# Uniswap Permit2 Signature フィッシング詐欺の謎を解くハッカーはWeb3エコシステムにおいて恐ろしい存在です。プロジェクト側にとって、コードのオープンソースは世界中のハッカーがあなたを狙う可能性があることを意味し、1行のコードを間違えるだけで脆弱性が残る可能性があり、安全事故の結果は深刻です。個人ユーザーにとっては、自分の操作の意味を理解していない場合、毎回のブロックチェーン上のインタラクションや署名が資産の盗難につながる可能性があります。したがって、安全問題は暗号世界で最も厄介な問題の一つです。ブロックチェーンの特性により、一度資産が盗まれるとほぼ回復不可能であるため、暗号世界において安全知識を持つことが特に重要です。最近、新しいフィッシング手法が発見され、約2ヶ月前から活動を開始しました。署名するだけで盗まれてしまい、手法は非常に巧妙で防ぐのが難しいです。また、Uniswapとやり取りをしたアドレスはリスクにさらされる可能性があります。本記事では、この署名フィッシング手法について解説し、さらなる資産損失を避けるために尽力します。###イベント最近、友人(の小A)の財布の資産が盗まれました。一般的な盗難手法とは異なり、小Aは秘密鍵を漏らすことも、フィッシングサイトとの契約に関与することもありませんでした。調査の結果、小Aの財布から盗まれたUSDTはTransfer From関数を通じて移動されたことが判明しました。これは、別のアドレスがトークンを移動させたことを意味しており、財布の秘密鍵が漏れたわけではありません。取引の詳細を調べることで、重要な手がかりが見つかりました:- 一つのアドレスが小Aの資産を別のアドレスに移動させます- この操作はUniswapのPermit2コントラクトとインタラクションしています問題は、このアドレスがどのように資産権限を取得したのか?なぜUniswapに関連しているのか?Transfer From関数を呼び出す前提条件は、呼び出し元がTokenの額面権限(approve)を持っていることです。答えは、Transfer Fromを実行する前に、そのアドレスがPermit操作を行ったことにあります。この二つの操作は共にUniswapのPermit2コントラクトと対話しています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0cc586809f131d9dfab81df33fd1835e)Uniswap Permit2コントラクトは、Uniswapが2022年末に導入した新しいコントラクトで、トークンの権限を異なるアプリケーションで共有および管理することを許可します。これは、より統一された、よりコスト効率の良い、より安全なユーザー体験を創出することを目的としています。より多くのプロジェクトがPermit2を統合するにつれて、それはすべてのアプリケーションで標準化されたトークン承認を実現し、取引コストを削減してユーザー体験を改善するとともに、スマートコントラクトの安全性を向上させます。Permit2の導入は、Dappエコシステム全体のゲームルールを変える可能性があります。従来の方法では、Dappとの資産移転のインタラクションごとに個別の承認が必要でした。しかし、Permit2はこのステップを省略でき、ユーザーのインタラクションコストを効果的に削減し、より良いユーザー体験を提供します。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-bb348691082594ecc577f91d7f9dc800)Permit2はユーザーとDappの間の仲介者として機能し、ユーザーはTokenの権限をPermit2契約にのみ付与すれば、Permit2を統合したすべてのDappがこの権限の枠を共有できます。これはウィンウィンの状況ですが、同時に両刃の剣にもなり得ます。その問題はPermit2とのインタラクションの仕方にあります。従来のインタラクション方式では、承認と資金移動はユーザーにとってオンチェーンインタラクションです。Permit2はユーザーの操作をオフチェーン署名に変え、すべてのオンチェーン操作は中間役割(であるPermit2契約やPermit2を統合したプロジェクト側)によって完了します。これにより、ユーザーのウォレットにETHがなくても他のトークンでガス代を支払ったり、中間役割によって払い戻しを受けたりできるという利点があります。しかし、オフチェーン署名はユーザーが最も警戒心を緩めやすい部分です。多くの人がウォレットを使ってDappにログインする際、署名内容を注意深く確認せず、その意味を理解していないことが最も危険な点です。このPermit2署名フィッシング手法を使用するための重要な前提条件は、フィッシングされるウォレットがTokenをUniswapのPermit2契約に許可している必要があることです。現在、Permit2と統合されたDappまたはUniswapでSwapを行うには、Permit2契約に許可を与える必要があります。さらに恐ろしいことに、Swapの金額に関わらず、UniswapのPermit2契約はデフォルトでユーザーにそのTokenの全残高を許可します。MetaMaskはカスタム入力金額を許可していますが、ほとんどの人は最大またはデフォルト値を直接選択する可能性が高く、Permit2のデフォルト値は無制限の額です。これは、2023年以降にUniswapとやり取りをし、Permit2コントラクトに対して権限を付与した場合、このフィッシング目薬のリスクにさらされる可能性があることを意味します。ポイントはPermit関数にあり、これを利用してあなたのウォレットからPermit2コントラクトに対するトークンの許可額を他のアドレスに移転することができます。あなたの署名を得るだけで、ハッカーはあなたのウォレット内のトークンに対する権限を取得し、あなたの資産を移転することができます。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-30520c8399a6ee69aa22424476c5870c)### どうやって防ぐことができますか?Uniswap Permit2契約が将来的により普及することを考慮すると、より多くのプロジェクトがPermit2契約を統合して権限共有を行う可能性があります。効果的な防止手段には以下が含まれます:1. サイン内容を理解し、識別する: Permitの署名形式には通常、Owner、Spender、value、nonce、deadlineなどの重要なフィールドが含まれています。Permit2がもたらす便利さと低コストを享受したい場合は、この署名形式を認識することを学ばなければなりません。安全なプラグインを使用するのは良い選択です。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-730db044a34a8dc242f04cf8ae4d394c)2. アセットストレージとインタラクティブウォレットの分離: 大量の資産をコールドウォレットに保管することをお勧めします。オンチェーンでのインタラクション用のウォレットには少量の資金のみを保管し、フィッシング目薬に遭遇した際の損失を大幅に減らすことができます。3. 認可限度を制限するか、認可を取り消す: Uniswapでスワップを行う際には、必要なインタラクションの金額だけを承認してください。毎回のインタラクションで再承認が必要になるとコストが増えますが、Permit2署名フィッシングを回避できます。すでに限度額を承認している場合は、安全なプラグインを使用して承認をキャンセルできます。4. トークンの性質を識別し、permit機能がサポートされているかを理解する: ERC20トークンがこの拡張プロトコルを使用してpermit機能を実装する可能性が高まるにつれて、自分が保有しているトークンがこの機能をサポートしているかどうかに注意を払う必要があります。もしサポートしている場合、そのトークンの取引や操作には特に注意が必要であり、未知の署名がpermit関数に関与しているかどうかを厳密に確認する必要があります。5.堅牢な資産救済計画を策定します。 もし詐欺に遭った場合、しかしまだステーキングなどの方法で他のプラットフォームにトークンが存在している場合、安全なアドレスに引き出して移動する必要がありますが、ハッカーがあなたのアドレスの残高を常に監視している可能性があることに注意してください。ハッカーがあなたの署名を持っているため、盗まれたアドレスにトークンが現れると、すぐに移動される可能性があります。トークン救出計画を綿密に策定し、引き出しと移動のプロセスを同時に実行して、ハッカーに取引挿入の機会を与えないようにする必要があります。MEV移転を利用することや、専門のセキュリティ会社の助けを求めることを検討できます。未来Permit2に基づくフィッシングが増加する可能性があります。この署名フィッシング方式は非常に巧妙で防ぐのが難しいです。Permit2の適用範囲が広がるにつれて、リスクにさらされるアドレスも増えていきます。読者がこれらの情報を多くの人に広め、より多くの人が損失を被らないことを願っています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-610abe28375ce9ad0e08e0ff1f483c1d)
Uniswap Permit2の新しい署名フィッシング手法:メカニズム、リスクと防止策
Uniswap Permit2 Signature フィッシング詐欺の謎を解く
ハッカーはWeb3エコシステムにおいて恐ろしい存在です。プロジェクト側にとって、コードのオープンソースは世界中のハッカーがあなたを狙う可能性があることを意味し、1行のコードを間違えるだけで脆弱性が残る可能性があり、安全事故の結果は深刻です。個人ユーザーにとっては、自分の操作の意味を理解していない場合、毎回のブロックチェーン上のインタラクションや署名が資産の盗難につながる可能性があります。したがって、安全問題は暗号世界で最も厄介な問題の一つです。ブロックチェーンの特性により、一度資産が盗まれるとほぼ回復不可能であるため、暗号世界において安全知識を持つことが特に重要です。
最近、新しいフィッシング手法が発見され、約2ヶ月前から活動を開始しました。署名するだけで盗まれてしまい、手法は非常に巧妙で防ぐのが難しいです。また、Uniswapとやり取りをしたアドレスはリスクにさらされる可能性があります。本記事では、この署名フィッシング手法について解説し、さらなる資産損失を避けるために尽力します。
###イベント
最近、友人(の小A)の財布の資産が盗まれました。一般的な盗難手法とは異なり、小Aは秘密鍵を漏らすことも、フィッシングサイトとの契約に関与することもありませんでした。調査の結果、小Aの財布から盗まれたUSDTはTransfer From関数を通じて移動されたことが判明しました。これは、別のアドレスがトークンを移動させたことを意味しており、財布の秘密鍵が漏れたわけではありません。
取引の詳細を調べることで、重要な手がかりが見つかりました:
問題は、このアドレスがどのように資産権限を取得したのか?なぜUniswapに関連しているのか?
Transfer From関数を呼び出す前提条件は、呼び出し元がTokenの額面権限(approve)を持っていることです。答えは、Transfer Fromを実行する前に、そのアドレスがPermit操作を行ったことにあります。この二つの操作は共にUniswapのPermit2コントラクトと対話しています。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Uniswap Permit2コントラクトは、Uniswapが2022年末に導入した新しいコントラクトで、トークンの権限を異なるアプリケーションで共有および管理することを許可します。これは、より統一された、よりコスト効率の良い、より安全なユーザー体験を創出することを目的としています。より多くのプロジェクトがPermit2を統合するにつれて、それはすべてのアプリケーションで標準化されたトークン承認を実現し、取引コストを削減してユーザー体験を改善するとともに、スマートコントラクトの安全性を向上させます。
Permit2の導入は、Dappエコシステム全体のゲームルールを変える可能性があります。従来の方法では、Dappとの資産移転のインタラクションごとに個別の承認が必要でした。しかし、Permit2はこのステップを省略でき、ユーザーのインタラクションコストを効果的に削減し、より良いユーザー体験を提供します。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Permit2はユーザーとDappの間の仲介者として機能し、ユーザーはTokenの権限をPermit2契約にのみ付与すれば、Permit2を統合したすべてのDappがこの権限の枠を共有できます。これはウィンウィンの状況ですが、同時に両刃の剣にもなり得ます。その問題はPermit2とのインタラクションの仕方にあります。
従来のインタラクション方式では、承認と資金移動はユーザーにとってオンチェーンインタラクションです。Permit2はユーザーの操作をオフチェーン署名に変え、すべてのオンチェーン操作は中間役割(であるPermit2契約やPermit2を統合したプロジェクト側)によって完了します。これにより、ユーザーのウォレットにETHがなくても他のトークンでガス代を支払ったり、中間役割によって払い戻しを受けたりできるという利点があります。
しかし、オフチェーン署名はユーザーが最も警戒心を緩めやすい部分です。多くの人がウォレットを使ってDappにログインする際、署名内容を注意深く確認せず、その意味を理解していないことが最も危険な点です。
このPermit2署名フィッシング手法を使用するための重要な前提条件は、フィッシングされるウォレットがTokenをUniswapのPermit2契約に許可している必要があることです。現在、Permit2と統合されたDappまたはUniswapでSwapを行うには、Permit2契約に許可を与える必要があります。
さらに恐ろしいことに、Swapの金額に関わらず、UniswapのPermit2契約はデフォルトでユーザーにそのTokenの全残高を許可します。MetaMaskはカスタム入力金額を許可していますが、ほとんどの人は最大またはデフォルト値を直接選択する可能性が高く、Permit2のデフォルト値は無制限の額です。
これは、2023年以降にUniswapとやり取りをし、Permit2コントラクトに対して権限を付与した場合、このフィッシング目薬のリスクにさらされる可能性があることを意味します。
ポイントはPermit関数にあり、これを利用してあなたのウォレットからPermit2コントラクトに対するトークンの許可額を他のアドレスに移転することができます。あなたの署名を得るだけで、ハッカーはあなたのウォレット内のトークンに対する権限を取得し、あなたの資産を移転することができます。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
どうやって防ぐことができますか?
Uniswap Permit2契約が将来的により普及することを考慮すると、より多くのプロジェクトがPermit2契約を統合して権限共有を行う可能性があります。効果的な防止手段には以下が含まれます:
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
アセットストレージとインタラクティブウォレットの分離: 大量の資産をコールドウォレットに保管することをお勧めします。オンチェーンでのインタラクション用のウォレットには少量の資金のみを保管し、フィッシング目薬に遭遇した際の損失を大幅に減らすことができます。
認可限度を制限するか、認可を取り消す: Uniswapでスワップを行う際には、必要なインタラクションの金額だけを承認してください。毎回のインタラクションで再承認が必要になるとコストが増えますが、Permit2署名フィッシングを回避できます。すでに限度額を承認している場合は、安全なプラグインを使用して承認をキャンセルできます。
トークンの性質を識別し、permit機能がサポートされているかを理解する: ERC20トークンがこの拡張プロトコルを使用してpermit機能を実装する可能性が高まるにつれて、自分が保有しているトークンがこの機能をサポートしているかどうかに注意を払う必要があります。もしサポートしている場合、そのトークンの取引や操作には特に注意が必要であり、未知の署名がpermit関数に関与しているかどうかを厳密に確認する必要があります。
5.堅牢な資産救済計画を策定します。 もし詐欺に遭った場合、しかしまだステーキングなどの方法で他のプラットフォームにトークンが存在している場合、安全なアドレスに引き出して移動する必要がありますが、ハッカーがあなたのアドレスの残高を常に監視している可能性があることに注意してください。ハッカーがあなたの署名を持っているため、盗まれたアドレスにトークンが現れると、すぐに移動される可能性があります。トークン救出計画を綿密に策定し、引き出しと移動のプロセスを同時に実行して、ハッカーに取引挿入の機会を与えないようにする必要があります。MEV移転を利用することや、専門のセキュリティ会社の助けを求めることを検討できます。
未来Permit2に基づくフィッシングが増加する可能性があります。この署名フィッシング方式は非常に巧妙で防ぐのが難しいです。Permit2の適用範囲が広がるにつれて、リスクにさらされるアドレスも増えていきます。読者がこれらの情報を多くの人に広め、より多くの人が損失を被らないことを願っています。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く