Новий обман з підписами Uniswap Permit2: як розпізнати та запобігти ризику крадіжки активів

Розкриття шахрайства з підписом Uniswap Permit2

Хакери є страшним явищем в екосистемі Web3. Для проектів відкритий код викликає тривогу, адже одна помилка може призвести до вразливостей. Для особистих користувачів, якщо вони не розуміють значення своїх дій, кожна взаємодія або підпис на ланцюгу може призвести до крадіжки активів. Тому питання безпеки завжди було однією з болючих тем у крипто-світі. Через особливості блокчейну, вкрадені активи майже неможливо повернути, тому знання з безпеки є особливо важливими.

Нещодавно дослідник виявив новий тип фішингової атаки, яка може призвести до крадіжки активів лише за допомогою підпису. Цей метод є надзвичайно прихованим і важким для запобігання, і всі адреси, які взаємодіяли з Uniswap, можуть бути під загрозою. У цій статті буде представлено наукове пояснення цього методу підписного фішингу, щоб якомога більше уникнути втрат активів.

Хід подій

Друг шукає допомоги після того, як його гаманцеві активи були вкрадені. На відміну від звичайних способів крадіжки, малий А не розкривав свій приватний ключ і не взаємодіяв з підозрілими контрактами.

Дослідження виявило, що USDT маленького А було перенесено за допомогою функції TransferFrom. Це означає, що переказ токена здійснив третій адрес, а не витік приватного ключа гаманця.

Деталі угоди показують:

  • Адреса (fd51) передала активи маленького А на іншу адресу (a0c8)
  • Ця операція взаємодіє з контрактом Permit2 Uniswap.

Ключове питання: як адреса fd51 отримала права на активи? Чому це пов'язано з Uniswap?

Подальше розслідування виявило, що перед переведенням активів, адреса fd51 також здійснила операцію Permit, і обидві операції взаємодіяли з контрактом Uniswap Permit2.

Підписався і був обкрадений? Розкриття шахрайства з риболовлею підписів Uniswap Permit2

Uniswap Permit2 - це новий контракт, запущений наприкінці 2022 року, який має на меті реалізацію спільного та управлінського токен-уповноваження між додатками, створюючи більш єдиний, ефективний і безпечний користувацький досвід. З інтеграцією більшої кількості проектів, Permit2 сподівається реалізувати стандартизацію токен-уповноваження, знижуючи витрати на транзакції та підвищуючи безпеку.

Поява Permit2 може змінити правила екосистеми Dapp. Традиційно користувач повинен був надавати окремі дозволи для кожного Dapp, тоді як Permit2 виступає посередником, і користувачу потрібно лише надати дозвіл Permit2, щоб усі інтегровані Dapp могли ділитися дозволом. Це знижує вартість взаємодії для користувачів та підвищує досвід.

Підпис було вкрадено? Розкриття шахрайства з підписами Uniswap Permit2

Проте, Permit2 також є двосічним мечем. Він перетворює дії користувача на підписання поза ланцюгом, а операції в ланцюгу виконуються посередником. Це дозволяє користувачам використовувати інші токени для сплати газу або ж відшкодовувати витрати через посередника без ETH, але також робить підписання поза ланцюгом найбільш ігнорованою загрозою безпеці.

Аналіз показує, що, якщо взаємодіяти з Uniswap і авторизувати Permit2 після 2023 року, можуть виникнути ризики фішингу. Ключовим є функція Permit, яка дозволяє зловмисникам отримувати права на токени та переміщати активи за допомогою підпису користувача.

( детальний аналіз події

Функція Permit подібна до онлайн-підписання контракту, дозволяє заздалегідь уповноважити інших на майбутнє використання токенів. Вона перевіряє термін дії підпису, верифікує справжність підпису, а потім оновлює записи про уповноваження.

функція verify витягує дані v, r, s з підпису, відновлює адресу підпису та порівнює її з адресою власника токена. Функція _updateApproval оновлює значення авторизації після успішної верифікації.

![Підпис був вкрадений? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp###

Фактична торгівля:

  • owner є адресою гаманця малого A
  • Details показує адресу контракту Token та суму, що була авторизована
  • Spender є адресою хакера
  • sigDeadline є терміном дії підпису
  • signature є підписом малого A

Маленький А раніше надав майже необмежений ліміт під час використання Uniswap. Зловмисник скористався цим, отримавши підпис через фішинг, і виконав операції Permit та TransferFrom у контракті Permit2 для переказу активів.

Підписано, і вас обікрали? Розкриття махінацій з підписами Uniswap Permit2

Наразі контракт Uniswap Permit2 став гарячою точкою для замилювання очей, велика кількість взаємодій походить від позначених адрес для замилювання очей.

Підписка була вкрадена? Розкриття шахрайства з підписами Uniswap Permit2

( Рекомендації щодо запобігання

  1. Навчіться розпізнавати формат підпису Permit, який містить ключову інформацію, таку як Owner, Spender, value, nonce та deadline.

![Підписка була вкрадена? Розкриття фішингового замилювання очей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp###

  1. Використовуйте відокремлені гаманці активів і гаманці для взаємодії, щоб зменшити потенційні втрати.

  2. Обережно надавайте дозвіл на контракт Permit2, надавайте дозвіл тільки на необхідну суму або скасовуйте зайвий дозвіл.

  3. Ознайомтеся з тим, чи підтримує токен, що ви тримаєте, функцію permit, будьте особливо обережні під час торгівлі токенами, які підтримуються.

  4. Якщо ви виявили, що стали жертвою замилювання очей, але все ще маєте активи на інших платформах, необхідно розробити детальний план з переміщення коштів, можна розглянути використання MEV для переміщення або звернутися за допомогою до професійної безпекової команди.

Зі збільшенням сфери застосування Permit2 може зрости кількість фішингових атак, що базуються на ньому. Цей спосіб підписного фішингу є прихованим і важким для запобігання, і ризикованих адрес також стане більше. Будь ласка, будьте обережні та поширюйте відповідні знання, щоб уникнути подальших втрат.

Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Нагородити
  • 4
  • Поділіться
Прокоментувати
0/400
BtcDailyResearchervip
· 07-05 09:20
Знову потрібно поспішати вивчати якісь засоби безпеки.
Переглянути оригіналвідповісти на0
FloorPriceNightmarevip
· 07-02 16:29
Яка користь від безпеки, якщо все одно крадуть?
Переглянути оригіналвідповісти на0
OfflineNewbievip
· 07-02 16:28
Клоун насправді я сам?
Переглянути оригіналвідповісти на0
AirdropHunterWangvip
· 07-02 16:15
Добре, стара яма, новий спосіб гри
Переглянути оригіналвідповісти на0
  • Закріпити