Раскрытие мошенничества с подписями Uniswap Permit2
Хакеры всегда были самым пугающим существом в экосистеме Web3. Для команд проектов открытый исходный код заставляет их разрабатывать с осторожностью, боясь оставить уязвимости в безопасности. Для отдельных пользователей каждое взаимодействие или подписание в блокчейне может привести к краже активов, и если они не понимают значение своих действий, это еще более опасно. Поэтому проблемы безопасности всегда были одной из самых сложных проблем в криптомире. Из-за необратимости блокчейна украденные активы почти невозможно вернуть, что еще больше подчеркивает важность знаний о безопасности.
В последнее время начала активизироваться новая форма фишинга, которая позволяет украсть активы всего лишь с помощью подписи. Этот метод крайне скрытен и труден для предотвращения, и адреса, которые ранее взаимодействовали с Uniswap, могут оказаться под угрозой. В этой статье подробно рассматривается данный метод фишинга с подписью, чтобы уменьшить потери активов у большего числа пользователей.
Ход событий
Недавно у одного друга (, назовем его Маленький А, были украдены активы из кошелька. В отличие от обычных способов кражи, Маленький А не раскрыл свой приватный ключ и не взаимодействовал с подозрительными контрактами. Через блокчейн-браузер видно, что USDT в кошельке Маленького А был переведен с помощью функции Transfer From. Это означает, что токены были переведены третьим адресом, а не из-за утечки приватного ключа кошелька.
Детали сделки показывают:
Адрес с окончанием fd51 перевел активы маленького A на адрес с окончанием a0c8.
Эта операция взаимодействует с контрактом Permit2 на одной из торговых платформ.
Ключевой вопрос в том, как адрес с окончанием fd51 получил права на этот актив? Почему это связано с какой-то торговой платформой?
Дальнейшее расследование показало, что перед переводом активов малой A адрес с окончанием fd51 также выполнил операцию Permit, и оба этих взаимодействия касаются контракта Permit2 на определенной торговой платформе.
![Подпись украли? Раскрытие мошенничества с фишингом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Контракт Permit2 — это новый смарт-контракт, выпущенный одной из торговых платформ в конце 2022 года. Он позволяет авторизовывать токены для обмена и управления ими между различными приложениями, с целью создания более унифицированного, экономически эффективного и безопасного пользовательского опыта. С увеличением количества проектов, интегрирующих Permit2, он может достичь стандартизации Token-аппровала во всех приложениях, улучшая пользовательский опыт за счет снижения транзакционных издержек и одновременно повышая безопасность смарт-контрактов.
Появление Permit2 может изменить правила игры в экосистеме Dapp. В традиционном подходе пользователям необходимо отдельно авторизовываться при взаимодействии с каждым Dapp. Однако Permit2 может устранить этот шаг, эффективно снизив затраты на взаимодействие пользователей и обеспечив лучший опыт. Permit2 выступает в роли посредника между пользователем и Dapp, пользователю нужно лишь предоставить разрешение на токены контракту Permit2, и все Dapp, интегрированные с этим контрактом, смогут поделиться этим лимитом разрешения.
Однако Permit2 также является мечом с двумя лезвиями. Он превращает действия пользователей в оффлайн-подписи, все операции в сети выполняются промежуточными участниками. Это позволяет пользователям использовать другие токены для оплаты Gas, даже если в их кошельке нет ETH, или быть возмещенными промежуточными участниками. Но оффлайн-подпись также является самым уязвимым моментом для пользователей, большинство людей не будут внимательно проверять содержание подписи, и это именно то, что является самым опасным.
) метод рыбалки вновь представлен
Чтобы вызвать такую фишинговую атаку с использованием Permit2, ключевое условие заключается в том, что кошелек, подвергнутый фишингу, должен был уже авторизовать токены на контракт Permit2 определенной торговой платформы. В настоящее время для выполнения обмена на Dapp или определенной торговой платформе, интегрированной с Permit2, необходимо предоставить разрешение контракту Permit2.
Более страшно то, что независимо от суммы Swap, контракт Permit2 на одной торговой платформе по умолчанию предоставляет пользователю разрешение на весь баланс данного токена. Хотя кошелек будет предлагать ввести сумму вручную, большинство людей просто выберут максимальное или значение по умолчанию, а значением по умолчанию для Permit2 является неограниченный лимит.
Это означает, что если вы взаимодействовали с какой-либо торговой платформой после 2023 года и предоставили разрешение контракту Permit2, вы можете столкнуться с таким риском фишинга.
Суть в функции Permit, которая позволяет передавать лимит токенов, разрешенных для контракта Permit2, на другие адреса. Хакеру достаточно получить подпись пользователя, чтобы получить доступ к токенам в кошельке пользователя и перевести активы.
![Подпись была украдена? Раскрытие мошенничества с подпиской Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
) меры предосторожности
Понимание и распознавание содержимого подписи: научитесь распознавать формат подписи Permit, который включает ключевую информацию, такую как Владельца, Распорядителя, значение, nonce и крайний срок. Использование безопасных плагинов помогает в распознавании.
![Подписка украдена? Раскрытие мошенничества с подписями Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Разделение хранения активов и интерактивного кошелька: храните большую часть активов в холодном кошельке, а интерактивный кошелек оставляйте только с небольшой суммой, что значительно уменьшает потери при встрече с промыванием глаз.
Ограничение суммы авторизации или отмена авторизации: при проведении Swap на определенной торговой платформе авторизуйте только необходимую сумму для взаимодействия. Хотя повторная авторизация каждый раз увеличивает затраты, это может предотвратить риски фишинга с подписью Permit2. Пользователи, которые уже авторизованы, могут отменить авторизацию с помощью безопасного плагина.
Определение, поддерживает ли токен функцию permit: Обратите внимание на то, поддерживает ли токен, который вы держите, эту функцию, и будьте особенно осторожны при торговле токенами, которые её поддерживают; строго проверяйте каждую неизвестную подпись.
Разработка完善ного плана спасения активов: если после мошенничества токены существуют на других платформах, необходимо осторожно их выводить и переносить. Хакеры могут в любое время отслеживать баланс вашего адреса, и как только появятся токены, они будут перемещены. Рассмотрите возможность использования MEV-перемещения или обращения за помощью к профессиональной команде безопасности.
С расширением применения Permit2 количество фишинговых атак, основанных на нем, может увеличиваться. Этот метод фишинга с использованием подписей крайне скрытен и труден для предотвращения, и количество адресов, подверженных риску, также будет расти. Надеемся, что читатели смогут распространить эту информацию среди большего числа людей, чтобы избежать больших потерь.
![Подпись была украдена? Раскрытие фишинга с подписью Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
![Подписали и вас обокрали? Раскрываем мошенничество с подписью Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
![Подпись может быть украдена? Раскрытие мошенничества с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(
![Подпись была украдена? Раскрытие мошенничества с phishing на Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(
![Подпись была украдена? Раскрытие схемы фишинга подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f72c38a16e315ce33b8cc5567854f5c6.webp(
![Подпись украдут? Раскрытие мошенничества с подделкой подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-4fdf03afb062f8f5d531cca3cd6330cc.webp(
![Подпись была украдена? Раскрытие схемы фишинга Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-dc94f3781aa7b30ba08a99ee827ca2e3.webp(
![Подпись украдена? Раскрытие мошенничества с подписками Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-47d14fc32e8b79f43a5a64146a1b355a.webp(
![Подписка была украдена? Раскрытие промывания глаз Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1ce5ef8966b9fc2d1101ba341faad70d.webp(
![Подпись была украдена? Раскрытие мошенничества с фишингом подписей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3c5d855a6c3bc51a57a4a17fe28b2657.webp(
![Подписали и вас обокрали? Раскрытие мошенничества с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-c1e00cf62c806e99c4188dfa650090ce.webp(
![Подпись была украдена? Раскрытие мошенничества с рыболовством подписей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1b868982a90873ccc2af4ad8c5e4f1ff.webp(
![Подпись была украдена? Раскрываем промывание глаз с подписанием Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd.webp(
![Подпись была украдена? Раскрытие мошенничества с фишингом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3213312ac0a792dabb27109da5084835.webp(
![Подпись украдена? Раскрытие мошенничества с фишингом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-fad2e7cbe2aaf3d695362fca4640ff4f.webp(
![Подпись украдена? Раскрываем схему фишинга с подписью Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0030f2fe9e740084b05db9e08c389be7.webp(
![Подпись была украдена? Разоблачение промывания глаз с использованием Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-9e636d675ee5c6c6e57ed6022fce956a.webp(
![Подпись была украдена? Раскрытие мошенничества с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-8961f519f6452dbcd4876e0135b0cb64.webp(
![Подпись была украдена? Раскрываем мошенничество с подделкой подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1a57d7d1db3a8e31c46432f068871722.webp(
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
3
Поделиться
комментарий
0/400
CryptoGoldmine
· 07-28 16:06
Данные важнее споров. Доход от инвестиций за год 155%.
Uniswap Permit2 подпись рыболовство новый промывание глаз безопасность активов четыре меры предосторожности
Раскрытие мошенничества с подписями Uniswap Permit2
Хакеры всегда были самым пугающим существом в экосистеме Web3. Для команд проектов открытый исходный код заставляет их разрабатывать с осторожностью, боясь оставить уязвимости в безопасности. Для отдельных пользователей каждое взаимодействие или подписание в блокчейне может привести к краже активов, и если они не понимают значение своих действий, это еще более опасно. Поэтому проблемы безопасности всегда были одной из самых сложных проблем в криптомире. Из-за необратимости блокчейна украденные активы почти невозможно вернуть, что еще больше подчеркивает важность знаний о безопасности.
В последнее время начала активизироваться новая форма фишинга, которая позволяет украсть активы всего лишь с помощью подписи. Этот метод крайне скрытен и труден для предотвращения, и адреса, которые ранее взаимодействовали с Uniswap, могут оказаться под угрозой. В этой статье подробно рассматривается данный метод фишинга с подписью, чтобы уменьшить потери активов у большего числа пользователей.
Ход событий
Недавно у одного друга (, назовем его Маленький А, были украдены активы из кошелька. В отличие от обычных способов кражи, Маленький А не раскрыл свой приватный ключ и не взаимодействовал с подозрительными контрактами. Через блокчейн-браузер видно, что USDT в кошельке Маленького А был переведен с помощью функции Transfer From. Это означает, что токены были переведены третьим адресом, а не из-за утечки приватного ключа кошелька.
Детали сделки показывают:
Ключевой вопрос в том, как адрес с окончанием fd51 получил права на этот актив? Почему это связано с какой-то торговой платформой?
Дальнейшее расследование показало, что перед переводом активов малой A адрес с окончанием fd51 также выполнил операцию Permit, и оба этих взаимодействия касаются контракта Permit2 на определенной торговой платформе.
![Подпись украли? Раскрытие мошенничества с фишингом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Контракт Permit2 — это новый смарт-контракт, выпущенный одной из торговых платформ в конце 2022 года. Он позволяет авторизовывать токены для обмена и управления ими между различными приложениями, с целью создания более унифицированного, экономически эффективного и безопасного пользовательского опыта. С увеличением количества проектов, интегрирующих Permit2, он может достичь стандартизации Token-аппровала во всех приложениях, улучшая пользовательский опыт за счет снижения транзакционных издержек и одновременно повышая безопасность смарт-контрактов.
Появление Permit2 может изменить правила игры в экосистеме Dapp. В традиционном подходе пользователям необходимо отдельно авторизовываться при взаимодействии с каждым Dapp. Однако Permit2 может устранить этот шаг, эффективно снизив затраты на взаимодействие пользователей и обеспечив лучший опыт. Permit2 выступает в роли посредника между пользователем и Dapp, пользователю нужно лишь предоставить разрешение на токены контракту Permit2, и все Dapp, интегрированные с этим контрактом, смогут поделиться этим лимитом разрешения.
Однако Permit2 также является мечом с двумя лезвиями. Он превращает действия пользователей в оффлайн-подписи, все операции в сети выполняются промежуточными участниками. Это позволяет пользователям использовать другие токены для оплаты Gas, даже если в их кошельке нет ETH, или быть возмещенными промежуточными участниками. Но оффлайн-подпись также является самым уязвимым моментом для пользователей, большинство людей не будут внимательно проверять содержание подписи, и это именно то, что является самым опасным.
) метод рыбалки вновь представлен
Чтобы вызвать такую фишинговую атаку с использованием Permit2, ключевое условие заключается в том, что кошелек, подвергнутый фишингу, должен был уже авторизовать токены на контракт Permit2 определенной торговой платформы. В настоящее время для выполнения обмена на Dapp или определенной торговой платформе, интегрированной с Permit2, необходимо предоставить разрешение контракту Permit2.
Более страшно то, что независимо от суммы Swap, контракт Permit2 на одной торговой платформе по умолчанию предоставляет пользователю разрешение на весь баланс данного токена. Хотя кошелек будет предлагать ввести сумму вручную, большинство людей просто выберут максимальное или значение по умолчанию, а значением по умолчанию для Permit2 является неограниченный лимит.
![Подпись похищена? Раскрытие схемы фишинга подписи Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Это означает, что если вы взаимодействовали с какой-либо торговой платформой после 2023 года и предоставили разрешение контракту Permit2, вы можете столкнуться с таким риском фишинга.
Суть в функции Permit, которая позволяет передавать лимит токенов, разрешенных для контракта Permit2, на другие адреса. Хакеру достаточно получить подпись пользователя, чтобы получить доступ к токенам в кошельке пользователя и перевести активы.
![Подпись была украдена? Раскрытие мошенничества с подпиской Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
) меры предосторожности
![Подписка украдена? Раскрытие мошенничества с подписями Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Разделение хранения активов и интерактивного кошелька: храните большую часть активов в холодном кошельке, а интерактивный кошелек оставляйте только с небольшой суммой, что значительно уменьшает потери при встрече с промыванием глаз.
Ограничение суммы авторизации или отмена авторизации: при проведении Swap на определенной торговой платформе авторизуйте только необходимую сумму для взаимодействия. Хотя повторная авторизация каждый раз увеличивает затраты, это может предотвратить риски фишинга с подписью Permit2. Пользователи, которые уже авторизованы, могут отменить авторизацию с помощью безопасного плагина.
Определение, поддерживает ли токен функцию permit: Обратите внимание на то, поддерживает ли токен, который вы держите, эту функцию, и будьте особенно осторожны при торговле токенами, которые её поддерживают; строго проверяйте каждую неизвестную подпись.
Разработка完善ного плана спасения активов: если после мошенничества токены существуют на других платформах, необходимо осторожно их выводить и переносить. Хакеры могут в любое время отслеживать баланс вашего адреса, и как только появятся токены, они будут перемещены. Рассмотрите возможность использования MEV-перемещения или обращения за помощью к профессиональной команде безопасности.
С расширением применения Permit2 количество фишинговых атак, основанных на нем, может увеличиваться. Этот метод фишинга с использованием подписей крайне скрытен и труден для предотвращения, и количество адресов, подверженных риску, также будет расти. Надеемся, что читатели смогут распространить эту информацию среди большего числа людей, чтобы избежать больших потерь.
![Подпись была украдена? Раскрытие фишинга с подписью Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
![Подписали и вас обокрали? Раскрываем мошенничество с подписью Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
![Подпись может быть украдена? Раскрытие мошенничества с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(
![Подпись была украдена? Раскрытие мошенничества с phishing на Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(
![Подпись украли? Раскрываем промывание глаз подписей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-c2d0bc61729aaca413737ac667eaf7d5.webp(
![Подпись была украдена? Раскрытие схемы фишинга подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f72c38a16e315ce33b8cc5567854f5c6.webp(
![Подпись украдут? Раскрытие мошенничества с подделкой подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-4fdf03afb062f8f5d531cca3cd6330cc.webp(
![Подпись была украдена? Раскрытие схемы фишинга Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-dc94f3781aa7b30ba08a99ee827ca2e3.webp(
![Подпись украдена? Раскрытие мошенничества с подписками Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-47d14fc32e8b79f43a5a64146a1b355a.webp(
![Подписка была украдена? Раскрытие промывания глаз Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1ce5ef8966b9fc2d1101ba341faad70d.webp(
![Подпись была украдена? Раскрытие мошенничества с фишингом подписей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3c5d855a6c3bc51a57a4a17fe28b2657.webp(
![Подписали и вас обокрали? Раскрытие мошенничества с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-c1e00cf62c806e99c4188dfa650090ce.webp(
![Подпись украдена? Раскрытие схемы фишинга Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-b80025f211f7c0ef6371b6bd1a309ebc.webp(
![Подпись была украдена? Раскрытие мошенничества с рыболовством подписей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1b868982a90873ccc2af4ad8c5e4f1ff.webp(
![Подпись была украдена? Раскрываем промывание глаз с подписанием Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd.webp(
![Подпись была украдена? Раскрытие мошенничества с фишингом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3213312ac0a792dabb27109da5084835.webp(
![Подпись украдена? Раскрытие мошенничества с фишингом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-fad2e7cbe2aaf3d695362fca4640ff4f.webp(
![Подпись украдена? Раскрываем схему фишинга с подписью Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0030f2fe9e740084b05db9e08c389be7.webp(
![Подпись была украдена? Разоблачение промывания глаз с использованием Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-9e636d675ee5c6c6e57ed6022fce956a.webp(
![Подпись была украдена? Раскрытие мошенничества с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-8961f519f6452dbcd4876e0135b0cb64.webp(
![Подпись была украдена? Раскрываем мошенничество с подделкой подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1a57d7d1db3a8e31c46432f068871722.webp(