana pengguna hanya perlu memberikan izin Token kepada kontrak Permit2, sehingga semua Dapp yang mengintegrasikan kontrak tersebut dapat berbagi kuota otorisasi ini.
Namun, Permit2 juga merupakan pedang bermata dua. Ini mengubah operasi pengguna menjadi tanda tangan di luar rantai, dan semua operasi di dalam rantai dilakukan oleh pihak ketiga. Ini memungkinkan pengguna untuk menggunakan Token lain untuk membayar biaya Gas bahkan jika mereka tidak memiliki ETH di dompet mereka atau diganti oleh pihak ketiga. Namun, tanda tangan di luar rantai juga merupakan aspek yang paling mudah diabaikan oleh pengguna, sebagian besar orang tidak akan memeriksa konten tanda tangan dengan cermat, dan ini adalah titik yang paling berbahaya.
teknik memancing muncul kembali
Untuk memicu phishing tanda tangan Permit2 ini, prasyarat kuncinya adalah dompet yang dipancing harus sudah memberikan otorisasi Token kepada kontrak Permit2 di suatu platform perdagangan. Saat ini, setiap kali melakukan Swap di Dapp yang terintegrasi dengan Permit2 atau di suatu platform perdagangan, harus memberikan otorisasi kepada kontrak Permit2.
Lebih menakutkan lagi, tidak peduli berapa jumlah Swap, kontrak Permit2 di suatu platform trading akan secara default mengizinkan pengguna untuk memberikan otorisasi seluruh saldo Token tersebut. Meskipun dompet akan memberikan peringatan untuk memasukkan jumlah yang dapat disesuaikan, tetapi sebagian besar orang akan langsung memilih nilai maksimum atau nilai default, dan nilai default Permit2 adalah batas tanpa batas.
Ini berarti, selama Anda telah berinteraksi dengan platform perdagangan tertentu setelah tahun 2023 dan memberikan otorisasi kepada kontrak Permit2, Anda mungkin menghadapi risiko phishing ini.
Inti dari fungsi Permit adalah memungkinkan transfer jumlah Token yang diberikan kepada kontrak Permit2 ke alamat lain. Penyerang hanya perlu mendapatkan tanda tangan pengguna untuk mendapatkan hak atas Token di dompet pengguna dan memindahkan aset.
langkah pencegahan
Memahami dan mengenali konten tanda tangan: Pelajari cara mengenali format tanda tangan Permit, yang mencakup informasi kunci seperti Owner, Spender, value, nonce, dan deadline. Menggunakan plugin keamanan dapat membantu dalam pengenalan.
Memisahkan penyimpanan aset dan dompet interaksi: Menyimpan sejumlah besar aset di dompet dingin, sementara dompet interaksi hanya menyimpan sejumlah kecil dana, dapat secara signifikan mengurangi kerugian saat menghadapi phishing.
Batasi jumlah otorisasi atau batalkan otorisasi: Saat melakukan Swap di platform perdagangan tertentu, hanya berikan otorisasi untuk jumlah interaksi yang diperlukan. Meskipun harus memberikan otorisasi ulang setiap kali akan meningkatkan biaya, tetapi ini dapat menghindari risiko phishing tanda tangan Permit2. Pengguna yang telah memberikan otorisasi dapat membatalkan otorisasi melalui plugin keamanan.
Mengenali apakah token mendukung fungsi permit: Perhatikan apakah token yang dimiliki mendukung fungsi ini, dan harus sangat berhati-hati dalam transaksi dengan token yang mendukung, dengan memeriksa setiap tanda tangan yang tidak diketahui secara ketat.
Menyusun rencana penyelamatan aset yang komprehensif: Jika setelah ditipu masih ada token yang tersisa di platform lain, perlu berhati-hati dalam menarik dan memindahkan. Hacker mungkin memantau saldo alamat Anda kapan saja, dan begitu token muncul, mereka akan memindahkannya. Pertimbangkan untuk menggunakan pemindahan MEV atau mencari bantuan dari tim keamanan profesional.
Seiring dengan meluasnya penggunaan Permit2, kemungkinan pemancingan yang berbasis padanya akan semakin meningkat. Metode pemancingan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah, sehingga alamat yang terpapar pada risiko juga akan semakin banyak. Semoga pembaca dapat menyebarkan informasi ini kepada lebih banyak orang untuk menghindari lebih banyak orang mengalami kerugian.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
12 Suka
Hadiah
12
3
Bagikan
Komentar
0/400
CryptoGoldmine
· 17jam yang lalu
Data lebih penting daripada argumen, investasi satu tahun menghasilkan 155%.
Uniswap Permit2 tanda tangan phishing baru eyewash keamanan aset empat langkah pencegahan
Mengungkap Penipuan Tanda Tangan Permit2 Uniswap
Hacker selalu menjadi keberadaan yang paling menakutkan di ekosistem Web3. Bagi pihak proyek, sifat kode yang bersifat open source membuat mereka merasa seperti berjalan di atas es tipis saat mengembangkan, takut meninggalkan celah keamanan. Bagi pengguna individu, setiap interaksi atau tanda tangan di blockchain bisa menyebabkan aset dicuri, dan jika tidak memahami arti dari tindakan tersebut, maka lebih berbahaya. Oleh karena itu, masalah keamanan selalu menjadi salah satu masalah paling rumit di dunia kripto. Karena sifat blockchain yang tidak dapat diubah, aset yang dicuri hampir tidak mungkin untuk dipulihkan, yang semakin menekankan pentingnya pengetahuan keamanan.
Baru-baru ini, suatu metode phishing baru mulai aktif, yang hanya membutuhkan tanda tangan untuk menyebabkan pencurian aset. Metode ini sangat tersembunyi dan sulit untuk dicegah, dan alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan menjelaskan secara rinci metode phishing tanda tangan ini, untuk mengurangi kerugian aset lebih banyak pengguna.
kronologi kejadian
Baru-baru ini, seorang teman ( yang sementara disebut sebagai A) kehilangan aset dompetnya. Berbeda dengan cara pencurian yang umum, A tidak membocorkan kunci pribadi, dan juga tidak berinteraksi dengan kontrak yang mencurigakan. Melalui penjelajah blockchain, dapat dilihat bahwa USDT di dompet A dipindahkan melalui fungsi Transfer From. Ini berarti alamat pihak ketiga yang mengoperasikan untuk memindahkan Token, bukan karena kebocoran kunci pribadi dompet.
Detail transaksi menunjukkan:
Masalah kunci adalah: bagaimana alamat yang diakhiri dengan fd51 memperoleh hak atas aset ini? Mengapa itu terkait dengan suatu platform perdagangan?
Penyelidikan lebih lanjut menemukan bahwa sebelum memindahkan aset kecil A, alamat yang berakhiran fd51 juga melakukan operasi Permit, dan kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari suatu platform perdagangan.
Kontrak Permit2 adalah kontrak pintar baru yang diluncurkan oleh suatu platform perdagangan pada akhir tahun 2022. Ini memungkinkan otorisasi token untuk dibagikan dan dikelola di antara aplikasi yang berbeda, bertujuan untuk menciptakan pengalaman pengguna yang lebih terpadu, lebih hemat biaya, dan lebih aman. Seiring semakin banyak proyek yang mengintegrasikan Permit2, ini dapat mengimplementasikan standarisasi persetujuan Token di semua aplikasi, dengan meningkatkan pengalaman pengguna melalui pengurangan biaya transaksi, sambil meningkatkan keamanan kontrak pintar.
Kehadiran Permit2 dapat mengubah aturan permainan dalam ekosistem Dapp. Dalam cara tradisional, pengguna perlu memberikan otorisasi secara terpisah setiap kali berinteraksi dengan sebuah Dapp. Namun, Permit2 dapat menghilangkan langkah ini, secara efektif mengurangi biaya interaksi pengguna dan memberikan pengalaman yang lebih baik. Permit2 bertindak sebagai perantara antara pengguna dan Dapp, di mana pengguna hanya perlu memberikan izin Token kepada kontrak Permit2, sehingga semua Dapp yang mengintegrasikan kontrak tersebut dapat berbagi kuota otorisasi ini.
Namun, Permit2 juga merupakan pedang bermata dua. Ini mengubah operasi pengguna menjadi tanda tangan di luar rantai, dan semua operasi di dalam rantai dilakukan oleh pihak ketiga. Ini memungkinkan pengguna untuk menggunakan Token lain untuk membayar biaya Gas bahkan jika mereka tidak memiliki ETH di dompet mereka atau diganti oleh pihak ketiga. Namun, tanda tangan di luar rantai juga merupakan aspek yang paling mudah diabaikan oleh pengguna, sebagian besar orang tidak akan memeriksa konten tanda tangan dengan cermat, dan ini adalah titik yang paling berbahaya.
teknik memancing muncul kembali
Untuk memicu phishing tanda tangan Permit2 ini, prasyarat kuncinya adalah dompet yang dipancing harus sudah memberikan otorisasi Token kepada kontrak Permit2 di suatu platform perdagangan. Saat ini, setiap kali melakukan Swap di Dapp yang terintegrasi dengan Permit2 atau di suatu platform perdagangan, harus memberikan otorisasi kepada kontrak Permit2.
Lebih menakutkan lagi, tidak peduli berapa jumlah Swap, kontrak Permit2 di suatu platform trading akan secara default mengizinkan pengguna untuk memberikan otorisasi seluruh saldo Token tersebut. Meskipun dompet akan memberikan peringatan untuk memasukkan jumlah yang dapat disesuaikan, tetapi sebagian besar orang akan langsung memilih nilai maksimum atau nilai default, dan nilai default Permit2 adalah batas tanpa batas.
Ini berarti, selama Anda telah berinteraksi dengan platform perdagangan tertentu setelah tahun 2023 dan memberikan otorisasi kepada kontrak Permit2, Anda mungkin menghadapi risiko phishing ini.
Inti dari fungsi Permit adalah memungkinkan transfer jumlah Token yang diberikan kepada kontrak Permit2 ke alamat lain. Penyerang hanya perlu mendapatkan tanda tangan pengguna untuk mendapatkan hak atas Token di dompet pengguna dan memindahkan aset.
langkah pencegahan
Memisahkan penyimpanan aset dan dompet interaksi: Menyimpan sejumlah besar aset di dompet dingin, sementara dompet interaksi hanya menyimpan sejumlah kecil dana, dapat secara signifikan mengurangi kerugian saat menghadapi phishing.
Batasi jumlah otorisasi atau batalkan otorisasi: Saat melakukan Swap di platform perdagangan tertentu, hanya berikan otorisasi untuk jumlah interaksi yang diperlukan. Meskipun harus memberikan otorisasi ulang setiap kali akan meningkatkan biaya, tetapi ini dapat menghindari risiko phishing tanda tangan Permit2. Pengguna yang telah memberikan otorisasi dapat membatalkan otorisasi melalui plugin keamanan.
Mengenali apakah token mendukung fungsi permit: Perhatikan apakah token yang dimiliki mendukung fungsi ini, dan harus sangat berhati-hati dalam transaksi dengan token yang mendukung, dengan memeriksa setiap tanda tangan yang tidak diketahui secara ketat.
Menyusun rencana penyelamatan aset yang komprehensif: Jika setelah ditipu masih ada token yang tersisa di platform lain, perlu berhati-hati dalam menarik dan memindahkan. Hacker mungkin memantau saldo alamat Anda kapan saja, dan begitu token muncul, mereka akan memindahkannya. Pertimbangkan untuk menggunakan pemindahan MEV atau mencari bantuan dari tim keamanan profesional.
Seiring dengan meluasnya penggunaan Permit2, kemungkinan pemancingan yang berbasis padanya akan semakin meningkat. Metode pemancingan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah, sehingga alamat yang terpapar pada risiko juga akan semakin banyak. Semoga pembaca dapat menyebarkan informasi ini kepada lebih banyak orang untuk menghindari lebih banyak orang mengalami kerugian.