Revelando el Lavado de ojos de la firma Permit2 de Uniswap

Los hackers son una presencia aterradora en el ecosistema Web3. Para los desarrolladores de proyectos, la característica de código abierto los hace estar nerviosos durante el desarrollo, temiendo que un error pueda dejar una vulnerabilidad. Para los usuarios individuales, si no comprenden el significado de sus acciones, cada interacción o firma en la cadena podría resultar en el robo de sus activos. Por lo tanto, los problemas de seguridad han sido uno de los puntos críticos en el mundo de las criptomonedas. Debido a las características de la blockchain, los activos robados son casi imposibles de recuperar, por lo que es especialmente importante tener conocimientos de seguridad.

Recientemente, un investigador ha descubierto un nuevo tipo de técnica de phishing que puede llevar al robo de activos con solo firmar. Esta técnica es extremadamente sigilosa y difícil de prevenir, y todas las direcciones que han interactuado con Uniswap podrían estar en riesgo. Este artículo proporcionará información sobre esta técnica de phishing por firma, para tratar de evitar más pérdidas de activos.

desarrollo del evento

Un amigo (, A), busca ayuda después de que se robaron los activos de su billetera. A diferencia de los métodos comunes de robo, A( no reveló su clave privada ni interactuó con contratos sospechosos.

La investigación reveló que el USDT de Xiao A fue transferido a través de la función TransferFrom. Esto significa que fue una dirección de terceros la que operó la transferencia del Token, y no una filtración de la clave privada de la billetera.

Detalles de la transacción:

• Una dirección )fd51( transfirió los activos de Xiao A a otra dirección )a0c8(
• Esta operación interactúa con el contrato Permit2 de Uniswap.

La cuestión clave es: ¿cómo obtuvo la dirección fd51 los derechos de activos? ¿Por qué está relacionada con Uniswap?

Una investigación más profunda reveló que, antes de transferir los activos, la dirección fd51 realizó una operación de Permit, y ambas operaciones interactuaron con el contrato de Uniswap Permit2.

![¿Firma y te roban? Revelando el lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(

Uniswap Permit2 es un nuevo contrato lanzado a finales de 2022, diseñado para lograr la compartición y gestión de autorizaciones de tokens entre aplicaciones, creando una experiencia de usuario más unificada, eficiente y segura. A medida que más proyectos se integren, Permit2 tiene la esperanza de estandarizar la autorización de tokens, reducir los costos de transacción y aumentar la seguridad.

La aparición de Permit2 podría cambiar las reglas del ecosistema Dapp. Tradicionalmente, los usuarios debían autorizar cada Dapp por separado, mientras que Permit2 actúa como intermediario, permitiendo que los usuarios solo autoricen a Permit2, y todas las Dapp integradas pueden compartir esa autorización. Esto reduce el costo de interacción para los usuarios y mejora la experiencia.

![¿Te roban solo con firmar? Revelando el Lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp###

Sin embargo, Permit2 también es una espada de doble filo. Convierte las operaciones del usuario en firmas fuera de la cadena, y las operaciones en la cadena son realizadas por un intermediario. Esto permite a los usuarios pagar el Gas con otros Tokens sin necesidad de ETH o ser reembolsados por un intermediario, pero también hace que las firmas fuera de la cadena se conviertan en un riesgo de seguridad que se pasa por alto más fácilmente.

El análisis indica que, siempre que se interactúe con Uniswap y se autorice Permit2 después de 2023, podría enfrentar este riesgo de Lavado de ojos. La clave está en la función Permit, que permite a los hackers obtener permisos de Token y transferir activos a través de la firma del usuario.

( Análisis detallado del evento

La función Permit es similar a la firma de contratos en línea, permitiendo autorizar a otros para el uso futuro de tokens. Verificará la validez de la firma, validará la autenticidad de la firma y luego actualizará los registros de autorización.

La función verify extrae los datos v, r, s de la firma, recupera la dirección de la firma y la compara con la dirección del propietario del token. La función _updateApproval actualiza el valor de autorización una vez que la verificación ha sido exitosa.

![¿Firmar significa ser robado? Revelando el Lavado de ojos del phishing de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(

En la transacción real:

• owner es la dirección de la billetera de Xiao A
• Detalles muestran la dirección del contrato Token autorizado y el monto
• Spender es la dirección del hacker
• sigDeadline es el período de validez de la firma
• signature es la información de firma de A

El pequeño A había otorgado casi un límite ilimitado al usar Uniswap anteriormente. Los hackers aprovecharon esto, obteniendo firmas a través de phishing, para ejecutar las operaciones de Permit y TransferFrom en el contrato Permit2 para transferir activos.

![¿Firmar y ser robado? Revelando el Lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(

Actualmente, el contrato Permit2 de Uniswap se ha convertido en un punto caliente de Lavado de ojos, con una gran cantidad de interacciones provenientes de direcciones de Lavado de ojos marcadas.

![¿Te robaron solo por firmar? Revelando el Lavado de ojos de la firma Permit2 de Uniswap])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp###

( Sugerencias de prevención

1. Aprende a reconocer el formato de firma de Permit, que incluye información clave como Owner, Spender, value, nonce y deadline.

![¿Te roban solo por firmar? Revelando el Lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp

2. Separar la billetera de activos de la billetera de interacción para reducir pérdidas potenciales.

3. Autorizar con precaución el contrato Permit2, autorizando solo la cantidad necesaria o cancelando autorizaciones excesivas.

4. Verifique si los tokens que posee soportan la función de permiso, y tenga especial cuidado con las transacciones de los tokens que la soportan.

5. Si se descubre que ha sido víctima de un Lavado de ojos pero aún tiene activos en otras plataformas, es necesario elaborar un plan de transferencia de fondos completo, se puede considerar el uso de MEV para la transferencia o buscar la asistencia de un equipo de seguridad profesional.

Con la expansión del uso de Permit2, es posible que aumenten los ataques de phishing basados en él. Este tipo de phishing con firma es difícil de detectar y la cantidad de direcciones en riesgo también aumentará. Por favor, mantén la vigilancia y difunde información relevante para evitar más pérdidas.