Lừa đảo mới về chữ ký: Hợp đồng Uniswap Permit2 trở thành thiên đường cho Hacker
Trong hệ sinh thái Web3, vấn đề an ninh luôn là một trong những điều đau đầu nhất. Gần đây, một phương pháp lừa đảo mới sử dụng hợp đồng Uniswap Permit2 đã bắt đầu hoạt động, với tính ẩn giấu và nguy hiểm khiến người ta phải cảnh giác. Bài viết này sẽ phân tích chi tiết nguyên lý của trò lừa bịp này và các biện pháp phòng ngừa.
Diễn biến sự kiện
Gần đây có người dùng phản ánh tài sản bị đánh cắp, nhưng không tiết lộ khóa riêng tư hoặc tương tác với hợp đồng đáng ngờ. Cuộc điều tra phát hiện tài sản bị đánh cắp được chuyển giao thông qua hàm Transfer From, và thao tác liên quan đến hợp đồng Permit2 của Uniswap.
Phân tích hợp đồng Uniswap Permit2
Permit2 là hợp đồng mới mà Uniswap ra mắt vào cuối năm 2022, nhằm cung cấp trải nghiệm quản lý quyền truy cập token thống nhất, hiệu quả và an toàn hơn. Nó cho phép người dùng chỉ cần cấp quyền cho hợp đồng Permit2 một lần, có thể chia sẻ hạn mức quyền truy cập trong nhiều ứng dụng tích hợp hợp đồng đó, từ đó giảm đáng kể chi phí tương tác của người dùng.
Tuy nhiên, sự tiện lợi này cũng mang đến những rủi ro tiềm ẩn. Permit2 đã chuyển đổi thao tác của người dùng từ tương tác trên chuỗi sang ký ngoại tuyến, trong khi giai đoạn ký thường là nơi mà người dùng dễ dàng bỏ qua nhất.
Giải thích chi tiết về thủ đoạn lừa đảo
Hacker lợi dụng hàm Permit của hợp đồng Permit2 để thực hiện trò lừa bịp. Hàm này cho phép người dùng ủy quyền cho người khác sử dụng token của mình thông qua chữ ký. Kẻ tấn công dụ dỗ người dùng ký vào những thông điệp có vẻ vô hại, thực chất là đang ủy quyền cho kẻ tấn công thao tác tài sản của người dùng.
Một khi đã có chữ ký, kẻ tấn công có thể gọi các hàm liên quan của hợp đồng Permit2, chuyển nhượng hạn mức token mà người dùng đã ủy quyền cho Permit2 cho chính mình, từ đó đánh cắp tài sản của người dùng.
Biện pháp phòng ngừa
Học cách nhận diện định dạng chữ ký Permit, bao gồm Owner, Spender, value, nonce và deadline cùng các thông tin quan trọng khác.
Sử dụng chiến lược tách biệt ví nóng và ví lạnh, lưu trữ tài sản lớn trong ví lạnh để giảm thiểu rủi ro bị đánh cắp.
Khi ủy quyền hợp đồng Permit2, chỉ ủy quyền số tiền giao dịch cần thiết, tránh ủy quyền quá nhiều.
Tìm hiểu xem các token mà bạn nắm giữ có hỗ trợ chức năng Permit hay không, và hãy cảnh giác với các giao dịch của những token hỗ trợ chức năng này.
Nếu không may bị đánh cắp, cần lập kế hoạch cứu trợ tài sản hoàn chỉnh, có thể xem xét việc sử dụng MEV chuyển nhượng hoặc tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp.
Với sự mở rộng của ứng dụng Permit2, các cuộc tấn công lừa đảo dựa trên đó có thể ngày càng gia tăng. Người dùng nên nâng cao cảnh giác, kiểm tra kỹ từng yêu cầu ký tên, bảo vệ an toàn tài sản của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
8
Chia sẻ
Bình luận
0/400
OnChain_Detective
· 07-19 15:08
Ký tên bất cẩn thật là nguy hiểm
Xem bản gốcTrả lời0
ApeWithAPlan
· 07-19 13:28
Cẩn thận vẫn chưa đủ.
Xem bản gốcTrả lời0
BlockchainRetirementHome
· 07-19 12:34
Chữ ký cũng có thể bị đánh cắp thật không thể tưởng tượng được
Uniswap Permit2 hợp đồng trở thành mục tiêu mới của Hacker: Giải thích chi tiết về trò lừa bịp ký tên và biện pháp phòng ngừa
Lừa đảo mới về chữ ký: Hợp đồng Uniswap Permit2 trở thành thiên đường cho Hacker
Trong hệ sinh thái Web3, vấn đề an ninh luôn là một trong những điều đau đầu nhất. Gần đây, một phương pháp lừa đảo mới sử dụng hợp đồng Uniswap Permit2 đã bắt đầu hoạt động, với tính ẩn giấu và nguy hiểm khiến người ta phải cảnh giác. Bài viết này sẽ phân tích chi tiết nguyên lý của trò lừa bịp này và các biện pháp phòng ngừa.
Diễn biến sự kiện
Gần đây có người dùng phản ánh tài sản bị đánh cắp, nhưng không tiết lộ khóa riêng tư hoặc tương tác với hợp đồng đáng ngờ. Cuộc điều tra phát hiện tài sản bị đánh cắp được chuyển giao thông qua hàm Transfer From, và thao tác liên quan đến hợp đồng Permit2 của Uniswap.
Phân tích hợp đồng Uniswap Permit2
Permit2 là hợp đồng mới mà Uniswap ra mắt vào cuối năm 2022, nhằm cung cấp trải nghiệm quản lý quyền truy cập token thống nhất, hiệu quả và an toàn hơn. Nó cho phép người dùng chỉ cần cấp quyền cho hợp đồng Permit2 một lần, có thể chia sẻ hạn mức quyền truy cập trong nhiều ứng dụng tích hợp hợp đồng đó, từ đó giảm đáng kể chi phí tương tác của người dùng.
Tuy nhiên, sự tiện lợi này cũng mang đến những rủi ro tiềm ẩn. Permit2 đã chuyển đổi thao tác của người dùng từ tương tác trên chuỗi sang ký ngoại tuyến, trong khi giai đoạn ký thường là nơi mà người dùng dễ dàng bỏ qua nhất.
Giải thích chi tiết về thủ đoạn lừa đảo
Hacker lợi dụng hàm Permit của hợp đồng Permit2 để thực hiện trò lừa bịp. Hàm này cho phép người dùng ủy quyền cho người khác sử dụng token của mình thông qua chữ ký. Kẻ tấn công dụ dỗ người dùng ký vào những thông điệp có vẻ vô hại, thực chất là đang ủy quyền cho kẻ tấn công thao tác tài sản của người dùng.
Một khi đã có chữ ký, kẻ tấn công có thể gọi các hàm liên quan của hợp đồng Permit2, chuyển nhượng hạn mức token mà người dùng đã ủy quyền cho Permit2 cho chính mình, từ đó đánh cắp tài sản của người dùng.
Biện pháp phòng ngừa
Sử dụng chiến lược tách biệt ví nóng và ví lạnh, lưu trữ tài sản lớn trong ví lạnh để giảm thiểu rủi ro bị đánh cắp.
Khi ủy quyền hợp đồng Permit2, chỉ ủy quyền số tiền giao dịch cần thiết, tránh ủy quyền quá nhiều.
Tìm hiểu xem các token mà bạn nắm giữ có hỗ trợ chức năng Permit hay không, và hãy cảnh giác với các giao dịch của những token hỗ trợ chức năng này.
Nếu không may bị đánh cắp, cần lập kế hoạch cứu trợ tài sản hoàn chỉnh, có thể xem xét việc sử dụng MEV chuyển nhượng hoặc tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp.
Với sự mở rộng của ứng dụng Permit2, các cuộc tấn công lừa đảo dựa trên đó có thể ngày càng gia tăng. Người dùng nên nâng cao cảnh giác, kiểm tra kỹ từng yêu cầu ký tên, bảo vệ an toàn tài sản của mình.