Hackerlar, Web3 ekosisteminde korkutucu bir varlık. Proje sahipleri için, kodun açık kaynak özelliği onları tedirgin ediyor, bir güvenlik kazasına neden olacak bir açığın oluşmasından korkuyorlar. Bireyler için, işlemlerin anlamını anlamamak, her zincir üzerindeki etkileşim veya imzada varlıkların çalınma riski ile sonuçlanabilir. Güvenlik sorunu, kripto dünyasının en büyük sorunlarından biri olmaya devam ediyor ve blok zincirinin özellikleri nedeniyle çalınan varlıkların geri alınması neredeyse imkansız, bu nedenle güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda, yeni bir oltalama yöntemi aktif hale geldi, yalnızca imza atmak varlıkların çalınmasına neden olabilir, yöntem gizli ve savunulması zor. Bir DEX ile etkileşimde bulunan adresler risk altındadır. Bu yazıda, bu imza oltalama yöntemini analiz edeceğiz ve daha fazla varlık kaybını önlemeye çalışacağız.
olayın gelişimi
Bir arkadaş ( küçük A ) cüzdan varlıkları çalındıktan sonra yardım arıyor. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi ve dolandırıcılık sitesi ile sözleşme etkileşimine girmedi.
Araştırmalar, küçük A'nın USDT'sinin Transfer From fonksiyonu aracılığıyla aktarıldığını ortaya koydu. Bu, başka bir adresin Token'ı transfer ettiğini, cüzdanın özel anahtarının sızdırılmadığını gösteriyor.
İşlem detayları gösteriyor:
fd51 sonlu adresi, küçük A varlıklarını a0c8 sonlu adresine transfer edecek.
Bir DEX'in Permit2 sözleşmesi ile etkileşim
Anahtar soru: fd51 adresi varlık izinlerini nasıl alır? Neden bir DEX ile ilgili?
Daha fazla araştırma, fd51 adresinin varlıkları aktarmadan önce bir Permit işlemi gerçekleştirdiğini ve her iki işlemin de bir DEX'in Permit2 sözleşmesiyle etkileşimde bulunduğunu ortaya koydu.
Permit2, bir DEX'in 2022'nin sonunda tanıttığı yeni bir akılda, uygulamalar arası token yetkilendirmesini paylaşma ve yönetme imkanı sunmakta olup, daha birleşik, düşük maliyetli ve güvenli bir kullanıcı deneyimi sağlamayı amaçlamaktadır.
Permit2, kullanıcılar ile DApp arasında bir aracı olarak, kullanıcıların yalnızca Permit2 sözleşmesine yetki vermesini sağlar; Permit2'yi entegre eden tüm DApp'ler bu yetki limitini paylaşabilir. Bu, etkileşim maliyetlerini düşürür ve kullanıcı deneyimini artırır, ancak aynı zamanda iki ucu keskin bir kılıç haline gelebilir.
Permit2, kullanıcı işlemlerini zincir dışı imzaya dönüştürür, zincir üzerindeki işlemler aracılar tarafından gerçekleştirilir. Bu, ETH'si olmayan kullanıcıların diğer Token'larla Gaz ödemesi yapabilmesini veya tamamen Gaz'sız işlem yapabilmesini sağlar.
Ancak, off-chain imza kullanıcıların en çok göz ardı edebileceği aşamadır. Birçok insan imza içeriğini dikkatlice kontrol etmiyor veya anlamıyor, bu da en tehlikeli kısımdır.
Bu oltalama yöntemini tetiklemek için ana şart, cüzdanın Permit2 sözleşmesine Token yetkilendirmesi yapmasıdır. Şu anda, Permit2'yi entegre eden bir DApp veya herhangi bir DEX üzerinde Swap yapmak için bu yetkilendirme gereklidir.
Daha da korkunç olan, Swap miktarı ne olursa olsun, belirli bir DEX'in Permit2 sözleşmesinin varsayılan olarak tüm bakiye yetkisi istemesidir. Cüzdan, özel bir giriş tutarı belirlemenizi önerse de, çoğu kişi muhtemelen doğrudan maksimum veya varsayılan değeri seçecektir ve Permit2'nin varsayılan değeri sınırsız bir limitidir.
Bu, 2023 yılından sonra belirli bir DEX ile etkileşimde bulunan ve Permit2 sözleşmesine yetki veren kullanıcıların riskle karşılaşabileceği anlamına geliyor.
Hackerlar, Permit fonksiyonunu kullanarak, kurbanın imzası ile Permit2 sözleşmesine yetki verilen Token miktarını transfer ediyor. İmza alındığı sürece, hacker kurbanın varlıklarını transfer edebilir.
nasıl önlenir?
İmza içeriğini anlama ve tanıma:
Permit imza formatını tanımayı öğrenin; Owner, Spender, değer, nonce ve son tarih gibi anahtar bilgileri içerir. Güvenli eklentiler kullanmak tanımaya yardımcı olur.
Varlık cüzdanı ile etkileşim cüzdanı ayrıldı:
Büyük miktarda varlıkların soğuk cüzdanda saklanması, etkileşimli cüzdanda yalnızca az miktarda para bulundurulması önerilir; bu, potansiyel kayıpları önemli ölçüde azaltabilir.
Permit2 sözleşmesinin yetkilendirmesini sınırlama veya yetkilendirmeyi iptal etme:
Swap işlemi sırasında yalnızca gerekli miktarı yetkilendirin. Bu, etkileşim maliyetlerini artırsa da Permit2 imza dolandırıcılığı riskinden kaçınmanızı sağlar. Yetkilendirilmiş kullanıcılar, güvenli eklenti ile yetkileri iptal edebilir.
Token'in permit fonksiyonunu destekleyip desteklemediğini belirleyin:
Sahip olduğunuz tokenlerin bu özelliği destekleyip desteklemediğine dikkat edin, eğer destekliyorsa, işlem yaparken ekstra dikkatli olun ve bilinmeyen imzaları sıkı bir şekilde kontrol edin.
Tamamlayıcı bir varlık kurtarma planı oluşturun:
Eğer dolandırıcılık tespit ederseniz ancak diğer platformlarda hala token varsa, dikkatli bir şekilde çekim ve transfer yapmalısınız. Hackerlar adres bakiyesini gerçek zamanlı olarak izleyebilir, bu nedenle MEV transferi kullanmanızı veya profesyonel güvenlik şirketlerinden yardım almanızı öneririz.
Gelecekte Permit2 tabanlı oltalama vakalarının artması muhtemel, bu imza oltalama yöntemi gizli ve zor tespit edilebilir. Permit2'nin uygulama alanı genişledikçe, risk altında olan adreslerin sayısı artacaktır. Okuyucuların bu makaleyi yaymasını umuyoruz, böylece daha fazla kişinin zarar görmesini önleyebiliriz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
4
Share
Comment
0/400
GmGmNoGn
· 15h ago
İmza, tuzaktır.
View OriginalReply0
NFTArchaeologis
· 15h ago
Dijital barbarlık çağının bıraktığı kalıntıların dersleri, 1970 yılında Plato System açığı bize güvenliğin değerini öğretti.
View OriginalReply0
FlippedSignal
· 15h ago
Şimdi bu kim dayanabilir ki
View OriginalReply0
AirdropHunterWang
· 15h ago
İmza atarken dikkatli olmalısın. Hem para kazanmak istiyorsun hem de dolandırılmaktan korkuyorsun.
Permit2 imza dolandırıcılığı yeni eyewash. İşlemler dikkatli yapılmalıdır.
Uniswap Permit2 İmza Phishing Eyewash'ını Açığa Çıkarma
Hackerlar, Web3 ekosisteminde korkutucu bir varlık. Proje sahipleri için, kodun açık kaynak özelliği onları tedirgin ediyor, bir güvenlik kazasına neden olacak bir açığın oluşmasından korkuyorlar. Bireyler için, işlemlerin anlamını anlamamak, her zincir üzerindeki etkileşim veya imzada varlıkların çalınma riski ile sonuçlanabilir. Güvenlik sorunu, kripto dünyasının en büyük sorunlarından biri olmaya devam ediyor ve blok zincirinin özellikleri nedeniyle çalınan varlıkların geri alınması neredeyse imkansız, bu nedenle güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda, yeni bir oltalama yöntemi aktif hale geldi, yalnızca imza atmak varlıkların çalınmasına neden olabilir, yöntem gizli ve savunulması zor. Bir DEX ile etkileşimde bulunan adresler risk altındadır. Bu yazıda, bu imza oltalama yöntemini analiz edeceğiz ve daha fazla varlık kaybını önlemeye çalışacağız.
olayın gelişimi
Bir arkadaş ( küçük A ) cüzdan varlıkları çalındıktan sonra yardım arıyor. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi ve dolandırıcılık sitesi ile sözleşme etkileşimine girmedi.
Araştırmalar, küçük A'nın USDT'sinin Transfer From fonksiyonu aracılığıyla aktarıldığını ortaya koydu. Bu, başka bir adresin Token'ı transfer ettiğini, cüzdanın özel anahtarının sızdırılmadığını gösteriyor.
İşlem detayları gösteriyor:
Anahtar soru: fd51 adresi varlık izinlerini nasıl alır? Neden bir DEX ile ilgili?
Daha fazla araştırma, fd51 adresinin varlıkları aktarmadan önce bir Permit işlemi gerçekleştirdiğini ve her iki işlemin de bir DEX'in Permit2 sözleşmesiyle etkileşimde bulunduğunu ortaya koydu.
Permit2, bir DEX'in 2022'nin sonunda tanıttığı yeni bir akılda, uygulamalar arası token yetkilendirmesini paylaşma ve yönetme imkanı sunmakta olup, daha birleşik, düşük maliyetli ve güvenli bir kullanıcı deneyimi sağlamayı amaçlamaktadır.
Permit2, kullanıcılar ile DApp arasında bir aracı olarak, kullanıcıların yalnızca Permit2 sözleşmesine yetki vermesini sağlar; Permit2'yi entegre eden tüm DApp'ler bu yetki limitini paylaşabilir. Bu, etkileşim maliyetlerini düşürür ve kullanıcı deneyimini artırır, ancak aynı zamanda iki ucu keskin bir kılıç haline gelebilir.
Permit2, kullanıcı işlemlerini zincir dışı imzaya dönüştürür, zincir üzerindeki işlemler aracılar tarafından gerçekleştirilir. Bu, ETH'si olmayan kullanıcıların diğer Token'larla Gaz ödemesi yapabilmesini veya tamamen Gaz'sız işlem yapabilmesini sağlar.
Ancak, off-chain imza kullanıcıların en çok göz ardı edebileceği aşamadır. Birçok insan imza içeriğini dikkatlice kontrol etmiyor veya anlamıyor, bu da en tehlikeli kısımdır.
Bu oltalama yöntemini tetiklemek için ana şart, cüzdanın Permit2 sözleşmesine Token yetkilendirmesi yapmasıdır. Şu anda, Permit2'yi entegre eden bir DApp veya herhangi bir DEX üzerinde Swap yapmak için bu yetkilendirme gereklidir.
Daha da korkunç olan, Swap miktarı ne olursa olsun, belirli bir DEX'in Permit2 sözleşmesinin varsayılan olarak tüm bakiye yetkisi istemesidir. Cüzdan, özel bir giriş tutarı belirlemenizi önerse de, çoğu kişi muhtemelen doğrudan maksimum veya varsayılan değeri seçecektir ve Permit2'nin varsayılan değeri sınırsız bir limitidir.
Bu, 2023 yılından sonra belirli bir DEX ile etkileşimde bulunan ve Permit2 sözleşmesine yetki veren kullanıcıların riskle karşılaşabileceği anlamına geliyor.
Hackerlar, Permit fonksiyonunu kullanarak, kurbanın imzası ile Permit2 sözleşmesine yetki verilen Token miktarını transfer ediyor. İmza alındığı sürece, hacker kurbanın varlıklarını transfer edebilir.
nasıl önlenir?
Varlık cüzdanı ile etkileşim cüzdanı ayrıldı: Büyük miktarda varlıkların soğuk cüzdanda saklanması, etkileşimli cüzdanda yalnızca az miktarda para bulundurulması önerilir; bu, potansiyel kayıpları önemli ölçüde azaltabilir.
Permit2 sözleşmesinin yetkilendirmesini sınırlama veya yetkilendirmeyi iptal etme: Swap işlemi sırasında yalnızca gerekli miktarı yetkilendirin. Bu, etkileşim maliyetlerini artırsa da Permit2 imza dolandırıcılığı riskinden kaçınmanızı sağlar. Yetkilendirilmiş kullanıcılar, güvenli eklenti ile yetkileri iptal edebilir.
Token'in permit fonksiyonunu destekleyip desteklemediğini belirleyin: Sahip olduğunuz tokenlerin bu özelliği destekleyip desteklemediğine dikkat edin, eğer destekliyorsa, işlem yaparken ekstra dikkatli olun ve bilinmeyen imzaları sıkı bir şekilde kontrol edin.
Tamamlayıcı bir varlık kurtarma planı oluşturun: Eğer dolandırıcılık tespit ederseniz ancak diğer platformlarda hala token varsa, dikkatli bir şekilde çekim ve transfer yapmalısınız. Hackerlar adres bakiyesini gerçek zamanlı olarak izleyebilir, bu nedenle MEV transferi kullanmanızı veya profesyonel güvenlik şirketlerinden yardım almanızı öneririz.
Gelecekte Permit2 tabanlı oltalama vakalarının artması muhtemel, bu imza oltalama yöntemi gizli ve zor tespit edilebilir. Permit2'nin uygulama alanı genişledikçe, risk altında olan adreslerin sayısı artacaktır. Okuyucuların bu makaleyi yaymasını umuyoruz, böylece daha fazla kişinin zarar görmesini önleyebiliriz.