المخترقون هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمشاريع، تعني الشيفرة المفتوحة المصدر أن المخترقين في جميع أنحاء العالم قد يراقبونك، وقد يؤدي كتابة سطر واحد خاطئ من الشيفرة إلى ترك ثغرة، وعواقب الحوادث الأمنية خطيرة. بالنسبة للمستخدمين الأفراد، إذا لم يفهموا معنى إجراءاتهم، فإن كل تفاعل أو توقيع على الشبكة قد يؤدي إلى سرقة الأصول. لذلك، كانت مشاكل الأمان دائمًا واحدة من أصعب المشكلات في عالم التشفير. نظرًا لخصائص blockchain، عندما تُسرق الأصول، يصبح من الصعب جدًا استعادتها، لذا فإن امتلاك المعرفة الأمنية في عالم التشفير أمر مهم بشكل خاص.
تم اكتشاف طريقة جديدة للتصيد الاحتيالي نشطة منذ شهرين تقريبًا، حيث يتم سرقة التوقيع بمجرد التوقيع، وتكون الطريقة خفية للغاية وصعبة الحماية، كما أن العناوين التي تفاعلت مع Uniswap قد تواجه مخاطر. ستتناول هذه المقالة توعية حول طريقة تصيد التوقيع هذه لتقليل خسائر الأصول.
ملابسات الحدث
مؤخراً، تم سرقة أصول صديقي ( الصغيرة A ) من محفظته. على عكس طرق السرقة الشائعة، لم يكشف الصغيرة A عن مفتاحه الخاص ولم يتفاعل مع عقود مواقع التصيد. وكشفت التحقيقات أن USDT المسروقة من محفظة الصغيرة A تم نقلها عبر دالة Transfer From، مما يعني أن عنواناً آخر قام بتشغيلها لنقل الرموز، وليس تسرب مفتاح المحفظة الخاص.
من خلال استعلام تفاصيل الصفقة، تم اكتشاف خيوط رئيسية:
عنوان ينقل أصول الصغيرة A إلى عنوان آخر
هذه العملية تتفاعل مع عقد Permit2 الخاص بـ Uniswap
المشكلة هي كيف حصلت هذه العنوان على صلاحيات الأصول؟ لماذا يتعلق الأمر بـ Uniswap؟
شرط استدعاء دالة Transfer From هو أن يتمتع المستدعي بسلطة حد المبلغ لرمز Token (approve). الجواب يكمن في أنه قبل تنفيذ Transfer From، قام هذا العنوان أيضًا بعملية Permit، حيث تتفاعل العمليتان مع عقد Permit2 الخاص بـ Uniswap.
عقد Uniswap Permit2 هو عقد جديد أطلقته Uniswap في نهاية عام 2022، يسمح بتفويض الرموز لمشاركة وإدارة في تطبيقات مختلفة، ويهدف إلى خلق تجربة مستخدم أكثر توحيدًا وفعالية من حيث التكلفة وأكثر أمانًا. مع دمج المزيد من المشاريع لـ Permit2، يمكنه تحقيق تفويض رموز موحد في جميع التطبيقات، من خلال تقليل تكاليف المعاملات وتحسين تجربة المستخدم، مع تعزيز أمان العقود الذكية.
قد يغير إطلاق Permit2 قواعد اللعبة في بيئة Dapp بأكملها. في الطرق التقليدية، يتطلب الأمر تفويضًا منفصلًا في كل مرة يتم فيها التفاعل مع Dapp لنقل الأصول. بينما يمكن لـ Permit2 أن يوفر هذه الخطوة، مما يقلل بشكل فعال من تكلفة تفاعل المستخدم ويقدم تجربة مستخدم أفضل.
يعمل Permit2 كوسيط بين المستخدم وDapp، حيث يحتاج المستخدم فقط إلى تفويض صلاحيات الرموز لعقد Permit2، ويمكن لجميع Dapps المدمجة مع Permit2 مشاركة هذا الحد من التفويض. كان هذا في الأساس وضعًا مربحًا للطرفين، ولكنه قد يكون أيضًا سيفًا ذا حدين، والمشكلة تكمن في طريقة التفاعل مع Permit2.
في طرق التفاعل التقليدية، يعتبر كل من التفويض وتحويل الأموال تفاعلات على السلسلة بالنسبة للمستخدمين. يقوم Permit2 بتحويل عمليات المستخدم إلى توقيعات خارج السلسلة، حيث تتم جميع العمليات على السلسلة بواسطة الأطراف الوسيطة مثل عقد Permit2 والمشاريع التي تدمج Permit2. الفائدة من ذلك هي أنه حتى إذا لم يكن لدى محفظة المستخدم ETH، يمكنه استخدام رموز أخرى لدفع رسوم الغاز أو يتم تعويضها بواسطة الأطراف الوسيطة.
ومع ذلك، فإن التوقيع خارج السلسلة هو المرحلة التي يسهل على المستخدمين الاسترخاء فيها. الكثير من الناس لا يتحققون بدقة من محتوى التوقيع عند تسجيل الدخول إلى Dapp باستخدام المحفظة، ولا يفهمون معناه، وهذا هو أخطر ما في الأمر.
لاستخدام هذه الخدعة بتوقيع Permit2، الشرط الأساسي هو أن تكون المحفظة المخادعة قد منحت توكيلًا لعقد Permit2 الخاص بـ Uniswap. في الوقت الحالي، يجب منح الإذن لعقد Permit2 في أي Dapp متكامل مع Permit2 أو عند إجراء Swap على Uniswap.
الأكثر رعبًا هو أنه، بغض النظر عن مبلغ السواب، فإن عقد Permit2 الخاص بـ Uniswap سيفترض تلقائيًا أن المستخدم قد منح تفويضًا لجميع رصيد هذا الرمز. على الرغم من أن MetaMask يسمح بإدخال مبلغ مخصص، إلا أن معظم الناس قد يختارون مباشرةً القيمة القصوى أو القيمة الافتراضية، والقيمة الافتراضية لـ Permit2 هي حد غير محدود.
هذا يعني أنه طالما أنك تفاعلت مع Uniswap بعد عام 2023 ومنحت تفويضًا لعقد Permit2، فقد تكون معرضًا لخطر هذا التضليل.
التركيز هو على دالة Permit، التي يمكن أن تستخدم محفظتك لنقل حدود توكن المصرح بها لعقد Permit2 إلى عناوين أخرى. بمجرد الحصول على توقيعك، يمكن للقراصنة الحصول على إذن توكنات محفظتك ونقل أصولك.
نظرًا لأن عقد Uniswap Permit2 قد يصبح أكثر شيوعًا في المستقبل، فمن المحتمل أن تقوم المزيد من المشاريع بدمج عقد Permit2 لمشاركة التفويض. تشمل الوسائل الفعالة للتصدي ما يلي:
فهم وتحديد محتوى التوقيع:
عادةً ما تتضمن صيغة توقيع Permit الحقول الأساسية مثل Owner وSpender وvalue وnonce وdeadline. إذا كنت ترغب في الاستفادة من المزايا والتكاليف المنخفضة التي يوفرها Permit2، يجب أن تتعلم كيفية التعرف على هذه الصيغة التوقيعية. استخدام الإضافات الأمنية هو خيار جيد.
![التوقيع تعرض للسرقة؟ كشف خدعة التوقيع في Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp###
فصل تخزين الأصول والمحفظة التفاعلية:
يُنصح بتخزين كميات كبيرة من الأصول في محفظة باردة، بينما يجب أن تحتوي محفظة التفاعل على السلسلة على كمية صغيرة من الأموال، مما يمكن أن يقلل بشكل كبير من الخسائر عند مواجهة تضليل.
تقييد الائتمان أو إلغاء التفويض:
عند إجراء التبادل على Uniswap، قم بتفويض المبلغ المطلوب فقط للتفاعل. على الرغم من أن الحاجة إلى إعادة التفويض في كل تفاعل ستزيد من بعض التكاليف، إلا أنها يمكن أن تتجنب التعرض لعملية احتيال توقيع Permit2. إذا تم تفويض المبلغ بالفعل، يمكنك استخدام المكونات الإضافية الآمنة لإلغاء التفويض.
التعرف على طبيعة الرموز، وفهم ما إذا كانت تدعم وظيفة الإذن:
مع زيادة عدد رموز ERC20 التي قد تستخدم بروتوكول التمديد لتنفيذ وظيفة التصريح، يجب الانتباه إلى ما إذا كانت الرموز التي تمتلكها تدعم هذه الوظيفة. إذا كانت مدعومة، يجب توخي الحذر الشديد عند إجراء المعاملات أو العمليات المتعلقة بهذه الرموز، والتحقق بدقة من كل توقيع غير معروف لمعرفة ما إذا كان يتعلق بدالة التصريح.
وضع خطة إنقاذ للأصول بشكل كامل:
إذا اكتشفت أنك تعرضت للتضليل، ولكن لا يزال لديك رموز موجودة على منصات أخرى من خلال الرهن أو طرق أخرى، وعليك سحبها وتحويلها إلى عنوان آمن، يجب أن تكون حذرًا لأن القراصنة قد يراقبون رصيد عنوانك في أي وقت. نظرًا لأن القراصنة يمتلكون توقيعك، إذا ظهرت رموز في عنوان مسروق، فقد يتم نقلها على الفور. يجب وضع خطة دقيقة لإنقاذ الرموز للتأكد من أن عملية السحب والتحويل تتم بشكل متزامن، وعدم إعطاء القراصنة فرصة لإدخال交易. يمكنك التفكير في استخدام نقل MEV أو طلب المساعدة من شركات الأمن المتخصصة.
قد تزداد عمليات الاحتيال القائمة على Permit2 في المستقبل، حيث أن هذه الطريقة في الاحتيال بالتوقيع خفية للغاية وصعبة الحماية. مع توسع نطاق استخدام Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المعلومات إلى المزيد من الناس لتجنب تعرض المزيد من الأشخاص للخسائر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
أسلوب اختراق توقيع Uniswap Permit2 الجديد: الآلية والمخاطر وسبل الحماية
كشف عن خدعة توقيع Uniswap Permit2
المخترقون هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمشاريع، تعني الشيفرة المفتوحة المصدر أن المخترقين في جميع أنحاء العالم قد يراقبونك، وقد يؤدي كتابة سطر واحد خاطئ من الشيفرة إلى ترك ثغرة، وعواقب الحوادث الأمنية خطيرة. بالنسبة للمستخدمين الأفراد، إذا لم يفهموا معنى إجراءاتهم، فإن كل تفاعل أو توقيع على الشبكة قد يؤدي إلى سرقة الأصول. لذلك، كانت مشاكل الأمان دائمًا واحدة من أصعب المشكلات في عالم التشفير. نظرًا لخصائص blockchain، عندما تُسرق الأصول، يصبح من الصعب جدًا استعادتها، لذا فإن امتلاك المعرفة الأمنية في عالم التشفير أمر مهم بشكل خاص.
تم اكتشاف طريقة جديدة للتصيد الاحتيالي نشطة منذ شهرين تقريبًا، حيث يتم سرقة التوقيع بمجرد التوقيع، وتكون الطريقة خفية للغاية وصعبة الحماية، كما أن العناوين التي تفاعلت مع Uniswap قد تواجه مخاطر. ستتناول هذه المقالة توعية حول طريقة تصيد التوقيع هذه لتقليل خسائر الأصول.
ملابسات الحدث
مؤخراً، تم سرقة أصول صديقي ( الصغيرة A ) من محفظته. على عكس طرق السرقة الشائعة، لم يكشف الصغيرة A عن مفتاحه الخاص ولم يتفاعل مع عقود مواقع التصيد. وكشفت التحقيقات أن USDT المسروقة من محفظة الصغيرة A تم نقلها عبر دالة Transfer From، مما يعني أن عنواناً آخر قام بتشغيلها لنقل الرموز، وليس تسرب مفتاح المحفظة الخاص.
من خلال استعلام تفاصيل الصفقة، تم اكتشاف خيوط رئيسية:
المشكلة هي كيف حصلت هذه العنوان على صلاحيات الأصول؟ لماذا يتعلق الأمر بـ Uniswap؟
شرط استدعاء دالة Transfer From هو أن يتمتع المستدعي بسلطة حد المبلغ لرمز Token (approve). الجواب يكمن في أنه قبل تنفيذ Transfer From، قام هذا العنوان أيضًا بعملية Permit، حيث تتفاعل العمليتان مع عقد Permit2 الخاص بـ Uniswap.
عقد Uniswap Permit2 هو عقد جديد أطلقته Uniswap في نهاية عام 2022، يسمح بتفويض الرموز لمشاركة وإدارة في تطبيقات مختلفة، ويهدف إلى خلق تجربة مستخدم أكثر توحيدًا وفعالية من حيث التكلفة وأكثر أمانًا. مع دمج المزيد من المشاريع لـ Permit2، يمكنه تحقيق تفويض رموز موحد في جميع التطبيقات، من خلال تقليل تكاليف المعاملات وتحسين تجربة المستخدم، مع تعزيز أمان العقود الذكية.
قد يغير إطلاق Permit2 قواعد اللعبة في بيئة Dapp بأكملها. في الطرق التقليدية، يتطلب الأمر تفويضًا منفصلًا في كل مرة يتم فيها التفاعل مع Dapp لنقل الأصول. بينما يمكن لـ Permit2 أن يوفر هذه الخطوة، مما يقلل بشكل فعال من تكلفة تفاعل المستخدم ويقدم تجربة مستخدم أفضل.
يعمل Permit2 كوسيط بين المستخدم وDapp، حيث يحتاج المستخدم فقط إلى تفويض صلاحيات الرموز لعقد Permit2، ويمكن لجميع Dapps المدمجة مع Permit2 مشاركة هذا الحد من التفويض. كان هذا في الأساس وضعًا مربحًا للطرفين، ولكنه قد يكون أيضًا سيفًا ذا حدين، والمشكلة تكمن في طريقة التفاعل مع Permit2.
في طرق التفاعل التقليدية، يعتبر كل من التفويض وتحويل الأموال تفاعلات على السلسلة بالنسبة للمستخدمين. يقوم Permit2 بتحويل عمليات المستخدم إلى توقيعات خارج السلسلة، حيث تتم جميع العمليات على السلسلة بواسطة الأطراف الوسيطة مثل عقد Permit2 والمشاريع التي تدمج Permit2. الفائدة من ذلك هي أنه حتى إذا لم يكن لدى محفظة المستخدم ETH، يمكنه استخدام رموز أخرى لدفع رسوم الغاز أو يتم تعويضها بواسطة الأطراف الوسيطة.
ومع ذلك، فإن التوقيع خارج السلسلة هو المرحلة التي يسهل على المستخدمين الاسترخاء فيها. الكثير من الناس لا يتحققون بدقة من محتوى التوقيع عند تسجيل الدخول إلى Dapp باستخدام المحفظة، ولا يفهمون معناه، وهذا هو أخطر ما في الأمر.
لاستخدام هذه الخدعة بتوقيع Permit2، الشرط الأساسي هو أن تكون المحفظة المخادعة قد منحت توكيلًا لعقد Permit2 الخاص بـ Uniswap. في الوقت الحالي، يجب منح الإذن لعقد Permit2 في أي Dapp متكامل مع Permit2 أو عند إجراء Swap على Uniswap.
الأكثر رعبًا هو أنه، بغض النظر عن مبلغ السواب، فإن عقد Permit2 الخاص بـ Uniswap سيفترض تلقائيًا أن المستخدم قد منح تفويضًا لجميع رصيد هذا الرمز. على الرغم من أن MetaMask يسمح بإدخال مبلغ مخصص، إلا أن معظم الناس قد يختارون مباشرةً القيمة القصوى أو القيمة الافتراضية، والقيمة الافتراضية لـ Permit2 هي حد غير محدود.
هذا يعني أنه طالما أنك تفاعلت مع Uniswap بعد عام 2023 ومنحت تفويضًا لعقد Permit2، فقد تكون معرضًا لخطر هذا التضليل.
التركيز هو على دالة Permit، التي يمكن أن تستخدم محفظتك لنقل حدود توكن المصرح بها لعقد Permit2 إلى عناوين أخرى. بمجرد الحصول على توقيعك، يمكن للقراصنة الحصول على إذن توكنات محفظتك ونقل أصولك.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp)
( كيف تحمي نفسك؟
نظرًا لأن عقد Uniswap Permit2 قد يصبح أكثر شيوعًا في المستقبل، فمن المحتمل أن تقوم المزيد من المشاريع بدمج عقد Permit2 لمشاركة التفويض. تشمل الوسائل الفعالة للتصدي ما يلي:
![التوقيع تعرض للسرقة؟ كشف خدعة التوقيع في Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp###
فصل تخزين الأصول والمحفظة التفاعلية: يُنصح بتخزين كميات كبيرة من الأصول في محفظة باردة، بينما يجب أن تحتوي محفظة التفاعل على السلسلة على كمية صغيرة من الأموال، مما يمكن أن يقلل بشكل كبير من الخسائر عند مواجهة تضليل.
تقييد الائتمان أو إلغاء التفويض: عند إجراء التبادل على Uniswap، قم بتفويض المبلغ المطلوب فقط للتفاعل. على الرغم من أن الحاجة إلى إعادة التفويض في كل تفاعل ستزيد من بعض التكاليف، إلا أنها يمكن أن تتجنب التعرض لعملية احتيال توقيع Permit2. إذا تم تفويض المبلغ بالفعل، يمكنك استخدام المكونات الإضافية الآمنة لإلغاء التفويض.
التعرف على طبيعة الرموز، وفهم ما إذا كانت تدعم وظيفة الإذن: مع زيادة عدد رموز ERC20 التي قد تستخدم بروتوكول التمديد لتنفيذ وظيفة التصريح، يجب الانتباه إلى ما إذا كانت الرموز التي تمتلكها تدعم هذه الوظيفة. إذا كانت مدعومة، يجب توخي الحذر الشديد عند إجراء المعاملات أو العمليات المتعلقة بهذه الرموز، والتحقق بدقة من كل توقيع غير معروف لمعرفة ما إذا كان يتعلق بدالة التصريح.
وضع خطة إنقاذ للأصول بشكل كامل: إذا اكتشفت أنك تعرضت للتضليل، ولكن لا يزال لديك رموز موجودة على منصات أخرى من خلال الرهن أو طرق أخرى، وعليك سحبها وتحويلها إلى عنوان آمن، يجب أن تكون حذرًا لأن القراصنة قد يراقبون رصيد عنوانك في أي وقت. نظرًا لأن القراصنة يمتلكون توقيعك، إذا ظهرت رموز في عنوان مسروق، فقد يتم نقلها على الفور. يجب وضع خطة دقيقة لإنقاذ الرموز للتأكد من أن عملية السحب والتحويل تتم بشكل متزامن، وعدم إعطاء القراصنة فرصة لإدخال交易. يمكنك التفكير في استخدام نقل MEV أو طلب المساعدة من شركات الأمن المتخصصة.
قد تزداد عمليات الاحتيال القائمة على Permit2 في المستقبل، حيث أن هذه الطريقة في الاحتيال بالتوقيع خفية للغاية وصعبة الحماية. مع توسع نطاق استخدام Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المعلومات إلى المزيد من الناس لتجنب تعرض المزيد من الأشخاص للخسائر.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp)