Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia temida en el ecosistema de Web3. Para los desarrolladores del proyecto, el código abierto significa que hackers de todo el mundo pueden estar al acecho; un error en una línea de código puede dejar una vulnerabilidad, y las consecuencias de un incidente de seguridad pueden ser graves. Para los usuarios individuales, si no comprenden el significado de sus acciones, cada interacción o firma en la cadena puede resultar en el robo de activos. Por lo tanto, los problemas de seguridad han sido uno de los temas más complicados en el mundo de las criptomonedas. Debido a las características de la blockchain, una vez que los activos son robados, es casi imposible recuperarlos, por lo que tener conocimientos de seguridad es especialmente importante en el mundo de las criptomonedas.
Recientemente se ha descubierto un nuevo método de phishing que ha comenzado a activarse en los últimos dos meses; basta con firmar para ser robado, el método es extremadamente encubierto y difícil de prevenir, y todas las direcciones que han interactuado con Uniswap pueden estar en riesgo. Este artículo tiene como objetivo informar sobre este método de phishing por firma, para tratar de evitar más pérdidas de activos.
desarrollo del evento
Recientemente, un amigo (, el pequeño A ), tuvo sus activos robados de su billetera. A diferencia de los métodos comunes de robo, el pequeño A no filtró su clave privada ni interactuó con contratos de sitios de phishing. La investigación reveló que el USDT robado de la billetera del pequeño A fue transferido a través de la función Transfer From, lo que significa que otra dirección operó para mover el Token, en lugar de que se filtrara la clave privada de la billetera.
A través de la consulta de los detalles de la transacción, se encontraron pistas clave:
Una dirección transferirá los activos de Xiao A a otra dirección
Esta operación interactúa con el contrato Permit2 de Uniswap.
El problema es, ¿cómo obtuvo este dirección los permisos de activos? ¿Por qué está relacionado con Uniswap?
La premisa para llamar a la función Transfer From es que el llamador necesita tener el permiso de asignación de Token (approve). La respuesta radica en que antes de ejecutar Transfer From, esa dirección también realizó una operación de Permit, ambas operaciones interactúan con el contrato Permit2 de Uniswap.
El contrato Uniswap Permit2 es un nuevo contrato lanzado por Uniswap a finales de 2022, que permite la autorización de tokens para compartir y gestionar en diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, rentable y segura. A medida que más proyectos integren Permit2, se podrá lograr la estandarización de la aprobación de tokens en todas las aplicaciones, mejorando la experiencia del usuario al reducir los costos de transacción, al mismo tiempo que se aumenta la seguridad de los contratos inteligentes.
El lanzamiento de Permit2 podría cambiar las reglas del juego en todo el ecosistema Dapp. En el método tradicional, cada interacción de transferencia de activos con Dapp requiere una autorización por separado. Sin embargo, Permit2 puede omitir este paso, reduciendo efectivamente los costos de interacción del usuario y proporcionando una mejor experiencia al usuario.
Permit2 actúa como un intermediario entre el usuario y Dapp, el usuario solo necesita otorgar los permisos de Token al contrato Permit2, todos los Dapp que integren Permit2 pueden compartir este límite de autorización. Esto es una situación beneficiosa para ambas partes, pero también puede ser una espada de doble filo, el problema radica en la forma de interactuar con Permit2.
En los métodos de interacción tradicionales, la autorización y la transferencia de fondos son interacciones en la cadena para el usuario. Permit2 transforma las acciones del usuario en firmas fuera de la cadena, y todas las operaciones en la cadena son realizadas por un rol intermedio ( como el contrato Permit2 y los proyectos integrados con Permit2 ). El beneficio de esto es que, incluso si la billetera del usuario no tiene ETH, se pueden utilizar otros tokens para pagar las tarifas de Gas o ser reembolsadas por el rol intermedio.
Sin embargo, la firma fuera de la cadena es la etapa en la que los usuarios son más propensos a bajar la guardia. Muchas personas no revisan detenidamente el contenido de la firma al iniciar sesión en Dapp con su billetera, ni comprenden su significado, lo cual es el lugar más peligroso.
Para usar esta técnica de phishing con Permit2, el requisito clave es que la billetera objetivo necesite tener autorizaciones de Token otorgadas al contrato Permit2 de Uniswap. Actualmente, al realizar un intercambio en Dapp integrado con Permit2 o en Uniswap, se necesita otorgar autorización al contrato Permit2.
Lo más aterrador es que, independientemente de la cantidad de Swap, el contrato Permit2 de Uniswap siempre permitirá a los usuarios autorizar el monto total de ese Token. Aunque MetaMask permite ingresar una cantidad personalizada, la mayoría de las personas probablemente elegirán directamente el máximo o el valor predeterminado, y el valor predeterminado de Permit2 es un límite infinito.
Esto significa que, siempre que hayas interactuado con Uniswap después de 2023 y hayas autorizado un monto al contrato Permit2, podrías estar expuesto al riesgo de este Lavado de ojos.
El enfoque está en la función Permit, que puede usar tu billetera para transferir el límite de tokens autorizado al contrato Permit2 a otra dirección. Siempre que obtengan tu firma, los hackers pueden obtener permisos sobre los tokens en tu billetera y transferir tus activos.
¿Cómo prevenir?
Considerando que el contrato Uniswap Permit2 puede volverse más común en el futuro, es probable que más proyectos integren el contrato Permit2 para compartir autorizaciones. Las medidas efectivas de prevención incluyen:
Entender e identificar el contenido de la firma:
El formato de firma de Permit generalmente incluye campos clave como Owner, Spender, value, nonce y deadline. Si desea disfrutar de las ventajas y costos bajos que ofrece Permit2, debe aprender a reconocer este formato de firma. Usar un complemento de seguridad es una buena opción.
Separar el almacenamiento de activos y la billetera de interacción:
Se sugiere almacenar grandes cantidades de activos en una billetera fría, mientras que la billetera utilizada para interacciones en la cadena solo debe contener una pequeña cantidad de fondos, lo que puede reducir significativamente las pérdidas en caso de un ataque de Lavado de ojos.
Limitar el monto de autorización o cancelar la autorización:
Al realizar un Swap en Uniswap, solo autoriza la cantidad necesaria para la interacción. Aunque tener que volver a autorizar cada interacción aumentará algunos costos, esto puede evitar caer en el Lavado de ojos de firma de Permit2. Si ya se ha autorizado un monto, se puede utilizar un complemento de seguridad para revocar la autorización.
Identificar la naturaleza del token, entender si soporta la función de permiso:
A medida que más y más tokens ERC20 pueden utilizar este protocolo de extensión para implementar la función de permiso, es necesario prestar atención a si los tokens que posees son compatibles con esta función. Si son compatibles, debes tener mucho cuidado con las transacciones u operaciones de ese token, revisando estrictamente si cada firma desconocida involucra la función de permiso.
Establecer un plan de rescate de activos completo:
Si descubres que has sido víctima de un Lavado de ojos, pero aún tienes tokens existentes en otras plataformas a través de staking u otros métodos, cuando necesites extraer y transferirlos a una dirección segura, debes tener en cuenta que los hackers pueden monitorear el saldo de tu dirección en cualquier momento. Dado que los hackers tienen tu firma, tan pronto como aparezcan tokens en la dirección robada, pueden ser transferidos de inmediato. Es necesario elaborar un plan detallado de rescate de tokens, asegurando que el proceso de extracción y transferencia se ejecute de manera sincronizada, sin dar oportunidades a los hackers para insertar transacciones. Se puede considerar el uso de transferencias MEV o buscar la ayuda de empresas de seguridad profesionales.
El phishing basado en Permit2 podría aumentar en el futuro, ya que este método de phishing por firma es extremadamente sigiloso y difícil de prevenir. A medida que se amplía el alcance de la aplicación de Permit2, también aumentará el número de direcciones expuestas a riesgos. Espero que los lectores puedan difundir esta información a más personas para evitar que más personas sufran pérdidas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
5
Republicar
Compartir
Comentar
0/400
WalletDoomsDay
· 08-04 15:25
Cada día juega con la firma, juega sin moneda mañana y noche.
Ver originalesResponder0
LiquidationAlert
· 08-02 23:37
¿Puede un hacker fijarse en mí? Estoy muerto de miedo.
Ver originalesResponder0
DataBartender
· 08-02 16:28
¡Es ridículo que hayan robado la firma!
Ver originalesResponder0
CryingOldWallet
· 08-02 16:01
¿Quién se atreve a usar uni ahora?
Ver originalesResponder0
AirdropBlackHole
· 08-02 16:00
Otra vez hablando de la seguridad de la billetera, ¿no es molesto?
Nuevos métodos de phishing con firma Permit2 de Uniswap: mecanismo, riesgos y prevención
Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia temida en el ecosistema de Web3. Para los desarrolladores del proyecto, el código abierto significa que hackers de todo el mundo pueden estar al acecho; un error en una línea de código puede dejar una vulnerabilidad, y las consecuencias de un incidente de seguridad pueden ser graves. Para los usuarios individuales, si no comprenden el significado de sus acciones, cada interacción o firma en la cadena puede resultar en el robo de activos. Por lo tanto, los problemas de seguridad han sido uno de los temas más complicados en el mundo de las criptomonedas. Debido a las características de la blockchain, una vez que los activos son robados, es casi imposible recuperarlos, por lo que tener conocimientos de seguridad es especialmente importante en el mundo de las criptomonedas.
Recientemente se ha descubierto un nuevo método de phishing que ha comenzado a activarse en los últimos dos meses; basta con firmar para ser robado, el método es extremadamente encubierto y difícil de prevenir, y todas las direcciones que han interactuado con Uniswap pueden estar en riesgo. Este artículo tiene como objetivo informar sobre este método de phishing por firma, para tratar de evitar más pérdidas de activos.
desarrollo del evento
Recientemente, un amigo (, el pequeño A ), tuvo sus activos robados de su billetera. A diferencia de los métodos comunes de robo, el pequeño A no filtró su clave privada ni interactuó con contratos de sitios de phishing. La investigación reveló que el USDT robado de la billetera del pequeño A fue transferido a través de la función Transfer From, lo que significa que otra dirección operó para mover el Token, en lugar de que se filtrara la clave privada de la billetera.
A través de la consulta de los detalles de la transacción, se encontraron pistas clave:
El problema es, ¿cómo obtuvo este dirección los permisos de activos? ¿Por qué está relacionado con Uniswap?
La premisa para llamar a la función Transfer From es que el llamador necesita tener el permiso de asignación de Token (approve). La respuesta radica en que antes de ejecutar Transfer From, esa dirección también realizó una operación de Permit, ambas operaciones interactúan con el contrato Permit2 de Uniswap.
El contrato Uniswap Permit2 es un nuevo contrato lanzado por Uniswap a finales de 2022, que permite la autorización de tokens para compartir y gestionar en diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, rentable y segura. A medida que más proyectos integren Permit2, se podrá lograr la estandarización de la aprobación de tokens en todas las aplicaciones, mejorando la experiencia del usuario al reducir los costos de transacción, al mismo tiempo que se aumenta la seguridad de los contratos inteligentes.
El lanzamiento de Permit2 podría cambiar las reglas del juego en todo el ecosistema Dapp. En el método tradicional, cada interacción de transferencia de activos con Dapp requiere una autorización por separado. Sin embargo, Permit2 puede omitir este paso, reduciendo efectivamente los costos de interacción del usuario y proporcionando una mejor experiencia al usuario.
Permit2 actúa como un intermediario entre el usuario y Dapp, el usuario solo necesita otorgar los permisos de Token al contrato Permit2, todos los Dapp que integren Permit2 pueden compartir este límite de autorización. Esto es una situación beneficiosa para ambas partes, pero también puede ser una espada de doble filo, el problema radica en la forma de interactuar con Permit2.
En los métodos de interacción tradicionales, la autorización y la transferencia de fondos son interacciones en la cadena para el usuario. Permit2 transforma las acciones del usuario en firmas fuera de la cadena, y todas las operaciones en la cadena son realizadas por un rol intermedio ( como el contrato Permit2 y los proyectos integrados con Permit2 ). El beneficio de esto es que, incluso si la billetera del usuario no tiene ETH, se pueden utilizar otros tokens para pagar las tarifas de Gas o ser reembolsadas por el rol intermedio.
Sin embargo, la firma fuera de la cadena es la etapa en la que los usuarios son más propensos a bajar la guardia. Muchas personas no revisan detenidamente el contenido de la firma al iniciar sesión en Dapp con su billetera, ni comprenden su significado, lo cual es el lugar más peligroso.
Para usar esta técnica de phishing con Permit2, el requisito clave es que la billetera objetivo necesite tener autorizaciones de Token otorgadas al contrato Permit2 de Uniswap. Actualmente, al realizar un intercambio en Dapp integrado con Permit2 o en Uniswap, se necesita otorgar autorización al contrato Permit2.
Lo más aterrador es que, independientemente de la cantidad de Swap, el contrato Permit2 de Uniswap siempre permitirá a los usuarios autorizar el monto total de ese Token. Aunque MetaMask permite ingresar una cantidad personalizada, la mayoría de las personas probablemente elegirán directamente el máximo o el valor predeterminado, y el valor predeterminado de Permit2 es un límite infinito.
Esto significa que, siempre que hayas interactuado con Uniswap después de 2023 y hayas autorizado un monto al contrato Permit2, podrías estar expuesto al riesgo de este Lavado de ojos.
El enfoque está en la función Permit, que puede usar tu billetera para transferir el límite de tokens autorizado al contrato Permit2 a otra dirección. Siempre que obtengan tu firma, los hackers pueden obtener permisos sobre los tokens en tu billetera y transferir tus activos.
¿Cómo prevenir?
Considerando que el contrato Uniswap Permit2 puede volverse más común en el futuro, es probable que más proyectos integren el contrato Permit2 para compartir autorizaciones. Las medidas efectivas de prevención incluyen:
Separar el almacenamiento de activos y la billetera de interacción: Se sugiere almacenar grandes cantidades de activos en una billetera fría, mientras que la billetera utilizada para interacciones en la cadena solo debe contener una pequeña cantidad de fondos, lo que puede reducir significativamente las pérdidas en caso de un ataque de Lavado de ojos.
Limitar el monto de autorización o cancelar la autorización: Al realizar un Swap en Uniswap, solo autoriza la cantidad necesaria para la interacción. Aunque tener que volver a autorizar cada interacción aumentará algunos costos, esto puede evitar caer en el Lavado de ojos de firma de Permit2. Si ya se ha autorizado un monto, se puede utilizar un complemento de seguridad para revocar la autorización.
Identificar la naturaleza del token, entender si soporta la función de permiso: A medida que más y más tokens ERC20 pueden utilizar este protocolo de extensión para implementar la función de permiso, es necesario prestar atención a si los tokens que posees son compatibles con esta función. Si son compatibles, debes tener mucho cuidado con las transacciones u operaciones de ese token, revisando estrictamente si cada firma desconocida involucra la función de permiso.
Establecer un plan de rescate de activos completo: Si descubres que has sido víctima de un Lavado de ojos, pero aún tienes tokens existentes en otras plataformas a través de staking u otros métodos, cuando necesites extraer y transferirlos a una dirección segura, debes tener en cuenta que los hackers pueden monitorear el saldo de tu dirección en cualquier momento. Dado que los hackers tienen tu firma, tan pronto como aparezcan tokens en la dirección robada, pueden ser transferidos de inmediato. Es necesario elaborar un plan detallado de rescate de tokens, asegurando que el proceso de extracción y transferencia se ejecute de manera sincronizada, sin dar oportunidades a los hackers para insertar transacciones. Se puede considerar el uso de transferencias MEV o buscar la ayuda de empresas de seguridad profesionales.
El phishing basado en Permit2 podría aumentar en el futuro, ya que este método de phishing por firma es extremadamente sigiloso y difícil de prevenir. A medida que se amplía el alcance de la aplicación de Permit2, también aumentará el número de direcciones expuestas a riesgos. Espero que los lectores puedan difundir esta información a más personas para evitar que más personas sufran pérdidas.