Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pihak proyek, sifat kode yang bersifat open source membuat mereka mengembangkan dengan hati-hati, takut satu kesalahan dapat meninggalkan celah. Bagi pengguna individu, jika tidak memahami arti dari tindakan mereka, setiap interaksi atau tanda tangan di blockchain dapat menyebabkan aset dicuri. Oleh karena itu, masalah keamanan selalu menjadi salah satu titik sakit di dunia kripto. Karena sifat blockchain, aset yang dicuri hampir tidak bisa ditelusuri kembali, jadi memiliki pengetahuan tentang keamanan menjadi sangat penting.
Baru-baru ini, seorang peneliti menemukan metode phishing baru yang hanya memerlukan tanda tangan untuk mengakibatkan pencurian aset. Metode ini sangat tersembunyi dan sulit untuk dicegah, dan alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan menjelaskan metode phishing tanda tangan ini untuk menghindari kerugian aset yang lebih banyak.
Kronologi kejadian
Seorang teman ( Xiao A ) mencari bantuan setelah aset dompetnya dicuri. Berbeda dengan cara pencurian yang umum, Xiao A tidak membocorkan kunci pribadi, dan juga tidak berinteraksi dengan kontrak yang mencurigakan.
Investigasi menemukan bahwa USDT milik A kecil telah dipindahkan melalui fungsi TransferFrom. Ini berarti bahwa alamat pihak ketiga yang melakukan transfer Token, bukan kebocoran kunci privat dompet.
Detail transaksi menunjukkan:
Sebuah alamat (fd51) memindahkan aset Xiao A ke alamat lain (a0c8)
Operasi ini berinteraksi dengan kontrak Permit2 dari Uniswap
Pertanyaan kunci adalah: bagaimana alamat fd51 memperoleh hak atas aset? Mengapa terkait dengan Uniswap?
Penyelidikan lebih lanjut menemukan bahwa sebelum memindahkan aset, alamat fd51 juga melakukan operasi Permit, dan kedua operasi tersebut berinteraksi dengan kontrak Uniswap Permit2.
Uniswap Permit2 adalah kontrak baru yang diluncurkan pada akhir tahun 2022, bertujuan untuk mewujudkan berbagi dan pengelolaan otorisasi token antar aplikasi, menciptakan pengalaman pengguna yang lebih terpadu, efisien, dan aman. Dengan lebih banyak proyek yang terintegrasi, Permit2 diharapkan dapat mewujudkan standarisasi otorisasi token, mengurangi biaya transaksi, dan meningkatkan keamanan.
Kehadiran Permit2 dapat mengubah aturan ekosistem Dapp. Secara tradisional, pengguna harus memberikan otorisasi secara terpisah untuk setiap Dapp, sementara Permit2 bertindak sebagai perantara, pengguna hanya perlu memberikan otorisasi kepada Permit2, sehingga semua Dapp yang terintegrasi dapat berbagi otorisasi. Ini mengurangi biaya interaksi pengguna dan meningkatkan pengalaman.
Namun, Permit2 juga merupakan pedang bermata dua. Ini mengubah operasi pengguna menjadi tanda tangan di luar rantai, sementara operasi di dalam rantai dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk membayar Gas menggunakan Token lain tanpa perlu ETH atau dibayar kembali oleh peran perantara, tetapi juga menjadikan tanda tangan di luar rantai sebagai risiko keamanan yang paling mudah diabaikan.
Analisis menunjukkan bahwa selama berinteraksi dengan Uniswap dan memberikan izin Permit2 setelah tahun 2023, ada kemungkinan menghadapi risiko phishing ini. Kuncinya terletak pada fungsi Permit, yang memungkinkan peretas mendapatkan izin Token dan mentransfer aset melalui tanda tangan pengguna.
analisis mendetail peristiwa
Fungsi Permit mirip dengan menandatangani kontrak secara online, memungkinkan untuk memberikan otorisasi kepada orang lain untuk menggunakan token di masa depan. Ini akan memeriksa masa berlaku tanda tangan, memverifikasi keaslian tanda tangan, dan kemudian memperbarui catatan otorisasi.
fungsi verify mengekstrak data v, r, s dari tanda tangan, memulihkan alamat tanda tangan dan membandingkannya dengan alamat pemilik token. Fungsi _updateApproval kemudian memperbarui nilai otorisasi setelah verifikasi berhasil.
Transaksi sebenarnya:
owner adalah alamat dompet kecil A
Details menampilkan alamat kontrak Token yang diotorisasi dan jumlahnya
Spender adalah alamat peretas
sigDeadline adalah masa berlaku tanda tangan
signature adalah informasi tanda tangan dari A kecil
A sebelumnya memberikan hampir tidak terbatas pada Uniswap. Hacker memanfaatkan ini, dengan mendapatkan tanda tangan melalui phishing, untuk melakukan operasi Permit dan TransferFrom di kontrak Permit2 untuk mentransfer aset.
Saat ini kontrak Uniswap Permit2 telah menjadi hotspot phishing, dengan banyak interaksi berasal dari alamat phishing yang ditandai.
Saran pencegahan
Pelajari cara mengenali format tanda tangan Permit, yang mencakup informasi kunci seperti Pemilik, Penerima, nilai, nonce, dan tenggat waktu.
Pisahkan dompet aset dan dompet interaksi untuk mengurangi potensi kerugian.
Hati-hati memberikan otorisasi pada kontrak Permit2, hanya berikan jumlah yang diperlukan atau batalkan otorisasi yang berlebih.
Ketahui apakah token yang Anda miliki mendukung fungsi permit, dan berhati-hatilah saat melakukan transaksi dengan token yang mendukung.
Jika menemukan penipuan tetapi masih memiliki aset di platform lain, perlu menyusun rencana pemindahan dana yang komprehensif, dapat mempertimbangkan untuk menggunakan pemindahan MEV atau mencari bantuan tim keamanan profesional.
Seiring dengan perluasan aplikasi Permit2, kemungkinan penipuan berbasis itu akan meningkat. Metode penipuan tanda tangan ini sulit terdeteksi dan alamat yang terpapar risiko juga akan meningkat. Harap waspada dan sebarkan pengetahuan terkait untuk menghindari lebih banyak kerugian.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Suka
Hadiah
14
4
Bagikan
Komentar
0/400
BtcDailyResearcher
· 18jam yang lalu
Sekali lagi harus terburu-buru mempelajari langkah-langkah keamanan apa.
Uniswap Permit2 tanda tangan phishing baru: bagaimana cara mengenali dan mencegah risiko pencurian aset
Mengungkap Penipuan Tanda Tangan Permit2 Uniswap
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pihak proyek, sifat kode yang bersifat open source membuat mereka mengembangkan dengan hati-hati, takut satu kesalahan dapat meninggalkan celah. Bagi pengguna individu, jika tidak memahami arti dari tindakan mereka, setiap interaksi atau tanda tangan di blockchain dapat menyebabkan aset dicuri. Oleh karena itu, masalah keamanan selalu menjadi salah satu titik sakit di dunia kripto. Karena sifat blockchain, aset yang dicuri hampir tidak bisa ditelusuri kembali, jadi memiliki pengetahuan tentang keamanan menjadi sangat penting.
Baru-baru ini, seorang peneliti menemukan metode phishing baru yang hanya memerlukan tanda tangan untuk mengakibatkan pencurian aset. Metode ini sangat tersembunyi dan sulit untuk dicegah, dan alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan menjelaskan metode phishing tanda tangan ini untuk menghindari kerugian aset yang lebih banyak.
Kronologi kejadian
Seorang teman ( Xiao A ) mencari bantuan setelah aset dompetnya dicuri. Berbeda dengan cara pencurian yang umum, Xiao A tidak membocorkan kunci pribadi, dan juga tidak berinteraksi dengan kontrak yang mencurigakan.
Investigasi menemukan bahwa USDT milik A kecil telah dipindahkan melalui fungsi TransferFrom. Ini berarti bahwa alamat pihak ketiga yang melakukan transfer Token, bukan kebocoran kunci privat dompet.
Detail transaksi menunjukkan:
Pertanyaan kunci adalah: bagaimana alamat fd51 memperoleh hak atas aset? Mengapa terkait dengan Uniswap?
Penyelidikan lebih lanjut menemukan bahwa sebelum memindahkan aset, alamat fd51 juga melakukan operasi Permit, dan kedua operasi tersebut berinteraksi dengan kontrak Uniswap Permit2.
Uniswap Permit2 adalah kontrak baru yang diluncurkan pada akhir tahun 2022, bertujuan untuk mewujudkan berbagi dan pengelolaan otorisasi token antar aplikasi, menciptakan pengalaman pengguna yang lebih terpadu, efisien, dan aman. Dengan lebih banyak proyek yang terintegrasi, Permit2 diharapkan dapat mewujudkan standarisasi otorisasi token, mengurangi biaya transaksi, dan meningkatkan keamanan.
Kehadiran Permit2 dapat mengubah aturan ekosistem Dapp. Secara tradisional, pengguna harus memberikan otorisasi secara terpisah untuk setiap Dapp, sementara Permit2 bertindak sebagai perantara, pengguna hanya perlu memberikan otorisasi kepada Permit2, sehingga semua Dapp yang terintegrasi dapat berbagi otorisasi. Ini mengurangi biaya interaksi pengguna dan meningkatkan pengalaman.
Namun, Permit2 juga merupakan pedang bermata dua. Ini mengubah operasi pengguna menjadi tanda tangan di luar rantai, sementara operasi di dalam rantai dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk membayar Gas menggunakan Token lain tanpa perlu ETH atau dibayar kembali oleh peran perantara, tetapi juga menjadikan tanda tangan di luar rantai sebagai risiko keamanan yang paling mudah diabaikan.
Analisis menunjukkan bahwa selama berinteraksi dengan Uniswap dan memberikan izin Permit2 setelah tahun 2023, ada kemungkinan menghadapi risiko phishing ini. Kuncinya terletak pada fungsi Permit, yang memungkinkan peretas mendapatkan izin Token dan mentransfer aset melalui tanda tangan pengguna.
analisis mendetail peristiwa
Fungsi Permit mirip dengan menandatangani kontrak secara online, memungkinkan untuk memberikan otorisasi kepada orang lain untuk menggunakan token di masa depan. Ini akan memeriksa masa berlaku tanda tangan, memverifikasi keaslian tanda tangan, dan kemudian memperbarui catatan otorisasi.
fungsi verify mengekstrak data v, r, s dari tanda tangan, memulihkan alamat tanda tangan dan membandingkannya dengan alamat pemilik token. Fungsi _updateApproval kemudian memperbarui nilai otorisasi setelah verifikasi berhasil.
Transaksi sebenarnya:
A sebelumnya memberikan hampir tidak terbatas pada Uniswap. Hacker memanfaatkan ini, dengan mendapatkan tanda tangan melalui phishing, untuk melakukan operasi Permit dan TransferFrom di kontrak Permit2 untuk mentransfer aset.
Saat ini kontrak Uniswap Permit2 telah menjadi hotspot phishing, dengan banyak interaksi berasal dari alamat phishing yang ditandai.
Saran pencegahan
Pisahkan dompet aset dan dompet interaksi untuk mengurangi potensi kerugian.
Hati-hati memberikan otorisasi pada kontrak Permit2, hanya berikan jumlah yang diperlukan atau batalkan otorisasi yang berlebih.
Ketahui apakah token yang Anda miliki mendukung fungsi permit, dan berhati-hatilah saat melakukan transaksi dengan token yang mendukung.
Jika menemukan penipuan tetapi masih memiliki aset di platform lain, perlu menyusun rencana pemindahan dana yang komprehensif, dapat mempertimbangkan untuk menggunakan pemindahan MEV atau mencari bantuan tim keamanan profesional.
Seiring dengan perluasan aplikasi Permit2, kemungkinan penipuan berbasis itu akan meningkat. Metode penipuan tanda tangan ini sulit terdeteksi dan alamat yang terpapar risiko juga akan meningkat. Harap waspada dan sebarkan pengetahuan terkait untuk menghindari lebih banyak kerugian.