Хакери завжди були однією з найбільш страхітливих істот в екосистемі Web3. Для проектів відкритий код є рисою, що змушує їх розробляти з обережністю, боячись залишити вразливості. Для особистих користувачів кожна взаємодія в мережі або підпис може призвести до крадіжки активів, і якщо не розуміти зміст операцій, це ще небезпечніше. Тому питання безпеки завжди було одним з найскладніших у світі криптовалют. Оскільки блокчейн є незворотнім, вкрадені активи практично неможливо повернути, що ще більше підкреслює важливість знань про безпеку.
Нещодавно почала активізуватися нова схема шахрайства, яка може призвести до крадіжки активів лише за допомогою підпису. Ця схема надзвичайно прихована і важка для запобігання, і адреси, які раніше взаємодіяли з Uniswap, можуть бути під загрозою. У цій статті детально буде описано цю схему підписного шахрайства, щоб зменшити втрати активів більше користувачів.
Хід подій
Нещодавно один мій друг, (, поки що назвемо його маленьким А, втратив активи у своєму гаманці. На відміну від звичних способів крадіжки, маленький А не розкривав свій приватний ключ і не взаємодіяв з підозрілими контрактами. За допомогою блокчейн-браузера можна побачити, що USDT з гаманця маленького А був переведений за допомогою функції Transfer From. Це означає, що токени були виведені з гаманця третіми особами, а не через витік приватного ключа гаманця.
Деталі угоди показують:
Адреса з останніми цифрами fd51 перевела активи малого A на адресу з останніми цифрами a0c8.
Ця операція взаємодіє з контрактом Permit2 певної торгової платформи
Ключове питання: як адреса з закінченням fd51 отримала права на цей актив? Чому це пов'язано з якоюсь торговою платформою?
Подальше розслідування виявило, що перед переведенням активів малюка А адреса з закінченням fd51 також виконала операцію Permit, і об'єктами взаємодії цих двох операцій є контракт Permit2 певної торговельної платформи.
![Підписався — і тебе обікрали? Розкриття фішингу підписів Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Контракт Permit2 є новим смарт-контрактом, запущеним певною торговою платформою наприкінці 2022 року. Він дозволяє авторизацію токенів для обміну та управління між різними додатками, маючи на меті створення більш єдиного, економічного та безпечного досвіду для користувачів. Оскільки більше проектів інтегрують Permit2, він може реалізувати стандартизацію Token-апробацій у всіх додатках, зменшуючи витрати на транзакції та покращуючи користувацький досвід, одночасно підвищуючи безпеку смарт-контрактів.
З'явлення Permit2 може змінити правила гри в екосистемі Dapp. У традиційному підході, користувачеві потрібно окремо надавати дозволи для кожної взаємодії з Dapp. Permit2 може пропустити цей етап, ефективно знижуючи витрати на взаємодію для користувача та пропонуючи кращий досвід. Permit2, виступаючи посередником між користувачем і Dapp, дозволяє користувачу надати права на токени контракту Permit2, і всі Dapp, які інтегрують цей контракт, можуть спільно використовувати цей обсяг дозволів.
Однак Permit2 також є двосічним мечем. Він перетворює дії користувачів на підписання поза ланцюгом, всі дії в ланцюзі виконуються проміжними ролями. Це дозволяє користувачам, навіть якщо в їхньому гаманці немає ETH, використовувати інші токени для сплати комісії за газ або отримувати відшкодування від проміжних ролей. Але підписання поза ланцюгом також є найбільшою слабкістю, оскільки більшість людей не перевіряють вміст підпису, що є найбільш небезпечним місцем.
) методи риболовлі повторюються
Щоб активувати цю фішингову атаку на підпис Permit2, ключовою умовою є те, що фішинговий гаманець повинен вже надати токен авторизації для контракту Permit2 на певній торговій платформі. Наразі, для виконання свопу на Dapp, інтегрованому з Permit2, або на певній торговій платформі, потрібно надати авторизацію для контракту Permit2.
Ще страшніше те, що незалежно від суми Swap, контракт Permit2 на одній з торгових платформ за замовчуванням дозволяє користувачу авторизувати весь баланс цього токена. Хоча гаманець підказує ввести іншу суму, більшість людей просто вибирають максимальну або значення за замовчуванням, а значення за замовчуванням для Permit2 є безмежним.
![Підпис став жертвою крадіжки? Розкриття шахрайства з підписом Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Це означає, що якщо ви взаємодіяли з якоюсь торговою платформою після 2023 року та надали дозвіл контракту Permit2, ви можете зіткнутися з цим ризиком замилювання очей.
Основна суть полягає в функції Permit, яка дозволяє передавати ліміти токенів, надані контракту Permit2, іншим адресам. Хакер лише повинен отримати підпис користувача, щоб отримати доступ до токенів у гаманці користувача та перевести активи.
![Підписка була вкрадена? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
) запобіжні заходи
Розуміння та розпізнавання вмісту підпису: навчіться розпізнавати формат підпису Permit, який містить ключову інформацію, таку як Owner, Spender, value, nonce та deadline. Використання безпечних плагінів допомагає в розпізнаванні.
![Підписався і був обкрадений? Розкриваємо шахрайство з підписами Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Розділення зберігання активів і інтерактивного гаманця: зберігайте великі обсяги активів у холодному гаманці, а інтерактивний гаманець залишайте з невеликою кількістю коштів, що може значно зменшити втрати у разі фішингу.
Обмеження суми авторизації або скасування авторизації: під час Swap на певній торговій платформі авторизуйте лише необхідну суму для взаємодії. Хоча щоразу потрібно буде повторно авторизувати, що збільшує витрати, це може допомогти уникнути ризику фішингу підписів Permit2. Авторизовані користувачі можуть скасувати авторизацію через безпечний плагін.
Визначте, чи підтримує токен функцію permit: зверніть увагу на те, чи підтримують токени, якими ви володієте, цю функцію, будьте особливо обережні з угодами з токенами, які підтримують цю функцію, ретельно перевіряйте кожен невідомий підпис.
Розробити вдосконалений план порятунку активів: якщо після шахрайства залишилися токени на інших платформах, потрібно обережно їх знімати та переносити. Хакери можуть в будь-який момент контролювати баланс вашої адреси, і як тільки з'являться токени, їх буде перенесено. Розгляньте можливість використання MEV-передачі або зверніться за допомогою до професійної команди безпеки.
З розширенням сфери застосування Permit2, ймовірно, буде все більше риболовлі на основі цього. Цей спосіб підписного риболовлі надзвичайно прихований і важко запобігти, а адреси, що піддаються ризику, також будуть зростати. Сподіваємося, що читачі зможуть поширити цю інформацію серед більшої кількості людей, щоб уникнути втрат для багатьох.
![Підписавшись, вас можуть обдурити? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
![Підписався і був обкрадений? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
![Підписано й вкрадено? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(
![Підпис став жертвою крадіжки? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(
![Підписався - і тебе обікрали? Розкриття схем замилювання очей з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-c2d0bc61729aaca413737ac667eaf7d5.webp(
![Підписався і був вкрадений? Розкриття замилювання очей підпису Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f72c38a16e315ce33b8cc5567854f5c6.webp(
![Підписавши, ви можете бути обмануті? Розкриття схем фішингу підписів Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-4fdf03afb062f8f5d531cca3cd6330cc.webp(
![Підписався і був обкрадений? Розкриття схеми шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-dc94f3781aa7b30ba08a99ee827ca2e3.webp(
![Підпис підкрадається? Відкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-47d14fc32e8b79f43a5a64146a1b355a.webp(
![Підписано і вкрадено? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1ce5ef8966b9fc2d1101ba341faad70d.webp(
![Підписано і вкрадено? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3c5d855a6c3bc51a57a4a17fe28b2657.webp(
![Підпис був вкрадений? Розкриття схеми замилювання очей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-c1e00cf62c806e99c4188dfa650090ce.webp(
![Підпис був вкрадений? Розкриття схем замилювання очей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-b80025f211f7c0ef6371b6bd1a309ebc.webp(
![Підписала і вкрали? Розкриття схеми шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1b868982a90873ccc2af4ad8c5e4f1ff.webp(
![Підписавшись, вас можуть обманути? Розкриття фішингового замилювання очей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd.webp(
![Підписка була вкрадена? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3213312ac0a792dabb27109da5084835.webp(
![Підпис потрапив у руки зловмисників? Розкриття схеми шахрайства з підписом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-fad2e7cbe2aaf3d695362fca4640ff4f.webp(
![Підписавшись, вас обманюють? Розкриття шахрайства з підписом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0030f2fe9e740084b05db9e08c389be7.webp(
![Підписався і був обкрадений? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-9e636d675ee5c6c6e57ed6022fce956a.webp(
![Підписався і тебе обікрали? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-8961f519f6452dbcd4876e0135b0cb64.webp(
![Підписавшись, ви були обмануті? Розкриття шахрайства з підписом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1a57d7d1db3a8e31c46432f068871722.webp(
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
3
Поділіться
Прокоментувати
0/400
CryptoGoldmine
· 07-28 16:06
Дані важливіші за суперечки Інвестиції за рік приносять 155% прибутку
Uniswap Permit2 підписування фішингове замилювання очей безпека активів чотири основні запобіжні заходи
Розкриття шахрайства з підписом Uniswap Permit2
Хакери завжди були однією з найбільш страхітливих істот в екосистемі Web3. Для проектів відкритий код є рисою, що змушує їх розробляти з обережністю, боячись залишити вразливості. Для особистих користувачів кожна взаємодія в мережі або підпис може призвести до крадіжки активів, і якщо не розуміти зміст операцій, це ще небезпечніше. Тому питання безпеки завжди було одним з найскладніших у світі криптовалют. Оскільки блокчейн є незворотнім, вкрадені активи практично неможливо повернути, що ще більше підкреслює важливість знань про безпеку.
Нещодавно почала активізуватися нова схема шахрайства, яка може призвести до крадіжки активів лише за допомогою підпису. Ця схема надзвичайно прихована і важка для запобігання, і адреси, які раніше взаємодіяли з Uniswap, можуть бути під загрозою. У цій статті детально буде описано цю схему підписного шахрайства, щоб зменшити втрати активів більше користувачів.
Хід подій
Нещодавно один мій друг, (, поки що назвемо його маленьким А, втратив активи у своєму гаманці. На відміну від звичних способів крадіжки, маленький А не розкривав свій приватний ключ і не взаємодіяв з підозрілими контрактами. За допомогою блокчейн-браузера можна побачити, що USDT з гаманця маленького А був переведений за допомогою функції Transfer From. Це означає, що токени були виведені з гаманця третіми особами, а не через витік приватного ключа гаманця.
Деталі угоди показують:
Ключове питання: як адреса з закінченням fd51 отримала права на цей актив? Чому це пов'язано з якоюсь торговою платформою?
Подальше розслідування виявило, що перед переведенням активів малюка А адреса з закінченням fd51 також виконала операцію Permit, і об'єктами взаємодії цих двох операцій є контракт Permit2 певної торговельної платформи.
![Підписався — і тебе обікрали? Розкриття фішингу підписів Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Контракт Permit2 є новим смарт-контрактом, запущеним певною торговою платформою наприкінці 2022 року. Він дозволяє авторизацію токенів для обміну та управління між різними додатками, маючи на меті створення більш єдиного, економічного та безпечного досвіду для користувачів. Оскільки більше проектів інтегрують Permit2, він може реалізувати стандартизацію Token-апробацій у всіх додатках, зменшуючи витрати на транзакції та покращуючи користувацький досвід, одночасно підвищуючи безпеку смарт-контрактів.
З'явлення Permit2 може змінити правила гри в екосистемі Dapp. У традиційному підході, користувачеві потрібно окремо надавати дозволи для кожної взаємодії з Dapp. Permit2 може пропустити цей етап, ефективно знижуючи витрати на взаємодію для користувача та пропонуючи кращий досвід. Permit2, виступаючи посередником між користувачем і Dapp, дозволяє користувачу надати права на токени контракту Permit2, і всі Dapp, які інтегрують цей контракт, можуть спільно використовувати цей обсяг дозволів.
Однак Permit2 також є двосічним мечем. Він перетворює дії користувачів на підписання поза ланцюгом, всі дії в ланцюзі виконуються проміжними ролями. Це дозволяє користувачам, навіть якщо в їхньому гаманці немає ETH, використовувати інші токени для сплати комісії за газ або отримувати відшкодування від проміжних ролей. Але підписання поза ланцюгом також є найбільшою слабкістю, оскільки більшість людей не перевіряють вміст підпису, що є найбільш небезпечним місцем.
) методи риболовлі повторюються
Щоб активувати цю фішингову атаку на підпис Permit2, ключовою умовою є те, що фішинговий гаманець повинен вже надати токен авторизації для контракту Permit2 на певній торговій платформі. Наразі, для виконання свопу на Dapp, інтегрованому з Permit2, або на певній торговій платформі, потрібно надати авторизацію для контракту Permit2.
Ще страшніше те, що незалежно від суми Swap, контракт Permit2 на одній з торгових платформ за замовчуванням дозволяє користувачу авторизувати весь баланс цього токена. Хоча гаманець підказує ввести іншу суму, більшість людей просто вибирають максимальну або значення за замовчуванням, а значення за замовчуванням для Permit2 є безмежним.
![Підпис став жертвою крадіжки? Розкриття шахрайства з підписом Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Це означає, що якщо ви взаємодіяли з якоюсь торговою платформою після 2023 року та надали дозвіл контракту Permit2, ви можете зіткнутися з цим ризиком замилювання очей.
Основна суть полягає в функції Permit, яка дозволяє передавати ліміти токенів, надані контракту Permit2, іншим адресам. Хакер лише повинен отримати підпис користувача, щоб отримати доступ до токенів у гаманці користувача та перевести активи.
![Підписка була вкрадена? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
) запобіжні заходи
![Підписався і був обкрадений? Розкриваємо шахрайство з підписами Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Розділення зберігання активів і інтерактивного гаманця: зберігайте великі обсяги активів у холодному гаманці, а інтерактивний гаманець залишайте з невеликою кількістю коштів, що може значно зменшити втрати у разі фішингу.
Обмеження суми авторизації або скасування авторизації: під час Swap на певній торговій платформі авторизуйте лише необхідну суму для взаємодії. Хоча щоразу потрібно буде повторно авторизувати, що збільшує витрати, це може допомогти уникнути ризику фішингу підписів Permit2. Авторизовані користувачі можуть скасувати авторизацію через безпечний плагін.
Визначте, чи підтримує токен функцію permit: зверніть увагу на те, чи підтримують токени, якими ви володієте, цю функцію, будьте особливо обережні з угодами з токенами, які підтримують цю функцію, ретельно перевіряйте кожен невідомий підпис.
Розробити вдосконалений план порятунку активів: якщо після шахрайства залишилися токени на інших платформах, потрібно обережно їх знімати та переносити. Хакери можуть в будь-який момент контролювати баланс вашої адреси, і як тільки з'являться токени, їх буде перенесено. Розгляньте можливість використання MEV-передачі або зверніться за допомогою до професійної команди безпеки.
З розширенням сфери застосування Permit2, ймовірно, буде все більше риболовлі на основі цього. Цей спосіб підписного риболовлі надзвичайно прихований і важко запобігти, а адреси, що піддаються ризику, також будуть зростати. Сподіваємося, що читачі зможуть поширити цю інформацію серед більшої кількості людей, щоб уникнути втрат для багатьох.
![Підписавшись, вас можуть обдурити? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
![Підписався і був обкрадений? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
![Підписано й вкрадено? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(
![Підпис став жертвою крадіжки? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(
![Підписався - і тебе обікрали? Розкриття схем замилювання очей з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-c2d0bc61729aaca413737ac667eaf7d5.webp(
![Підписався і був вкрадений? Розкриття замилювання очей підпису Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f72c38a16e315ce33b8cc5567854f5c6.webp(
![Підписавши, ви можете бути обмануті? Розкриття схем фішингу підписів Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-4fdf03afb062f8f5d531cca3cd6330cc.webp(
![Підписався і був обкрадений? Розкриття схеми шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-dc94f3781aa7b30ba08a99ee827ca2e3.webp(
![Підпис підкрадається? Відкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-47d14fc32e8b79f43a5a64146a1b355a.webp(
![Підписано і вкрадено? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1ce5ef8966b9fc2d1101ba341faad70d.webp(
![Підписано і вкрадено? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3c5d855a6c3bc51a57a4a17fe28b2657.webp(
![Підпис був вкрадений? Розкриття схеми замилювання очей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-c1e00cf62c806e99c4188dfa650090ce.webp(
![Підпис був вкрадений? Розкриття схем замилювання очей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-b80025f211f7c0ef6371b6bd1a309ebc.webp(
![Підписала і вкрали? Розкриття схеми шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1b868982a90873ccc2af4ad8c5e4f1ff.webp(
![Підписавшись, вас можуть обманути? Розкриття фішингового замилювання очей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd.webp(
![Підписка була вкрадена? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3213312ac0a792dabb27109da5084835.webp(
![Підпис потрапив у руки зловмисників? Розкриття схеми шахрайства з підписом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-fad2e7cbe2aaf3d695362fca4640ff4f.webp(
![Підписавшись, вас обманюють? Розкриття шахрайства з підписом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0030f2fe9e740084b05db9e08c389be7.webp(
![Підписався і був обкрадений? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-9e636d675ee5c6c6e57ed6022fce956a.webp(
![Підписався і тебе обікрали? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-8961f519f6452dbcd4876e0135b0cb64.webp(
![Підписавшись, ви були обмануті? Розкриття шахрайства з підписом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1a57d7d1db3a8e31c46432f068871722.webp(