Новий масштабний шахрайський проект з підписами: контракт Uniswap Permit2 став Хакерським раєм
У екосистемі Web3 питання безпеки завжди було найбільш болючим. Нещодавно активізувався новий вид фішингу, що використовує контракт Uniswap Permit2, який викликає тривогу своєю прихованістю та небезпекою. У цій статті буде детально розглянуто принципи цього замилювання очей та заходи запобігання.
Хід подій
Нещодавно користувачі повідомили про крадіжку активів, але не розкривали приватні ключі або не взаємодіяли з підозрілими контрактами. Розслідування виявило, що вкрадені активи були переміщені за допомогою функції Transfer From, і операція була пов'язана з контрактом Permit2 від Uniswap.
Аналіз контракту Uniswap Permit2
Permit2 є новим контрактом, який Uniswap запустив наприкінці 2022 року, і має на меті забезпечити більш єдиний, ефективний та безпечний досвід управління авторизацією токенів. Він дозволяє користувачам отримати авторизацію лише один раз для контракту Permit2, після чого можна ділитися лімітом авторизації в кількох додатках, які інтегрують цей контракт, що суттєво знижує витрати на взаємодію користувачів.
Однак ця зручність також приносить потенційні ризики. Permit2 перетворює дії користувача з взаємодії в мережі на підписання поза мережею, а етап підпису часто є тим місцем, де користувачі найчастіше можуть недогледіти.
Детальний опис методів фішингу
Хакер використовує функцію Permit контракту Permit2 для замилювання очей. Ця функція дозволяє користувачам надавати підписане дозволення іншим на використання своїх токенів. Зловмисник змушує користувача підписати, здавалося б, безпечне повідомлення, насправді ж надаючи дозволення зловмиснику керувати активами користувача.
Як тільки буде отримано підпис, зловмисник може викликати відповідні функції контракту Permit2, щоб перевести обсяги токенів, які користувач уповноважив Permit2, на себе, і таким чином вкрасти активи користувача.
Заходи безпеки
Навчіться розпізнавати формат підпису Permit, включаючи ключову інформацію, таку як Owner, Spender, value, nonce та deadline.
Використовуйте стратегію розділення гарячих і холодних гаманців, зберігайте великі активи в холодному гаманці, щоб знизити ризик крадіжки.
При авторизації контракту Permit2 слід авторизувати лише необхідну суму транзакції, щоб уникнути надмірного авторизації.
Досліджуйте, чи підтримує ваш токен функцію Permit, будьте обережні з торгівлею токенами, які підтримують цю функцію.
Якщо, на жаль, вас обікрали, потрібно розробити детальний план порятунку активів, можна розглянути можливість використання MEV-переміщення або звернутися за допомогою до професійної команди безпеки.
З розширенням сфери застосування Permit2, ймовірність риболовних атак на його основі може зростати. Користувачі повинні бути обережними, уважно перевіряти кожен запит на підпис, щоб захистити свої активи.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Контракт Uniswap Permit2 став новою метою для хакерів: детальний опис підписного замилювання очей та запобігання
Новий масштабний шахрайський проект з підписами: контракт Uniswap Permit2 став Хакерським раєм
У екосистемі Web3 питання безпеки завжди було найбільш болючим. Нещодавно активізувався новий вид фішингу, що використовує контракт Uniswap Permit2, який викликає тривогу своєю прихованістю та небезпекою. У цій статті буде детально розглянуто принципи цього замилювання очей та заходи запобігання.
Хід подій
Нещодавно користувачі повідомили про крадіжку активів, але не розкривали приватні ключі або не взаємодіяли з підозрілими контрактами. Розслідування виявило, що вкрадені активи були переміщені за допомогою функції Transfer From, і операція була пов'язана з контрактом Permit2 від Uniswap.
Аналіз контракту Uniswap Permit2
Permit2 є новим контрактом, який Uniswap запустив наприкінці 2022 року, і має на меті забезпечити більш єдиний, ефективний та безпечний досвід управління авторизацією токенів. Він дозволяє користувачам отримати авторизацію лише один раз для контракту Permit2, після чого можна ділитися лімітом авторизації в кількох додатках, які інтегрують цей контракт, що суттєво знижує витрати на взаємодію користувачів.
Однак ця зручність також приносить потенційні ризики. Permit2 перетворює дії користувача з взаємодії в мережі на підписання поза мережею, а етап підпису часто є тим місцем, де користувачі найчастіше можуть недогледіти.
Детальний опис методів фішингу
Хакер використовує функцію Permit контракту Permit2 для замилювання очей. Ця функція дозволяє користувачам надавати підписане дозволення іншим на використання своїх токенів. Зловмисник змушує користувача підписати, здавалося б, безпечне повідомлення, насправді ж надаючи дозволення зловмиснику керувати активами користувача.
Як тільки буде отримано підпис, зловмисник може викликати відповідні функції контракту Permit2, щоб перевести обсяги токенів, які користувач уповноважив Permit2, на себе, і таким чином вкрасти активи користувача.
Заходи безпеки
Використовуйте стратегію розділення гарячих і холодних гаманців, зберігайте великі активи в холодному гаманці, щоб знизити ризик крадіжки.
При авторизації контракту Permit2 слід авторизувати лише необхідну суму транзакції, щоб уникнути надмірного авторизації.
Досліджуйте, чи підтримує ваш токен функцію Permit, будьте обережні з торгівлею токенами, які підтримують цю функцію.
Якщо, на жаль, вас обікрали, потрібно розробити детальний план порятунку активів, можна розглянути можливість використання MEV-переміщення або звернутися за допомогою до професійної команди безпеки.
З розширенням сфери застосування Permit2, ймовірність риболовних атак на його основі може зростати. Користувачі повинні бути обережними, уважно перевіряти кожен запит на підпис, щоб захистити свої активи.