Dévoiler le piège de phishing par signature Permit2 d'Uniswap

Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les projets, le code open source signifie que des hackers du monde entier peuvent vous cibler, une seule ligne de code mal écrite peut laisser une vulnérabilité, et les conséquences d'un incident de sécurité peuvent être graves. Pour les utilisateurs individuels, si vous ne comprenez pas la signification de vos actions, chaque interaction ou signature sur la chaîne peut entraîner le vol de vos actifs. Par conséquent, les problèmes de sécurité sont toujours l'un des défis les plus difficiles dans le monde de la cryptographie. En raison des caractéristiques de la blockchain, une fois que les actifs sont volés, il est presque impossible de les récupérer, il est donc particulièrement important d'avoir des connaissances en sécurité dans le monde de la cryptographie.

Récemment, une nouvelle méthode de phishing a été découverte, qui est devenue active au cours des deux derniers mois. Il suffit de signer pour être volé, la méthode est extrêmement discrète et difficile à prévenir, et toutes les adresses ayant interagi avec Uniswap peuvent être exposées au risque. Cet article vise à sensibiliser sur cette méthode de phishing par signature, afin de minimiser les pertes d'actifs.

déroulement de l'événement

Récemment, un ami, (, a vu les actifs de son portefeuille, petit A, ), volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée et n'a pas interagi avec des contrats de phishing. L'enquête a révélé que les USDT volés du portefeuille de petit A ont été transférés via la fonction Transfer From, ce qui signifie qu'une autre adresse a opéré pour retirer le Token, et non une fuite de la clé privée du portefeuille.

En examinant les détails de la transaction, des indices clés ont été découverts:

• Une adresse transfère les actifs de petit A à une autre adresse
• Cette opération interagit avec le contrat Permit2 d'Uniswap.

Le problème est de savoir comment cette adresse a obtenu les droits d'actifs ? Pourquoi est-elle liée à Uniswap ?

L'appel à la fonction Transfer From nécessite que l'appelant dispose d'une autorisation de montant de Token (approve). La réponse réside dans le fait qu'avant d'exécuter Transfer From, cette adresse a également effectué une opération Permit, les deux opérations interagissant avec le contrat Permit2 de Uniswap.

Le contrat Uniswap Permit2 est un nouveau contrat lancé par Uniswap à la fin de 2022, permettant l'autorisation de jetons pour le partage et la gestion dans différentes applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée. Avec l'intégration croissante de Permit2 dans davantage de projets, il peut standardiser l'approbation des jetons dans toutes les applications, améliorant l'expérience utilisateur en réduisant les coûts de transaction tout en augmentant la sécurité des contrats intelligents.

Le lancement de Permit2 pourrait changer les règles du jeu dans l'ensemble de l'écosystème Dapp. Dans les méthodes traditionnelles, chaque interaction pour le transfert d'actifs avec une Dapp nécessite une autorisation distincte. Permit2 peut éliminer cette étape, réduisant efficacement les coûts d'interaction pour les utilisateurs et offrant une meilleure expérience utilisateur.

Permit2 agit en tant qu'intermédiaire entre l'utilisateur et les Dapp, l'utilisateur n'a besoin d'autoriser les droits de Token qu'au contrat Permit2, toutes les Dapp intégrant Permit2 peuvent partager ce quota d'autorisation. Cela devrait être une situation gagnant-gagnant, mais cela peut aussi être une épée à double tranchant, le problème réside dans la manière d'interagir avec Permit2.

Dans les méthodes d'interaction traditionnelles, l'autorisation et le transfert de fonds sont des interactions en chaîne pour l'utilisateur. Permit2 transforme les opérations de l'utilisateur en signatures hors chaîne, toutes les opérations en chaîne sont réalisées par un acteur intermédiaire ( comme le contrat Permit2 et le projet intégrant Permit2 ). L'avantage de cela est que même si le portefeuille de l'utilisateur ne contient pas d'ETH, il peut utiliser d'autres tokens pour payer les frais de gaz ou être remboursé par l'acteur intermédiaire.

Cependant, la signature hors chaîne est l'étape où les utilisateurs sont les plus susceptibles de baisser leur garde. Beaucoup de gens ne vérifient pas attentivement le contenu de la signature lorsqu'ils se connectent à un Dapp avec un portefeuille, et ne comprennent pas sa signification, c'est là que réside le plus grand danger.

Pour utiliser cette méthode de phishing de signature Permit2, la condition clé est que le portefeuille ciblé doit avoir autorisé des tokens au contrat Permit2 d'Uniswap. Actuellement, chaque fois que vous effectuez un Swap sur une Dapp intégrée à Permit2 ou sur Uniswap, vous devez autoriser le contrat Permit2.

Ce qui est encore plus effrayant, c'est que peu importe le montant du Swap, le contrat Permit2 d'Uniswap autorise par défaut les utilisateurs à autoriser le montant total de ce Token. Bien que MetaMask permette de saisir un montant personnalisé, la plupart des gens peuvent choisir directement la valeur maximale ou par défaut, et la valeur par défaut de Permit2 est illimitée.

Cela signifie que si vous avez interagi avec Uniswap et autorisé un montant au contrat Permit2 après 2023, vous pourriez être exposé au risque de ce eyewash.

L'accent est mis sur la fonction Permit, qui peut utiliser votre portefeuille pour transférer le montant de Token autorisé au contrat Permit2 vers d'autres adresses. Tant que le pirate obtient votre signature, il peut obtenir les droits sur les Tokens dans votre portefeuille et transférer vos actifs.

Comment se prémunir?

Considérant que le contrat Uniswap Permit2 pourrait devenir plus courant à l'avenir, davantage de projets pourraient intégrer le contrat Permit2 pour le partage d'autorisations, les mesures de prévention efficaces incluent :

1. Comprendre et identifier le contenu de la signature : Le format de signature de Permit comprend généralement des champs clés tels que Owner, Spender, value, nonce et deadline. Si vous souhaitez profiter des avantages et des faibles coûts offerts par Permit2, il est essentiel d'apprendre à reconnaître ce format de signature. Utiliser un plugin de sécurité est un bon choix.

2. Séparer le stockage des actifs et le portefeuille d'interaction: Il est conseillé de stocker une grande quantité d'actifs dans un portefeuille froid, tandis que le portefeuille utilisé pour les interactions en chaîne ne doit contenir qu'une petite somme d'argent, ce qui peut réduire considérablement les pertes en cas de rencontre avec un eyewash.

3. Limiter le montant d'autorisation ou annuler l'autorisation : Lors d'un échange sur Uniswap, ne donnez l'autorisation que pour le montant nécessaire à l'interaction. Bien que le fait de devoir réautoriser à chaque interaction augmente certains coûts, cela peut éviter d'être victime de phishing par signature Permit2. Si un montant a déjà été autorisé, il est possible d'annuler l'autorisation à l'aide d'un plugin de sécurité.

4. Identifier la nature des jetons, comprendre s'ils prennent en charge la fonction permit: Avec de plus en plus de jetons ERC20 susceptibles d'utiliser ce protocole d'extension pour réaliser la fonction de permis, il est nécessaire de prêter attention à savoir si les jetons que vous possédez prennent en charge cette fonction. S'ils le font, soyez particulièrement prudent lors des transactions ou des opérations concernant ce jeton, et vérifiez soigneusement si chaque signature inconnue implique la fonction de permis.

5. Élaborer un plan de sauvetage des actifs complet : Si vous découvrez que vous avez été victime d'une escroquerie, mais qu'il reste des jetons sur d'autres plateformes via des méthodes comme le staking, lorsque vous devez les retirer et les transférer vers une adresse sécurisée, faites attention, car les hackers peuvent surveiller le solde de votre adresse à tout moment. Étant donné que les hackers possèdent votre signature, dès que des jetons apparaissent sur l'adresse volée, ils peuvent être immédiatement transférés. Il est nécessaire d'élaborer un plan de sauvetage des jetons détaillé, garantissant que le processus de retrait et de transfert est exécuté en synchronisation, afin de ne pas donner aux hackers l'occasion d'insérer des transactions. Vous pouvez envisager d'utiliser un transfert MEV ou de faire appel à l'aide d'une société de sécurité professionnelle.

À l'avenir, la pêche basée sur Permit2 pourrait devenir de plus en plus fréquente. Cette méthode de phishing par signature est extrêmement discrète et difficile à prévenir. À mesure que l'application de Permit2 s'élargit, le nombre d'adresses exposées au risque augmentera également. J'espère que les lecteurs pourront transmettre ces informations à un plus grand nombre de personnes pour éviter que d'autres ne subissent des pertes.