Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi proyek, kode sumber terbuka berarti bahwa hacker di seluruh dunia mungkin mengincar Anda, satu kesalahan penulisan kode bisa meninggalkan celah, dan konsekuensi dari kecelakaan keamanan bisa sangat serius. Bagi pengguna individu, jika tidak memahami arti dari tindakan mereka, setiap interaksi atau penandatanganan di blockchain bisa menyebabkan aset dicuri. Oleh karena itu, masalah keamanan selalu menjadi salah satu masalah paling sulit di dunia kripto. Karena sifat blockchain, begitu aset dicuri hampir tidak mungkin untuk dipulihkan, jadi memiliki pengetahuan tentang keamanan sangat penting di dunia kripto.
Baru-baru ini ditemukan metode phishing baru yang mulai aktif dalam dua bulan terakhir, hanya dengan tanda tangan bisa dicuri, metodenya sangat tersembunyi dan sulit untuk dicegah, dan alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan menjelaskan metode phishing tanda tangan ini untuk menghindari lebih banyak kerugian aset.
Kronologi kejadian
Baru-baru ini, seorang teman ( Xiao A ) kehilangan aset di dompetnya. Berbeda dengan cara pencurian yang umum, Xiao A tidak membocorkan kunci pribadi dan juga tidak berinteraksi dengan kontrak situs phishing. Penyelidikan menemukan bahwa USDT yang dicuri dari dompet Xiao A dipindahkan melalui fungsi Transfer From, yang berarti alamat lain yang mengoperasikan Token tersebut, bukan karena bocornya kunci pribadi dompet.
Dengan memeriksa rincian transaksi, ditemukan petunjuk kunci:
Sebuah alamat akan memindahkan aset A kecil ke alamat lain
Operasi ini berinteraksi dengan kontrak Permit2 dari Uniswap.
Masalahnya adalah, bagaimana alamat ini mendapatkan hak atas aset? Mengapa terkait dengan Uniswap?
Prasyarat untuk memanggil fungsi Transfer From adalah pihak yang memanggil perlu memiliki batasan izin Token (approve). Jawabannya terletak pada sebelum menjalankan Transfer From, alamat tersebut juga melakukan operasi Permit, kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari Uniswap.
Kontrak Uniswap Permit2 adalah kontrak baru yang diluncurkan oleh Uniswap pada akhir 2022, yang memungkinkan otorisasi token untuk berbagi dan mengelola di berbagai aplikasi, bertujuan untuk menciptakan pengalaman pengguna yang lebih terintegrasi, lebih hemat biaya, dan lebih aman. Dengan semakin banyak proyek yang mengintegrasikan Permit2, ini dapat mewujudkan persetujuan Token yang distandarisasi di semua aplikasi, meningkatkan pengalaman pengguna dengan mengurangi biaya transaksi, sekaligus meningkatkan keamanan kontrak pintar.
Peluncuran Permit2 dapat mengubah aturan permainan di seluruh ekosistem Dapp. Dalam metode tradisional, setiap interaksi untuk mentransfer aset dengan Dapp memerlukan otorisasi terpisah. Namun, Permit2 dapat menghilangkan langkah ini, secara efektif mengurangi biaya interaksi pengguna dan memberikan pengalaman pengguna yang lebih baik.
Permit2 sebagai perantara antara pengguna dan Dapp, pengguna hanya perlu memberikan izin Token kepada kontrak Permit2, semua Dapp yang mengintegrasikan Permit2 dapat berbagi kuota izin ini. Ini seharusnya menjadi situasi win-win, tetapi juga bisa menjadi pedang bermata dua, masalah terletak pada cara interaksi dengan Permit2.
Dalam cara interaksi tradisional, otorisasi dan transfer dana merupakan interaksi di atas rantai bagi pengguna. Permit2 mengubah operasi pengguna menjadi tanda tangan di luar rantai, semua operasi di atas rantai diselesaikan oleh peran perantara ( seperti kontrak Permit2 dan proyek yang mengintegrasikan Permit2 ). Manfaat yang dihadirkan adalah, bahkan jika dompet pengguna tidak memiliki ETH, mereka dapat menggunakan Token lain untuk membayar biaya Gas atau diganti oleh peran perantara.
Namun, tanda tangan di luar rantai adalah tahap di mana pengguna paling mudah lengah. Banyak orang tidak memeriksa dengan cermat konten tanda tangan saat masuk ke Dapp dengan dompet, dan tidak memahami artinya, ini adalah bagian yang paling berbahaya.
Untuk menggunakan teknik phishing tanda tangan Permit2 ini, prasyarat kunci adalah dompet yang dipancing harus memberikan otorisasi Token kepada kontrak Permit2 Uniswap. Saat ini, setiap kali melakukan Swap di Dapp yang terintegrasi dengan Permit2 atau di Uniswap, perlu memberikan otorisasi kepada kontrak Permit2.
Yang lebih menakutkan adalah, berapa pun jumlah Swap, kontrak Permit2 Uniswap secara default akan mengizinkan pengguna untuk memberikan otorisasi untuk seluruh saldo Token tersebut. Meskipun MetaMask memungkinkan untuk memasukkan jumlah secara kustom, kebanyakan orang mungkin langsung memilih nilai maksimum atau nilai default, sedangkan nilai default Permit2 adalah batas tak terbatas.
Ini berarti, selama Anda telah berinteraksi dengan Uniswap setelah tahun 2023 dan memberikan otorisasi kepada kontrak Permit2, Anda mungkin terpapar pada risiko penipuan eyewash ini.
Poin utamanya adalah fungsi Permit, yang dapat menggunakan dompet Anda untuk mentransfer kuota token yang diberikan kepada kontrak Permit2 ke alamat lain. Selama mereka mendapatkan tanda tangan Anda, hacker dapat memperoleh akses ke token di dompet Anda dan mentransfer aset Anda.
bagaimana cara mencegahnya?
Mengingat bahwa kontrak Uniswap Permit2 mungkin akan lebih umum di masa depan, lebih banyak proyek mungkin mengintegrasikan kontrak Permit2 untuk berbagi otorisasi, langkah-langkah pencegahan yang efektif termasuk:
Pahami dan identifikasi konten tanda tangan:
Format tanda tangan Permit biasanya mencakup bidang kunci seperti Owner, Spender, value, nonce, dan deadline. Jika Anda ingin menikmati kemudahan dan biaya rendah yang ditawarkan Permit2, Anda harus belajar mengenali format tanda tangan ini. Menggunakan plugin keamanan adalah pilihan yang baik.
Memisahkan penyimpanan aset dan dompet interaksi:
Disarankan untuk menyimpan sebagian besar aset di dompet dingin, dompet yang berinteraksi di blockchain hanya menyimpan sejumlah kecil dana, yang dapat secara signifikan mengurangi kerugian saat menghadapi eyewash.
Batasi jumlah otorisasi atau batalkan otorisasi:
Saat melakukan Swap di Uniswap, hanya berikan otorisasi untuk jumlah yang diperlukan untuk interaksi. Meskipun otorisasi ulang setiap kali interaksi akan menambah sedikit biaya, tetapi dapat menghindari penipuan tanda tangan Permit2. Jika sudah memberikan otorisasi, dapat menggunakan plugin keamanan untuk mencabut otorisasi.
Identifikasi sifat token, pahami apakah mendukung fungsi permit:
Seiring dengan semakin banyaknya token ERC20 yang mungkin menggunakan protokol ekstensi ini untuk mengimplementasikan fungsi permit, perlu diperhatikan apakah token yang Anda miliki mendukung fungsi tersebut. Jika mendukung, Anda harus sangat berhati-hati dalam melakukan transaksi atau operasi dengan token tersebut, dan secara ketat memeriksa setiap tanda tangan yang tidak dikenal apakah melibatkan fungsi permit.
Menyusun rencana penyelamatan aset yang lengkap:
Jika Anda menemukan bahwa Anda telah ditipu, tetapi masih memiliki token yang ada di platform lain melalui staking atau cara lainnya, ketika perlu menarik dan memindahkannya ke alamat yang aman, perlu diingat bahwa hacker mungkin memantau saldo alamat Anda kapan saja. Karena hacker memiliki tanda tangan Anda, selama ada token yang muncul di alamat yang dicuri, token tersebut dapat segera dipindahkan. Anda perlu membuat rencana penyelamatan token yang matang, memastikan proses penarikan dan pemindahan dilakukan secara simultan, tanpa memberi kesempatan kepada hacker untuk menyisipkan transaksi. Anda dapat mempertimbangkan untuk menggunakan transfer MEV atau mencari bantuan dari perusahaan keamanan profesional.
Kedepannya, pemancingan berbasis Permit2 mungkin akan semakin meningkat, cara pemancingan dengan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah. Seiring dengan meluasnya penggunaan Permit2, alamat yang terpapar pada risiko juga akan meningkat. Semoga pembaca dapat menyebarkan informasi ini kepada lebih banyak orang, agar lebih banyak orang tidak mengalami kerugian.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
5
Posting ulang
Bagikan
Komentar
0/400
WalletDoomsDay
· 08-04 15:25
Setiap hari bermain tanda tangan, pagi dan sore bermain tidak ada koin.
Lihat AsliBalas0
LiquidationAlert
· 08-02 23:37
Hacker bisa mengincar saya? Saya sangat panik.
Lihat AsliBalas0
DataBartender
· 08-02 16:28
Tanda tangan dicuri sangat keterlaluan! Kirim!
Lihat AsliBalas0
CryingOldWallet
· 08-02 16:01
Siapa yang masih berani menggunakan uni?
Lihat AsliBalas0
AirdropBlackHole
· 08-02 16:00
Sudah mau berbicara tentang keamanan dompet lagi, mengganggu tidak sih?
Uniswap Permit2 teknik phishing tanda tangan baru: mekanisme, risiko, dan pencegahan
Mengungkap Penipuan Tanda Tangan Permit2 Uniswap
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi proyek, kode sumber terbuka berarti bahwa hacker di seluruh dunia mungkin mengincar Anda, satu kesalahan penulisan kode bisa meninggalkan celah, dan konsekuensi dari kecelakaan keamanan bisa sangat serius. Bagi pengguna individu, jika tidak memahami arti dari tindakan mereka, setiap interaksi atau penandatanganan di blockchain bisa menyebabkan aset dicuri. Oleh karena itu, masalah keamanan selalu menjadi salah satu masalah paling sulit di dunia kripto. Karena sifat blockchain, begitu aset dicuri hampir tidak mungkin untuk dipulihkan, jadi memiliki pengetahuan tentang keamanan sangat penting di dunia kripto.
Baru-baru ini ditemukan metode phishing baru yang mulai aktif dalam dua bulan terakhir, hanya dengan tanda tangan bisa dicuri, metodenya sangat tersembunyi dan sulit untuk dicegah, dan alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan menjelaskan metode phishing tanda tangan ini untuk menghindari lebih banyak kerugian aset.
Kronologi kejadian
Baru-baru ini, seorang teman ( Xiao A ) kehilangan aset di dompetnya. Berbeda dengan cara pencurian yang umum, Xiao A tidak membocorkan kunci pribadi dan juga tidak berinteraksi dengan kontrak situs phishing. Penyelidikan menemukan bahwa USDT yang dicuri dari dompet Xiao A dipindahkan melalui fungsi Transfer From, yang berarti alamat lain yang mengoperasikan Token tersebut, bukan karena bocornya kunci pribadi dompet.
Dengan memeriksa rincian transaksi, ditemukan petunjuk kunci:
Masalahnya adalah, bagaimana alamat ini mendapatkan hak atas aset? Mengapa terkait dengan Uniswap?
Prasyarat untuk memanggil fungsi Transfer From adalah pihak yang memanggil perlu memiliki batasan izin Token (approve). Jawabannya terletak pada sebelum menjalankan Transfer From, alamat tersebut juga melakukan operasi Permit, kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari Uniswap.
Kontrak Uniswap Permit2 adalah kontrak baru yang diluncurkan oleh Uniswap pada akhir 2022, yang memungkinkan otorisasi token untuk berbagi dan mengelola di berbagai aplikasi, bertujuan untuk menciptakan pengalaman pengguna yang lebih terintegrasi, lebih hemat biaya, dan lebih aman. Dengan semakin banyak proyek yang mengintegrasikan Permit2, ini dapat mewujudkan persetujuan Token yang distandarisasi di semua aplikasi, meningkatkan pengalaman pengguna dengan mengurangi biaya transaksi, sekaligus meningkatkan keamanan kontrak pintar.
Peluncuran Permit2 dapat mengubah aturan permainan di seluruh ekosistem Dapp. Dalam metode tradisional, setiap interaksi untuk mentransfer aset dengan Dapp memerlukan otorisasi terpisah. Namun, Permit2 dapat menghilangkan langkah ini, secara efektif mengurangi biaya interaksi pengguna dan memberikan pengalaman pengguna yang lebih baik.
Permit2 sebagai perantara antara pengguna dan Dapp, pengguna hanya perlu memberikan izin Token kepada kontrak Permit2, semua Dapp yang mengintegrasikan Permit2 dapat berbagi kuota izin ini. Ini seharusnya menjadi situasi win-win, tetapi juga bisa menjadi pedang bermata dua, masalah terletak pada cara interaksi dengan Permit2.
Dalam cara interaksi tradisional, otorisasi dan transfer dana merupakan interaksi di atas rantai bagi pengguna. Permit2 mengubah operasi pengguna menjadi tanda tangan di luar rantai, semua operasi di atas rantai diselesaikan oleh peran perantara ( seperti kontrak Permit2 dan proyek yang mengintegrasikan Permit2 ). Manfaat yang dihadirkan adalah, bahkan jika dompet pengguna tidak memiliki ETH, mereka dapat menggunakan Token lain untuk membayar biaya Gas atau diganti oleh peran perantara.
Namun, tanda tangan di luar rantai adalah tahap di mana pengguna paling mudah lengah. Banyak orang tidak memeriksa dengan cermat konten tanda tangan saat masuk ke Dapp dengan dompet, dan tidak memahami artinya, ini adalah bagian yang paling berbahaya.
Untuk menggunakan teknik phishing tanda tangan Permit2 ini, prasyarat kunci adalah dompet yang dipancing harus memberikan otorisasi Token kepada kontrak Permit2 Uniswap. Saat ini, setiap kali melakukan Swap di Dapp yang terintegrasi dengan Permit2 atau di Uniswap, perlu memberikan otorisasi kepada kontrak Permit2.
Yang lebih menakutkan adalah, berapa pun jumlah Swap, kontrak Permit2 Uniswap secara default akan mengizinkan pengguna untuk memberikan otorisasi untuk seluruh saldo Token tersebut. Meskipun MetaMask memungkinkan untuk memasukkan jumlah secara kustom, kebanyakan orang mungkin langsung memilih nilai maksimum atau nilai default, sedangkan nilai default Permit2 adalah batas tak terbatas.
Ini berarti, selama Anda telah berinteraksi dengan Uniswap setelah tahun 2023 dan memberikan otorisasi kepada kontrak Permit2, Anda mungkin terpapar pada risiko penipuan eyewash ini.
Poin utamanya adalah fungsi Permit, yang dapat menggunakan dompet Anda untuk mentransfer kuota token yang diberikan kepada kontrak Permit2 ke alamat lain. Selama mereka mendapatkan tanda tangan Anda, hacker dapat memperoleh akses ke token di dompet Anda dan mentransfer aset Anda.
bagaimana cara mencegahnya?
Mengingat bahwa kontrak Uniswap Permit2 mungkin akan lebih umum di masa depan, lebih banyak proyek mungkin mengintegrasikan kontrak Permit2 untuk berbagi otorisasi, langkah-langkah pencegahan yang efektif termasuk:
Memisahkan penyimpanan aset dan dompet interaksi: Disarankan untuk menyimpan sebagian besar aset di dompet dingin, dompet yang berinteraksi di blockchain hanya menyimpan sejumlah kecil dana, yang dapat secara signifikan mengurangi kerugian saat menghadapi eyewash.
Batasi jumlah otorisasi atau batalkan otorisasi: Saat melakukan Swap di Uniswap, hanya berikan otorisasi untuk jumlah yang diperlukan untuk interaksi. Meskipun otorisasi ulang setiap kali interaksi akan menambah sedikit biaya, tetapi dapat menghindari penipuan tanda tangan Permit2. Jika sudah memberikan otorisasi, dapat menggunakan plugin keamanan untuk mencabut otorisasi.
Identifikasi sifat token, pahami apakah mendukung fungsi permit: Seiring dengan semakin banyaknya token ERC20 yang mungkin menggunakan protokol ekstensi ini untuk mengimplementasikan fungsi permit, perlu diperhatikan apakah token yang Anda miliki mendukung fungsi tersebut. Jika mendukung, Anda harus sangat berhati-hati dalam melakukan transaksi atau operasi dengan token tersebut, dan secara ketat memeriksa setiap tanda tangan yang tidak dikenal apakah melibatkan fungsi permit.
Menyusun rencana penyelamatan aset yang lengkap: Jika Anda menemukan bahwa Anda telah ditipu, tetapi masih memiliki token yang ada di platform lain melalui staking atau cara lainnya, ketika perlu menarik dan memindahkannya ke alamat yang aman, perlu diingat bahwa hacker mungkin memantau saldo alamat Anda kapan saja. Karena hacker memiliki tanda tangan Anda, selama ada token yang muncul di alamat yang dicuri, token tersebut dapat segera dipindahkan. Anda perlu membuat rencana penyelamatan token yang matang, memastikan proses penarikan dan pemindahan dilakukan secara simultan, tanpa memberi kesempatan kepada hacker untuk menyisipkan transaksi. Anda dapat mempertimbangkan untuk menggunakan transfer MEV atau mencari bantuan dari perusahaan keamanan profesional.
Kedepannya, pemancingan berbasis Permit2 mungkin akan semakin meningkat, cara pemancingan dengan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah. Seiring dengan meluasnya penggunaan Permit2, alamat yang terpapar pada risiko juga akan meningkat. Semoga pembaca dapat menyebarkan informasi ini kepada lebih banyak orang, agar lebih banyak orang tidak mengalami kerugian.