Розкриття схеми замилювання очей з підписами Uniswap Permit2
Хакери є страшною реальністю в екосистемі Web3. Для команд проектів відкритий код викликає тривогу, оскільки вони побоюються, що вразливості можуть призвести до інцидентів з безпекою. Для особистостей, незнання значення дій може призвести до ризику крадіжки активів під час кожної взаємодії або підпису в ланцюзі. Проблеми безпеки завжди були однією з болючих тем у криптосвіті, і особливості блокчейну роблять крадіжку активів практично невідшкодовною, тому знання з безпеки є надзвичайно важливими.
Нещодавно активізувався новий тип фішингу, який може призвести до крадіжки активів лише за допомогою підпису, цей метод прихований і важкий для запобігання. Адреси, які взаємодіяли з певним DEX, можуть опинитися під загрозою. У цій статті буде проаналізовано цей метод фішингу з використанням підписів, щоб уникнути подальших втрат активів.
Хід подій
Один друг ( малий A ) шукає допомоги після крадіжки активів з гаманця. На відміну від звичних способів крадіжки, малий A не розкривав приватний ключ і не взаємодіяв з фішинговими сайтами.
Дослідження показало, що USDT маленького A було передано за допомогою функції Transfer From. Це означає, що інша адреса виконала передачу токена, а не витік приватного ключа гаманця.
Деталі угоди показують:
Адреса з кінцевими цифрами fd51 перенесла активи малюка A на адресу з кінцевими цифрами a0c8
Взаємодія з контрактом Permit2 певного DEX
Ключове питання: як отримати права на активи з адреси fd51? Чому це пов'язано з певним DEX?
Подальше розслідування виявило, що адреса fd51 виконала операцію Permit перед передачею активів, обидві операції взаємодіяли з контрактом Permit2 певного DEX.
Permit2 є новим контрактом, запущеним певним DEX наприкінці 2022 року, який дозволяє спільне використання та управління авторизацією токенів між додатками, з метою забезпечення більш єдиного, маловитратного та безпечного користувацького досвіду.
Permit2 як посередник між користувачем і DApp, користувачеві потрібно лише надати дозвіл контракту Permit2, всі DApp, які інтегрують Permit2, можуть ділитися дозволеними обсягами. Це зменшує витрати на взаємодію, покращує досвід користувача, але також може стати двосічним мечем.
Permit2 перетворює дії користувача на підписання поза ланцюгом, а дії в ланцюзі виконуються посередником. Це дозволяє користувачам без ETH також використовувати інші токени для сплати газу або повністю звільнити від газу.
Однак, підписування поза ланцюгом є найпростішим етапом, який користувачі можуть ігнорувати. Багато людей не перевіряють або не розуміють зміст підпису, і це є найбільш небезпечним місцем.
Щоб активувати цей метод фішингу, ключовою умовою є те, що гаманець має надати токен дозволу контракту Permit2. Наразі, щоб здійснити обмін на DApp або DEX, що інтегрує Permit2, потрібен цей дозвіл.
Ще більш страшно, що незалежно від суми Swap, контракт Permit2 певного DEX за замовчуванням запитує авторизацію на весь баланс. Хоча гаманець буде пропонувати ввести власну суму, більшість людей можуть просто вибрати максимальну або значення за замовчуванням, а значення за замовчуванням Permit2 є необмеженим.
Це означає, що після 2023 року користувачі, які взаємодіють з певним DEX та авторизують контракт Permit2, можуть зіткнутися з ризиками.
Хакери використовують функцію Permit, щоб через підпис жертви перевести ліміт токенів, що надаються контракту Permit2. Як тільки вони отримали підпис, хакери можуть перемістити активи жертви.
Як запобігти?
Розуміння та ідентифікація змісту підпису:
Навчіться розпізнавати формат підпису Permit, який містить ключову інформацію, таку як Owner, Spender, value, nonce та deadline. Використання безпечних плагінів допомагає у розпізнаванні.
Розділення активів гаманця та інтерактивного гаманця:
Рекомендується зберігати велику кількість активів у холодному гаманці, а в інтерактивному гаманці тримати лише невелику кількість коштів, що може суттєво зменшити потенційні втрати.
Обмеження авторизації або скасування авторизації контракту Permit2:
Під час виконання Swap авторизуйте лише необхідну суму. Хоча це збільшує витрати на взаємодію, але може уникнути ризику фішингу підписів Permit2. Авторизовані користувачі можуть скасувати авторизацію за допомогою безпечного плагіна.
Визначте, чи підтримує токен функцію permit:
Зверніть увагу на те, чи підтримують ваші токени цю функцію; якщо підтримують, будьте особливо обережні під час торгівлі, ретельно перевіряйте невідомі підписи.
Розробити вдосконалений план порятунку активів:
Якщо ви виявили, що стали жертвою замилювання очей, але на інших платформах все ще є токени, необхідно обережно їх виводити або переміщати. Хакери можуть в режимі реального часу моніторити залишок адреси, радимо використовувати MEV-переміщення або звернутися за допомогою до професійної безпекової компанії.
У майбутньому може зрости кількість риболовлі на основі Permit2, цей спосіб підпису риболовлі є прихованим і важким для запобігання. З поширенням застосування Permit2 кількість адрес, які піддаються ризику, зросте. Сподіваємося, що читачі поширять цю статтю, щоб уникнути втрат для більшої кількості людей.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
4
Поділіться
Прокоментувати
0/400
GmGmNoGn
· 9год тому
Підпис — це яма
Переглянути оригіналвідповісти на0
NFTArchaeologis
· 9год тому
Уроки, залишені руїнами цифрової варварської ери, навчили нас цінності безпеки завдяки вразливості Plato System 1970 року.
Переглянути оригіналвідповісти на0
FlippedSignal
· 9год тому
Зараз хто це витримає?
Переглянути оригіналвідповісти на0
AirdropHunterWang
· 9год тому
Підписуйтеся обережно, хочете отримати гроші, але боїтеся бути обманутими.
Permit2 підпис фішинг нове замилювання очей Торгівля потрібно бути обережним
Розкриття схеми замилювання очей з підписами Uniswap Permit2
Хакери є страшною реальністю в екосистемі Web3. Для команд проектів відкритий код викликає тривогу, оскільки вони побоюються, що вразливості можуть призвести до інцидентів з безпекою. Для особистостей, незнання значення дій може призвести до ризику крадіжки активів під час кожної взаємодії або підпису в ланцюзі. Проблеми безпеки завжди були однією з болючих тем у криптосвіті, і особливості блокчейну роблять крадіжку активів практично невідшкодовною, тому знання з безпеки є надзвичайно важливими.
Нещодавно активізувався новий тип фішингу, який може призвести до крадіжки активів лише за допомогою підпису, цей метод прихований і важкий для запобігання. Адреси, які взаємодіяли з певним DEX, можуть опинитися під загрозою. У цій статті буде проаналізовано цей метод фішингу з використанням підписів, щоб уникнути подальших втрат активів.
Хід подій
Один друг ( малий A ) шукає допомоги після крадіжки активів з гаманця. На відміну від звичних способів крадіжки, малий A не розкривав приватний ключ і не взаємодіяв з фішинговими сайтами.
Дослідження показало, що USDT маленького A було передано за допомогою функції Transfer From. Це означає, що інша адреса виконала передачу токена, а не витік приватного ключа гаманця.
Деталі угоди показують:
Ключове питання: як отримати права на активи з адреси fd51? Чому це пов'язано з певним DEX?
Подальше розслідування виявило, що адреса fd51 виконала операцію Permit перед передачею активів, обидві операції взаємодіяли з контрактом Permit2 певного DEX.
Permit2 є новим контрактом, запущеним певним DEX наприкінці 2022 року, який дозволяє спільне використання та управління авторизацією токенів між додатками, з метою забезпечення більш єдиного, маловитратного та безпечного користувацького досвіду.
Permit2 як посередник між користувачем і DApp, користувачеві потрібно лише надати дозвіл контракту Permit2, всі DApp, які інтегрують Permit2, можуть ділитися дозволеними обсягами. Це зменшує витрати на взаємодію, покращує досвід користувача, але також може стати двосічним мечем.
Permit2 перетворює дії користувача на підписання поза ланцюгом, а дії в ланцюзі виконуються посередником. Це дозволяє користувачам без ETH також використовувати інші токени для сплати газу або повністю звільнити від газу.
Однак, підписування поза ланцюгом є найпростішим етапом, який користувачі можуть ігнорувати. Багато людей не перевіряють або не розуміють зміст підпису, і це є найбільш небезпечним місцем.
Щоб активувати цей метод фішингу, ключовою умовою є те, що гаманець має надати токен дозволу контракту Permit2. Наразі, щоб здійснити обмін на DApp або DEX, що інтегрує Permit2, потрібен цей дозвіл.
Ще більш страшно, що незалежно від суми Swap, контракт Permit2 певного DEX за замовчуванням запитує авторизацію на весь баланс. Хоча гаманець буде пропонувати ввести власну суму, більшість людей можуть просто вибрати максимальну або значення за замовчуванням, а значення за замовчуванням Permit2 є необмеженим.
Це означає, що після 2023 року користувачі, які взаємодіють з певним DEX та авторизують контракт Permit2, можуть зіткнутися з ризиками.
Хакери використовують функцію Permit, щоб через підпис жертви перевести ліміт токенів, що надаються контракту Permit2. Як тільки вони отримали підпис, хакери можуть перемістити активи жертви.
Як запобігти?
Розділення активів гаманця та інтерактивного гаманця: Рекомендується зберігати велику кількість активів у холодному гаманці, а в інтерактивному гаманці тримати лише невелику кількість коштів, що може суттєво зменшити потенційні втрати.
Обмеження авторизації або скасування авторизації контракту Permit2: Під час виконання Swap авторизуйте лише необхідну суму. Хоча це збільшує витрати на взаємодію, але може уникнути ризику фішингу підписів Permit2. Авторизовані користувачі можуть скасувати авторизацію за допомогою безпечного плагіна.
Визначте, чи підтримує токен функцію permit: Зверніть увагу на те, чи підтримують ваші токени цю функцію; якщо підтримують, будьте особливо обережні під час торгівлі, ретельно перевіряйте невідомі підписи.
Розробити вдосконалений план порятунку активів: Якщо ви виявили, що стали жертвою замилювання очей, але на інших платформах все ще є токени, необхідно обережно їх виводити або переміщати. Хакери можуть в режимі реального часу моніторити залишок адреси, радимо використовувати MEV-переміщення або звернутися за допомогою до професійної безпекової компанії.
У майбутньому може зрости кількість риболовлі на основі Permit2, цей спосіб підпису риболовлі є прихованим і важким для запобігання. З поширенням застосування Permit2 кількість адрес, які піддаються ризику, зросте. Сподіваємося, що читачі поширять цю статтю, щоб уникнути втрат для більшої кількості людей.