Новый мошеннический план подписания на рыбалке: контракт Uniswap Permit2 становится раем для Хакеров
В экосистеме Web3 проблемы безопасности всегда были наиболее беспокоящими. В последнее время появилась новая фишинговая схема, использующая контракт Uniswap Permit2, которая начинает активно развиваться, и ее скрытность и опасность вызывают беспокойство. В этой статье мы подробно разберем принципы этого промывания глаз и меры предосторожности.
Ход событий
Недавно пользователи сообщили о краже активов, но при этом не было утечки приватных ключей или взаимодействия с подозрительными контрактами. В ходе расследования выяснилось, что украденные активы были переведены с помощью функции Transfer From, и операция была связана с контрактом Permit2 от Uniswap.
Анализ контракта Uniswap Permit2
Permit2 — это новый контракт, который Uniswap представил в конце 2022 года, предназначенный для обеспечения более унифицированного, эффективного и безопасного управления авторизацией токенов. Он позволяет пользователям предоставить разрешение только один раз для контракта Permit2, после чего они могут делиться лимитом авторизации в нескольких приложениях, интегрирующих этот контракт, что значительно снижает затраты на взаимодействие пользователей.
Однако это удобство также приносит потенциальные риски. Permit2 превращает операции пользователей из взаимодействия на блокчейне в подписи вне сети, и именно на этапе подписи пользователи чаще всего могут упустить детали.
Подробное объяснение фишинга
Хакер использует функцию Permit контракта Permit2 для фишинга. Эта функция позволяет пользователям авторизовать других на использование своих токенов через подпись. Злоумышленники склоняют пользователей подписывать казалось бы безобидные сообщения, на самом деле они авторизуют злоумышленников на управление активами пользователей.
Как только подпись получена, злоумышленник может вызвать соответствующие функции контракта Permit2, чтобы передать себе объем токенов, предоставленных пользователем для Permit2, и таким образом украсть активы пользователя.
Меры предосторожности
Научитесь распознавать формат подписи Permit, включая ключевую информацию, такую как Владелец, Распорядитель, значение, номер и срок действия.
Используйте стратегию разделения горячих и холодных кошельков, храните крупные активы в холодном кошельке, чтобы снизить риск кражи.
При авторизации контракта Permit2 следует авторизовать только необходимую сумму транзакции, чтобы избежать чрезмерной авторизации.
Узнайте, поддерживает ли ваше токен Permit-функцию, будьте осторожны с торговлей токенами, которые поддерживают эту функцию.
Если, к сожалению, вас ограбили, необходимо разработать полноценный план спасения активов, можно рассмотреть возможность использования MEV-переводов или обратиться за помощью к профессиональной команде безопасности.
С расширением области применения Permit2, основанные на этом фишинговые атаки могут стать все более частыми. Пользователи должны быть внимательными и тщательно проверять каждую запрашиваемую подпись, чтобы защитить свои активы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Контракт Uniswap Permit2 стал новой целью хакеров: подробное объяснение фишинга с подделкой подписей и меры предосторожности
Новый мошеннический план подписания на рыбалке: контракт Uniswap Permit2 становится раем для Хакеров
В экосистеме Web3 проблемы безопасности всегда были наиболее беспокоящими. В последнее время появилась новая фишинговая схема, использующая контракт Uniswap Permit2, которая начинает активно развиваться, и ее скрытность и опасность вызывают беспокойство. В этой статье мы подробно разберем принципы этого промывания глаз и меры предосторожности.
Ход событий
Недавно пользователи сообщили о краже активов, но при этом не было утечки приватных ключей или взаимодействия с подозрительными контрактами. В ходе расследования выяснилось, что украденные активы были переведены с помощью функции Transfer From, и операция была связана с контрактом Permit2 от Uniswap.
Анализ контракта Uniswap Permit2
Permit2 — это новый контракт, который Uniswap представил в конце 2022 года, предназначенный для обеспечения более унифицированного, эффективного и безопасного управления авторизацией токенов. Он позволяет пользователям предоставить разрешение только один раз для контракта Permit2, после чего они могут делиться лимитом авторизации в нескольких приложениях, интегрирующих этот контракт, что значительно снижает затраты на взаимодействие пользователей.
Однако это удобство также приносит потенциальные риски. Permit2 превращает операции пользователей из взаимодействия на блокчейне в подписи вне сети, и именно на этапе подписи пользователи чаще всего могут упустить детали.
Подробное объяснение фишинга
Хакер использует функцию Permit контракта Permit2 для фишинга. Эта функция позволяет пользователям авторизовать других на использование своих токенов через подпись. Злоумышленники склоняют пользователей подписывать казалось бы безобидные сообщения, на самом деле они авторизуют злоумышленников на управление активами пользователей.
Как только подпись получена, злоумышленник может вызвать соответствующие функции контракта Permit2, чтобы передать себе объем токенов, предоставленных пользователем для Permit2, и таким образом украсть активы пользователя.
Меры предосторожности
Используйте стратегию разделения горячих и холодных кошельков, храните крупные активы в холодном кошельке, чтобы снизить риск кражи.
При авторизации контракта Permit2 следует авторизовать только необходимую сумму транзакции, чтобы избежать чрезмерной авторизации.
Узнайте, поддерживает ли ваше токен Permit-функцию, будьте осторожны с торговлей токенами, которые поддерживают эту функцию.
Если, к сожалению, вас ограбили, необходимо разработать полноценный план спасения активов, можно рассмотреть возможность использования MEV-переводов или обратиться за помощью к профессиональной команде безопасности.
С расширением области применения Permit2, основанные на этом фишинговые атаки могут стать все более частыми. Пользователи должны быть внимательными и тщательно проверять каждую запрашиваемую подпись, чтобы защитить свои активы.