Dévoiler le piège de phishing par signature Permit2 d'Uniswap
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les équipes de projet, la nature open source du code les rend nerveux, de peur qu'une vulnérabilité ne provoque des incidents de sécurité. Pour les particuliers, ne pas comprendre la signification des opérations peut entraîner un risque de vol d'actifs lors de chaque interaction ou signature sur la chaîne. La sécurité a toujours été l'un des points sensibles du monde des cryptomonnaies, et les caractéristiques de la blockchain rendent presque impossible la récupération des actifs volés, il est donc particulièrement important de posséder des connaissances en sécurité.
Récemment, une nouvelle méthode de phishing a commencé à se répandre, nécessitant simplement une signature pour voler des actifs, rendant la méthode discrète et difficile à prévenir. Les adresses ayant interagi avec un DEX peuvent toutes être à risque. Cet article analysera cette méthode de phishing par signature afin d'éviter de plus grandes pertes d'actifs.
déroulement de l'événement
Un ami (, après que les actifs du portefeuille de Xiao A ) aient été volés, cherche de l'aide. Contrairement aux méthodes de vol courantes, Xiao A n'a pas divulgué sa clé privée et n'a pas interagi avec des contrats de sites de phishing.
L'enquête a révélé que les USDT de Xiao A ont été transférés via la fonction Transfer From. Cela signifie qu'une autre adresse a effectué le transfert des tokens, et non une fuite de la clé privée du portefeuille.
Détails de la transaction :
L'adresse se terminant par fd51 a transféré les actifs de Xiao A à l'adresse se terminant par a0c8
Interaction avec le contrat Permit2 de certains DEX
La question clé est : comment obtenir des droits d'actif avec l'adresse fd51 ? Pourquoi est-ce lié à un certain DEX ?
Une enquête plus approfondie a révélé que l'adresse fd51 avait effectué une opération de Permit avant de transférer des actifs, les deux opérations interagissant avec le contrat Permit2 d'un DEX.
Permit2 est un nouveau contrat lancé par certains DEX à la fin de 2022, permettant le partage et la gestion des autorisations de jetons entre applications, visant à offrir une expérience utilisateur plus unifiée, à faible coût et sécurisée.
Permit2 agit en tant qu'intermédiaire entre les utilisateurs et les DApp, permettant aux utilisateurs de n'autoriser que le contrat Permit2, dont tous les DApp intégrant Permit2 peuvent partager le montant d'autorisation. Cela réduit le coût d'interaction et améliore l'expérience utilisateur, mais cela peut aussi devenir une arme à double tranchant.
Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, tandis que les opérations sur chaîne sont réalisées par un intermédiaire. Cela permet aux utilisateurs sans ETH d'utiliser d'autres tokens pour payer le gas ou d'être complètement exemptés de gas.
Cependant, la signature hors chaîne est l'étape que les utilisateurs négligent le plus facilement. Beaucoup de gens ne vérifient pas ou ne comprennent pas le contenu de la signature, c'est précisément le point le plus dangereux.
Pour déclencher cette méthode de phishing, la condition clé est que le portefeuille doit autoriser le Token au contrat Permit2. Actuellement, il suffit d'effectuer un Swap sur une DApp intégrant Permit2 ou sur un certain DEX, ce qui nécessite cette autorisation.
Ce qui est encore plus effrayant, c'est que peu importe le montant du Swap, le contrat Permit2 d'un certain DEX demande par défaut l'autorisation de la totalité du solde. Bien que le portefeuille propose une saisie personnalisée du montant, la plupart des gens pourraient choisir directement le montant maximum ou la valeur par défaut, et la valeur par défaut de Permit2 est un montant illimité.
Cela signifie que les utilisateurs interagissant avec un DEX et autorisant le contrat Permit2 après 2023 pourraient être exposés à des risques.
Les hackers utilisent la fonction Permit pour transférer le montant de Token autorisé au contrat Permit2 en utilisant la signature de la victime. Tant qu'ils obtiennent la signature, les hackers peuvent transférer les actifs de la victime.
Comment se prémunir?
Comprendre et identifier le contenu de la signature :
Apprenez à identifier le format de signature Permit, qui contient des informations clés telles que Owner, Spender, value, nonce et deadline. L'utilisation de plugins de sécurité aide à l'identification.
Séparation du portefeuille d'actifs et du portefeuille d'interaction :
Il est conseillé de stocker une grande quantité d'actifs dans un portefeuille froid, tandis que le portefeuille interactif ne doit conserver qu'une petite quantité de fonds, ce qui peut réduire considérablement les pertes potentielles.
Limiter l'autorisation ou la révocation de l'autorisation du contrat Permit2 :
Lors de l'échange, n'autorisez que le montant nécessaire. Bien que cela augmente le coût des interactions, cela peut éviter le risque de phishing lié à la signature Permit2. Les utilisateurs autorisés peuvent annuler l'autorisation à l'aide d'un plugin de sécurité.
Identifier si le token prend en charge la fonction permit :
Vérifiez si les jetons que vous détenez prennent en charge cette fonctionnalité, et si c'est le cas, soyez particulièrement prudent lors des opérations de trading, en vérifiant rigoureusement les signatures inconnues.
Élaborer un plan de sauvetage des actifs complet:
Si vous constatez une escroquerie mais que d'autres plateformes ont encore des jetons, il est nécessaire de retirer ou de transférer avec prudence. Les hackers peuvent surveiller en temps réel le solde des adresses, il est conseillé d'utiliser un transfert MEV ou de demander l'aide d'une société de sécurité professionnelle.
L'avenir pourrait voir une augmentation des pêches basées sur Permit2, ce type de phishing par signature étant difficile à détecter. Avec l'expansion de l'application de Permit2, le nombre d'adresses exposées aux risques va augmenter. Nous espérons que les lecteurs partageront cet article pour éviter que d'autres ne subissent des pertes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
4
Partager
Commentaire
0/400
GmGmNoGn
· Il y a 15h
La signature est un piège
Voir l'originalRépondre0
NFTArchaeologis
· Il y a 15h
Les leçons des vestiges de l'ère numérique sauvage, la vulnérabilité du système Plato en 1970 nous a appris la valeur de la sécurité.
Voir l'originalRépondre0
FlippedSignal
· Il y a 15h
Maintenant, qui peut supporter cela ?
Voir l'originalRépondre0
AirdropHunterWang
· Il y a 15h
La signature doit être prudente, on veut gagner de l'argent tout en ayant peur d'être trompé.
Nouvelle arnaque de phishing de signature Permit2. Soyez prudent lors des transactions.
Dévoiler le piège de phishing par signature Permit2 d'Uniswap
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les équipes de projet, la nature open source du code les rend nerveux, de peur qu'une vulnérabilité ne provoque des incidents de sécurité. Pour les particuliers, ne pas comprendre la signification des opérations peut entraîner un risque de vol d'actifs lors de chaque interaction ou signature sur la chaîne. La sécurité a toujours été l'un des points sensibles du monde des cryptomonnaies, et les caractéristiques de la blockchain rendent presque impossible la récupération des actifs volés, il est donc particulièrement important de posséder des connaissances en sécurité.
Récemment, une nouvelle méthode de phishing a commencé à se répandre, nécessitant simplement une signature pour voler des actifs, rendant la méthode discrète et difficile à prévenir. Les adresses ayant interagi avec un DEX peuvent toutes être à risque. Cet article analysera cette méthode de phishing par signature afin d'éviter de plus grandes pertes d'actifs.
déroulement de l'événement
Un ami (, après que les actifs du portefeuille de Xiao A ) aient été volés, cherche de l'aide. Contrairement aux méthodes de vol courantes, Xiao A n'a pas divulgué sa clé privée et n'a pas interagi avec des contrats de sites de phishing.
L'enquête a révélé que les USDT de Xiao A ont été transférés via la fonction Transfer From. Cela signifie qu'une autre adresse a effectué le transfert des tokens, et non une fuite de la clé privée du portefeuille.
Détails de la transaction :
La question clé est : comment obtenir des droits d'actif avec l'adresse fd51 ? Pourquoi est-ce lié à un certain DEX ?
Une enquête plus approfondie a révélé que l'adresse fd51 avait effectué une opération de Permit avant de transférer des actifs, les deux opérations interagissant avec le contrat Permit2 d'un DEX.
Permit2 est un nouveau contrat lancé par certains DEX à la fin de 2022, permettant le partage et la gestion des autorisations de jetons entre applications, visant à offrir une expérience utilisateur plus unifiée, à faible coût et sécurisée.
Permit2 agit en tant qu'intermédiaire entre les utilisateurs et les DApp, permettant aux utilisateurs de n'autoriser que le contrat Permit2, dont tous les DApp intégrant Permit2 peuvent partager le montant d'autorisation. Cela réduit le coût d'interaction et améliore l'expérience utilisateur, mais cela peut aussi devenir une arme à double tranchant.
Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, tandis que les opérations sur chaîne sont réalisées par un intermédiaire. Cela permet aux utilisateurs sans ETH d'utiliser d'autres tokens pour payer le gas ou d'être complètement exemptés de gas.
Cependant, la signature hors chaîne est l'étape que les utilisateurs négligent le plus facilement. Beaucoup de gens ne vérifient pas ou ne comprennent pas le contenu de la signature, c'est précisément le point le plus dangereux.
Pour déclencher cette méthode de phishing, la condition clé est que le portefeuille doit autoriser le Token au contrat Permit2. Actuellement, il suffit d'effectuer un Swap sur une DApp intégrant Permit2 ou sur un certain DEX, ce qui nécessite cette autorisation.
Ce qui est encore plus effrayant, c'est que peu importe le montant du Swap, le contrat Permit2 d'un certain DEX demande par défaut l'autorisation de la totalité du solde. Bien que le portefeuille propose une saisie personnalisée du montant, la plupart des gens pourraient choisir directement le montant maximum ou la valeur par défaut, et la valeur par défaut de Permit2 est un montant illimité.
Cela signifie que les utilisateurs interagissant avec un DEX et autorisant le contrat Permit2 après 2023 pourraient être exposés à des risques.
Les hackers utilisent la fonction Permit pour transférer le montant de Token autorisé au contrat Permit2 en utilisant la signature de la victime. Tant qu'ils obtiennent la signature, les hackers peuvent transférer les actifs de la victime.
Comment se prémunir?
Séparation du portefeuille d'actifs et du portefeuille d'interaction : Il est conseillé de stocker une grande quantité d'actifs dans un portefeuille froid, tandis que le portefeuille interactif ne doit conserver qu'une petite quantité de fonds, ce qui peut réduire considérablement les pertes potentielles.
Limiter l'autorisation ou la révocation de l'autorisation du contrat Permit2 : Lors de l'échange, n'autorisez que le montant nécessaire. Bien que cela augmente le coût des interactions, cela peut éviter le risque de phishing lié à la signature Permit2. Les utilisateurs autorisés peuvent annuler l'autorisation à l'aide d'un plugin de sécurité.
Identifier si le token prend en charge la fonction permit : Vérifiez si les jetons que vous détenez prennent en charge cette fonctionnalité, et si c'est le cas, soyez particulièrement prudent lors des opérations de trading, en vérifiant rigoureusement les signatures inconnues.
Élaborer un plan de sauvetage des actifs complet: Si vous constatez une escroquerie mais que d'autres plateformes ont encore des jetons, il est nécessaire de retirer ou de transférer avec prudence. Les hackers peuvent surveiller en temps réel le solde des adresses, il est conseillé d'utiliser un transfert MEV ou de demander l'aide d'une société de sécurité professionnelle.
L'avenir pourrait voir une augmentation des pêches basées sur Permit2, ce type de phishing par signature étant difficile à détecter. Avec l'expansion de l'application de Permit2, le nombre d'adresses exposées aux risques va augmenter. Nous espérons que les lecteurs partageront cet article pour éviter que d'autres ne subissent des pertes.