Revelando o esquema de phishing de assinatura Permit2 do Uniswap
Os hackers sempre foram uma das presenças mais aterradoras no ecossistema Web3. Para as equipes de projeto, a característica de código aberto significa que eles avançam como se estivessem andando sobre ovos, com medo de deixar vulnerabilidades de segurança. Para os usuários individuais, cada interação ou assinatura na cadeia pode levar ao roubo de ativos, tornando-se ainda mais perigoso se não compreenderem o significado das operações. Portanto, a questão da segurança sempre foi um dos problemas mais difíceis no mundo das criptomoedas. Devido à irreversibilidade da blockchain, é quase impossível recuperar ativos roubados, o que destaca ainda mais a importância do conhecimento em segurança.
Recentemente, um novo método de phishing começou a ganhar destaque, onde basta uma assinatura para que os ativos sejam roubados. Este método é extremamente discreto e difícil de prevenir, e todos os endereços que já interagiram com a Uniswap podem estar em risco. Este artigo irá detalhar este método de phishing por assinatura, a fim de reduzir mais perdas de ativos para os usuários.
evento
Recentemente, um amigo (, provisoriamente chamado de A), teve seus ativos de carteira roubados. Ao contrário das formas comuns de roubo, A não divulgou sua chave privada, nem interagiu com contratos suspeitos. Através do explorador de blockchain, é possível ver que o USDT da carteira de A foi transferido através da função Transfer From. Isso significa que um endereço de terceiros operou para retirar o Token, e não que a chave privada da carteira foi divulgada.
Detalhes da transação mostram:
O endereço com o sufixo fd51 transferiu os ativos de Xiao A para o endereço com o sufixo a0c8.
Esta operação interage com o contrato Permit2 de uma plataforma de negociação.
A questão chave é: como o endereço com o sufixo fd51 obteve permissão para este ativo? Por que está relacionado a uma plataforma de negociação?
Uma investigação mais aprofundada revelou que, antes da transferência dos ativos de A, o endereço terminando em fd51 realizou uma operação de Permissão, e os objetos de interação dessas duas operações foram ambos o contrato Permit2 de uma plataforma de negociação.
O contrato Permit2 é um novo contrato inteligente lançado no final de 2022 por uma plataforma de negociação. Ele permite a autorização de tokens para serem compartilhados e geridos entre diferentes aplicações, com o objetivo de criar uma experiência de utilizador mais unificada, mais rentável e mais segura. À medida que mais projetos integram o Permit2, ele poderá alcançar a normalização da aprovação de tokens em todas as aplicações, melhorando a experiência do utilizador através da redução dos custos de transação, ao mesmo tempo que aumenta a segurança dos contratos inteligentes.
A aparição do Permit2 pode mudar as regras do jogo no ecossistema Dapp. De forma tradicional, os usuários precisam autorizar individualmente cada interação com um Dapp. O Permit2 pode eliminar essa etapa, reduzindo efetivamente o custo de interação do usuário e proporcionando uma melhor experiência. Como intermediário entre o usuário e o Dapp, o Permit2 permite que os usuários concedam permissões de Token ao contrato Permit2, e todos os Dapps que integrem esse contrato podem partilhar esse limite de autorização.
No entanto, o Permit2 também é uma arma de dois gumes. Ele transforma as operações do usuário em assinaturas fora da cadeia, todas as operações na cadeia são realizadas por um intermediário. Isso permite que os usuários utilizem outros tokens para pagar as taxas de Gas ou que sejam reembolsados pelo intermediário, mesmo que não tenham ETH na carteira. No entanto, a assinatura fora da cadeia é também a parte mais fácil de ser negligenciada pelo usuário, a maioria das pessoas não verifica cuidadosamente o conteúdo da assinatura, o que é precisamente o ponto mais perigoso.
técnica de pesca reapareceu
Para desencadear esta phishing de assinatura Permit2, a condição chave é que a carteira alvo do phishing já deve ter autorizado o Token ao contrato Permit2 de uma plataforma de negociação. Atualmente, sempre que se realiza um Swap em um Dapp ou plataforma de negociação integrado ao Permit2, é necessário autorizar o contrato Permit2.
Mais assustador é que, independentemente do valor do Swap, o contrato Permit2 de uma determinada plataforma de negociação irá, por padrão, permitir que os usuários autorizem o saldo total desse Token. Embora a carteira avise sobre a entrada de um valor personalizado, a maioria das pessoas escolherá diretamente o valor máximo ou o valor padrão, que no caso do Permit2 é um limite ilimitado.
Isto significa que, se você teve alguma interação com uma plataforma de negociação após 2023 e autorizou o contrato Permit2, poderá enfrentar este risco de phishing.
O núcleo está na função Permit, que permite transferir a quantidade de Token autorizada ao contrato Permit2 para outros endereços. Os hackers só precisam obter a assinatura do usuário para obter a autorização dos Tokens na carteira do usuário e transferir os ativos.
medidas de prevenção
Compreender e identificar o conteúdo da assinatura: Aprender a reconhecer o formato da assinatura Permit, que inclui informações-chave como Owner, Spender, value, nonce e deadline. Usar plug-ins de segurança ajuda na identificação.
Separar o armazenamento de ativos e a carteira de interação: armazenar uma grande quantidade de ativos em carteiras frias, enquanto a carteira de interação mantém apenas uma pequena quantia de fundos, pode reduzir significativamente as perdas em caso de phishing.
Limitar o valor da autorização ou cancelar a autorização: ao realizar Swap em uma determinada plataforma de negociação, autorize apenas o montante necessário para a interação. Embora a necessidade de reautorizar a cada vez aumente os custos, pode evitar o risco de phishing de assinatura Permit2. Usuários autorizados podem cancelar a autorização através de plugins de segurança.
Identificar se os tokens suportam a funcionalidade permit: Preste atenção se os tokens que possui suportam essa funcionalidade, e seja especialmente cauteloso nas transações com tokens que a suportam, verificando rigorosamente cada assinatura desconhecida.
Elaborar um plano de resgate de ativos: se houver tokens em outras plataformas após ser enganado, é necessário retirar e transferir com cautela. Hackers podem monitorizar o saldo do seu endereço a qualquer momento, e assim que surgirem tokens, estes serão transferidos. Considere usar transferências MEV ou procurar a assistência de uma equipe de segurança profissional.
À medida que a aplicação do Permit2 se expande, a pesca baseada nele pode aumentar cada vez mais. Este método de pesca por assinatura é extremamente discreto e difícil de prevenir, e os endereços expostos ao risco também serão cada vez mais. Esperamos que os leitores possam disseminar essas informações a mais pessoas, evitando que mais pessoas sofram perdas.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
14 gostos
Recompensa
14
3
Partilhar
Comentar
0/400
CryptoGoldmine
· 07-28 16:06
Dados superam discussões. Investimento de um ano com retorno de 155%.
Uniswap Permit2 assinatura phishing novo lavar os olhos segurança do ativo quatro grandes medidas de prevenção
Revelando o esquema de phishing de assinatura Permit2 do Uniswap
Os hackers sempre foram uma das presenças mais aterradoras no ecossistema Web3. Para as equipes de projeto, a característica de código aberto significa que eles avançam como se estivessem andando sobre ovos, com medo de deixar vulnerabilidades de segurança. Para os usuários individuais, cada interação ou assinatura na cadeia pode levar ao roubo de ativos, tornando-se ainda mais perigoso se não compreenderem o significado das operações. Portanto, a questão da segurança sempre foi um dos problemas mais difíceis no mundo das criptomoedas. Devido à irreversibilidade da blockchain, é quase impossível recuperar ativos roubados, o que destaca ainda mais a importância do conhecimento em segurança.
Recentemente, um novo método de phishing começou a ganhar destaque, onde basta uma assinatura para que os ativos sejam roubados. Este método é extremamente discreto e difícil de prevenir, e todos os endereços que já interagiram com a Uniswap podem estar em risco. Este artigo irá detalhar este método de phishing por assinatura, a fim de reduzir mais perdas de ativos para os usuários.
evento
Recentemente, um amigo (, provisoriamente chamado de A), teve seus ativos de carteira roubados. Ao contrário das formas comuns de roubo, A não divulgou sua chave privada, nem interagiu com contratos suspeitos. Através do explorador de blockchain, é possível ver que o USDT da carteira de A foi transferido através da função Transfer From. Isso significa que um endereço de terceiros operou para retirar o Token, e não que a chave privada da carteira foi divulgada.
Detalhes da transação mostram:
A questão chave é: como o endereço com o sufixo fd51 obteve permissão para este ativo? Por que está relacionado a uma plataforma de negociação?
Uma investigação mais aprofundada revelou que, antes da transferência dos ativos de A, o endereço terminando em fd51 realizou uma operação de Permissão, e os objetos de interação dessas duas operações foram ambos o contrato Permit2 de uma plataforma de negociação.
O contrato Permit2 é um novo contrato inteligente lançado no final de 2022 por uma plataforma de negociação. Ele permite a autorização de tokens para serem compartilhados e geridos entre diferentes aplicações, com o objetivo de criar uma experiência de utilizador mais unificada, mais rentável e mais segura. À medida que mais projetos integram o Permit2, ele poderá alcançar a normalização da aprovação de tokens em todas as aplicações, melhorando a experiência do utilizador através da redução dos custos de transação, ao mesmo tempo que aumenta a segurança dos contratos inteligentes.
A aparição do Permit2 pode mudar as regras do jogo no ecossistema Dapp. De forma tradicional, os usuários precisam autorizar individualmente cada interação com um Dapp. O Permit2 pode eliminar essa etapa, reduzindo efetivamente o custo de interação do usuário e proporcionando uma melhor experiência. Como intermediário entre o usuário e o Dapp, o Permit2 permite que os usuários concedam permissões de Token ao contrato Permit2, e todos os Dapps que integrem esse contrato podem partilhar esse limite de autorização.
No entanto, o Permit2 também é uma arma de dois gumes. Ele transforma as operações do usuário em assinaturas fora da cadeia, todas as operações na cadeia são realizadas por um intermediário. Isso permite que os usuários utilizem outros tokens para pagar as taxas de Gas ou que sejam reembolsados pelo intermediário, mesmo que não tenham ETH na carteira. No entanto, a assinatura fora da cadeia é também a parte mais fácil de ser negligenciada pelo usuário, a maioria das pessoas não verifica cuidadosamente o conteúdo da assinatura, o que é precisamente o ponto mais perigoso.
técnica de pesca reapareceu
Para desencadear esta phishing de assinatura Permit2, a condição chave é que a carteira alvo do phishing já deve ter autorizado o Token ao contrato Permit2 de uma plataforma de negociação. Atualmente, sempre que se realiza um Swap em um Dapp ou plataforma de negociação integrado ao Permit2, é necessário autorizar o contrato Permit2.
Mais assustador é que, independentemente do valor do Swap, o contrato Permit2 de uma determinada plataforma de negociação irá, por padrão, permitir que os usuários autorizem o saldo total desse Token. Embora a carteira avise sobre a entrada de um valor personalizado, a maioria das pessoas escolherá diretamente o valor máximo ou o valor padrão, que no caso do Permit2 é um limite ilimitado.
Isto significa que, se você teve alguma interação com uma plataforma de negociação após 2023 e autorizou o contrato Permit2, poderá enfrentar este risco de phishing.
O núcleo está na função Permit, que permite transferir a quantidade de Token autorizada ao contrato Permit2 para outros endereços. Os hackers só precisam obter a assinatura do usuário para obter a autorização dos Tokens na carteira do usuário e transferir os ativos.
medidas de prevenção
Separar o armazenamento de ativos e a carteira de interação: armazenar uma grande quantidade de ativos em carteiras frias, enquanto a carteira de interação mantém apenas uma pequena quantia de fundos, pode reduzir significativamente as perdas em caso de phishing.
Limitar o valor da autorização ou cancelar a autorização: ao realizar Swap em uma determinada plataforma de negociação, autorize apenas o montante necessário para a interação. Embora a necessidade de reautorizar a cada vez aumente os custos, pode evitar o risco de phishing de assinatura Permit2. Usuários autorizados podem cancelar a autorização através de plugins de segurança.
Identificar se os tokens suportam a funcionalidade permit: Preste atenção se os tokens que possui suportam essa funcionalidade, e seja especialmente cauteloso nas transações com tokens que a suportam, verificando rigorosamente cada assinatura desconhecida.
Elaborar um plano de resgate de ativos: se houver tokens em outras plataformas após ser enganado, é necessário retirar e transferir com cautela. Hackers podem monitorizar o saldo do seu endereço a qualquer momento, e assim que surgirem tokens, estes serão transferidos. Considere usar transferências MEV ou procurar a assistência de uma equipe de segurança profissional.
À medida que a aplicação do Permit2 se expande, a pesca baseada nele pode aumentar cada vez mais. Este método de pesca por assinatura é extremamente discreto e difícil de prevenir, e os endereços expostos ao risco também serão cada vez mais. Esperamos que os leitores possam disseminar essas informações a mais pessoas, evitando que mais pessoas sofram perdas.