Novo golpe de phishing com assinatura revelado: o contrato Uniswap Permit2 se torna um paraíso para Hackers
No ecossistema Web3, as questões de segurança sempre foram as mais preocupantes. Recentemente, uma nova técnica de phishing que utiliza o contrato Uniswap Permit2 começou a emergir, e sua ocultação e perigosidade são motivo de alerta. Este artigo irá analisar detalhadamente os princípios deste lavar os olhos e as medidas de prevenção.
O desenrolar do evento
Recentemente, alguns usuários relataram que seus ativos foram roubados, mas não houve vazamento de chaves privadas ou interação com contratos suspeitos. A investigação descobriu que os ativos roubados foram transferidos através da função Transfer From e que a operação estava relacionada ao contrato Permit2 da Uniswap.
Análise do contrato Uniswap Permit2
Permit2 é um novo contrato lançado pela Uniswap no final de 2022, destinado a fornecer uma experiência de gestão de autorização de tokens mais unificada, eficiente e segura. Permite que os usuários autorizem o contrato Permit2 uma única vez, podendo compartilhar o limite de autorização em várias aplicações que integram esse contrato, reduzindo assim significativamente o custo de interação dos usuários.
No entanto, esta conveniência também traz riscos potenciais. O Permit2 transforma as operações dos usuários de interações na cadeia em assinaturas fora da cadeia, e a fase de assinatura é frequentemente o ponto em que os usuários mais negligenciam.
Explicação das técnicas de phishing
Hacker utiliza a função Permit do contrato Permit2 para phishing. Esta função permite que os usuários autorizem outras pessoas a usar os seus tokens através de uma assinatura. O atacante induz o usuário a assinar mensagens que parecem inofensivas, mas na verdade estão a autorizar o atacante a operar os ativos do usuário.
Assim que obter a assinatura, o atacante pode chamar as funções relevantes do contrato Permit2, transferindo o limite de tokens autorizado pelo usuário para o Permit2 para si mesmo, roubando assim os ativos do usuário.
Medidas de precaução
Aprenda a identificar o formato da assinatura do Permit, incluindo informações-chave como Owner, Spender, value, nonce e deadline.
Usar a estratégia de separação de carteiras quentes e frias, armazenando ativos de grande valor em carteiras frias para reduzir o risco de roubo.
Ao autorizar o contrato Permit2, apenas autorize o valor necessário para a transação, evitando autorizar um montante excessivo.
Compreender se os tokens detidos suportam a funcionalidade Permit e manter-se alerta para transações com tokens que suportam essa funcionalidade.
Se, infelizmente, for roubado, deve elaborar um plano de resgate de ativos completo, podendo considerar a utilização de transferência MEV ou solicitar a ajuda de uma equipe de segurança profissional.
Com a expansão do âmbito de aplicação do Permit2, os ataques de phishing baseados nisso podem aumentar. Os usuários devem estar atentos e verificar cuidadosamente cada pedido de assinatura, protegendo assim a segurança dos seus ativos.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
13 Curtidas
Recompensa
13
8
Compartilhar
Comentário
0/400
OnChain_Detective
· 07-19 15:08
Uma assinatura descuidada pode ser fatal.
Ver originalResponder0
ApeWithAPlan
· 07-19 13:28
Cuidado ainda não é suficiente
Ver originalResponder0
BlockchainRetirementHome
· 07-19 12:34
É inacreditável que as assinaturas também possam ser roubadas.
Uniswap Permit2 contrato torna-se o novo alvo dos Hackers: Detalhes sobre o esquema de phishing por assinatura e como se prevenir
Novo golpe de phishing com assinatura revelado: o contrato Uniswap Permit2 se torna um paraíso para Hackers
No ecossistema Web3, as questões de segurança sempre foram as mais preocupantes. Recentemente, uma nova técnica de phishing que utiliza o contrato Uniswap Permit2 começou a emergir, e sua ocultação e perigosidade são motivo de alerta. Este artigo irá analisar detalhadamente os princípios deste lavar os olhos e as medidas de prevenção.
O desenrolar do evento
Recentemente, alguns usuários relataram que seus ativos foram roubados, mas não houve vazamento de chaves privadas ou interação com contratos suspeitos. A investigação descobriu que os ativos roubados foram transferidos através da função Transfer From e que a operação estava relacionada ao contrato Permit2 da Uniswap.
Análise do contrato Uniswap Permit2
Permit2 é um novo contrato lançado pela Uniswap no final de 2022, destinado a fornecer uma experiência de gestão de autorização de tokens mais unificada, eficiente e segura. Permite que os usuários autorizem o contrato Permit2 uma única vez, podendo compartilhar o limite de autorização em várias aplicações que integram esse contrato, reduzindo assim significativamente o custo de interação dos usuários.
No entanto, esta conveniência também traz riscos potenciais. O Permit2 transforma as operações dos usuários de interações na cadeia em assinaturas fora da cadeia, e a fase de assinatura é frequentemente o ponto em que os usuários mais negligenciam.
Explicação das técnicas de phishing
Hacker utiliza a função Permit do contrato Permit2 para phishing. Esta função permite que os usuários autorizem outras pessoas a usar os seus tokens através de uma assinatura. O atacante induz o usuário a assinar mensagens que parecem inofensivas, mas na verdade estão a autorizar o atacante a operar os ativos do usuário.
Assim que obter a assinatura, o atacante pode chamar as funções relevantes do contrato Permit2, transferindo o limite de tokens autorizado pelo usuário para o Permit2 para si mesmo, roubando assim os ativos do usuário.
Medidas de precaução
Usar a estratégia de separação de carteiras quentes e frias, armazenando ativos de grande valor em carteiras frias para reduzir o risco de roubo.
Ao autorizar o contrato Permit2, apenas autorize o valor necessário para a transação, evitando autorizar um montante excessivo.
Compreender se os tokens detidos suportam a funcionalidade Permit e manter-se alerta para transações com tokens que suportam essa funcionalidade.
Se, infelizmente, for roubado, deve elaborar um plano de resgate de ativos completo, podendo considerar a utilização de transferência MEV ou solicitar a ajuda de uma equipe de segurança profissional.
Com a expansão do âmbito de aplicação do Permit2, os ataques de phishing baseados nisso podem aumentar. Os usuários devem estar atentos e verificar cuidadosamente cada pedido de assinatura, protegendo assim a segurança dos seus ativos.