# サインフィッシング新詐欺の暴露:Uniswap Permit2契約がハッカーの天国にWeb3エコシステムにおいて、セキュリティの問題は常に頭痛の種です。最近、Uniswap Permit2コントラクトを利用した新たなフィッシング手法が活発化しており、その隠蔽性と危険性には警戒が必要です。本記事では、この目薬の原理と防止策について詳しく分析します。## 何が起こったのか最近、ユーザーから資産が盗まれたとの報告がありましたが、プライベートキーが漏洩したり、疑わしい契約とやり取りをしたりしたわけではありません。調査の結果、盗まれた資産はTransfer From関数を通じて移転されており、その操作はUniswapのPermit2契約に関連していました。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0cc586809f131d9dfab81df33fd1835e)## Uniswap Permit2 コントラクトの解析Permit2はUniswapが2022年末に導入した新しい契約で、より統一され、効率的かつ安全なトークン承認管理体験を提供することを目的としています。これにより、ユーザーはPermit2契約に対して一度の承認を行うだけで、その契約を統合した複数のアプリケーションで承認額を共有できるため、ユーザーのインタラクションコストが大幅に削減されます。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-bb348691082594ecc577f91d7f9dc800)しかし、この便利さには潜在的なリスクも伴います。Permit2はユーザーの操作をオンチェーンからオフチェーン署名に変えますが、署名の段階はユーザーが最も疎かにしやすい部分です。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-30520c8399a6ee69aa22424476c5870c)## フィッシング手法詳解ハッカーはPermit2契約のPermit関数を利用してフィッシングを行います。この関数は、ユーザーが署名を通じて他者に自分のトークンを使用することを許可するものです。攻撃者はユーザーに無害に見えるメッセージに署名させ、実際には攻撃者がユーザーの資産を操作することを許可しています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-730db044a34a8dc242f04cf8ae4d394c)一旦获得署名、攻撃者はPermit2契約の関連関数を呼び出し、ユーザーがPermit2に与えたトークンの額を自分に移転させ、ユーザーの資産を盗むことができる。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-610abe28375ce9ad0e08e0ff1f483c1d)## 使用上の注意1. 所有者、支出者、価値、ノンス、期限などの重要な情報を含む、許可証の署名形式を認識する方法を学びます。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-7e307b251a6cd5f615f05f3fe5f88165)2. コールドウォレットとホットウォレットの分離戦略を使用し、大額資産をコールドウォレットに保管して盗難リスクを低減します。3. Permit2コントラクトを承認する際は、必要な取引額のみを承認し、過剰な額の承認を避けてください。4. 所持しているトークンがPermit機能をサポートしているかを確認し、その機能をサポートしているトークンの取引には警戒を怠らないこと。5. もし盗まれてしまった場合は、資産救援計画を整備する必要があります。MEV転送の利用や専門のセキュリティチームの支援を検討してください。Permit2の適用範囲が拡大するにつれて、それに基づくフィッシング攻撃が増加する可能性があります。ユーザーは警戒を強め、すべての署名リクエストを慎重に確認し、自身の資産の安全を守るべきです。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-beaf0776306ee492b8c2fe3bbc281fd6)
Uniswap Permit2契約はハッカーの新しいターゲット:署名フィッシング目薬の詳細と防止策
サインフィッシング新詐欺の暴露:Uniswap Permit2契約がハッカーの天国に
Web3エコシステムにおいて、セキュリティの問題は常に頭痛の種です。最近、Uniswap Permit2コントラクトを利用した新たなフィッシング手法が活発化しており、その隠蔽性と危険性には警戒が必要です。本記事では、この目薬の原理と防止策について詳しく分析します。
何が起こったのか
最近、ユーザーから資産が盗まれたとの報告がありましたが、プライベートキーが漏洩したり、疑わしい契約とやり取りをしたりしたわけではありません。調査の結果、盗まれた資産はTransfer From関数を通じて移転されており、その操作はUniswapのPermit2契約に関連していました。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Uniswap Permit2 コントラクトの解析
Permit2はUniswapが2022年末に導入した新しい契約で、より統一され、効率的かつ安全なトークン承認管理体験を提供することを目的としています。これにより、ユーザーはPermit2契約に対して一度の承認を行うだけで、その契約を統合した複数のアプリケーションで承認額を共有できるため、ユーザーのインタラクションコストが大幅に削減されます。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
しかし、この便利さには潜在的なリスクも伴います。Permit2はユーザーの操作をオンチェーンからオフチェーン署名に変えますが、署名の段階はユーザーが最も疎かにしやすい部分です。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
フィッシング手法詳解
ハッカーはPermit2契約のPermit関数を利用してフィッシングを行います。この関数は、ユーザーが署名を通じて他者に自分のトークンを使用することを許可するものです。攻撃者はユーザーに無害に見えるメッセージに署名させ、実際には攻撃者がユーザーの資産を操作することを許可しています。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
一旦获得署名、攻撃者はPermit2契約の関連関数を呼び出し、ユーザーがPermit2に与えたトークンの額を自分に移転させ、ユーザーの資産を盗むことができる。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
使用上の注意
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
コールドウォレットとホットウォレットの分離戦略を使用し、大額資産をコールドウォレットに保管して盗難リスクを低減します。
Permit2コントラクトを承認する際は、必要な取引額のみを承認し、過剰な額の承認を避けてください。
所持しているトークンがPermit機能をサポートしているかを確認し、その機能をサポートしているトークンの取引には警戒を怠らないこと。
もし盗まれてしまった場合は、資産救援計画を整備する必要があります。MEV転送の利用や専門のセキュリティチームの支援を検討してください。
Permit2の適用範囲が拡大するにつれて、それに基づくフィッシング攻撃が増加する可能性があります。ユーザーは警戒を強め、すべての署名リクエストを慎重に確認し、自身の資産の安全を守るべきです。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く