Revelando a fraude de phishing da assinatura do Uniswap Permit2
Os hackers são uma presença temível no ecossistema Web3. Para as equipes de projeto, a característica de código aberto faz com que desenvolvam com medo, receando que um erro possa deixar uma vulnerabilidade. Para os usuários individuais, se não compreenderem o significado de suas ações, cada interação ou assinatura na blockchain pode resultar no roubo de ativos. Portanto, a segurança sempre foi um dos pontos críticos no mundo das criptomoedas. Devido às características da blockchain, os ativos roubados são quase impossíveis de recuperar, por isso é especialmente importante ter conhecimentos de segurança.
Recentemente, um investigador descobriu um novo tipo de técnica de phishing que pode levar ao roubo de ativos apenas com uma assinatura. Esta técnica é extremamente discreta e difícil de prevenir, e todos os endereços que interagiram com o Uniswap podem estar em risco. Este artigo irá esclarecer essa técnica de phishing por assinatura, a fim de evitar a perda de mais ativos.
desenvolvimento do evento
Um amigo (, o Xiao A ), procurou ajuda após ter os ativos da sua carteira roubados. Ao contrário dos métodos comuns de roubo, Xiao A não revelou a chave privada, nem interagiu com contratos suspeitos.
A investigação revelou que o USDT de A foi transferido através da função TransferFrom. Isso significa que um endereço de terceiros operou a transferência do Token, e não que a chave privada da carteira foi comprometida.
Detalhes da transação mostram:
Um endereço (fd51) transferiu os ativos do pequeno A para outro endereço (a0c8)
Esta operação interage com o contrato Permit2 da Uniswap.
A questão chave é: como o endereço fd51 obteve permissões de ativos? Por que está relacionado com o Uniswap?
Uma investigação mais aprofundada revelou que, antes da transferência de ativos, o endereço fd51 também realizou uma operação de Permissão, e ambas as operações interagiram com o contrato Uniswap Permit2.
Uniswap Permit2 é um novo contrato lançado no final de 2022, com o objetivo de implementar o compartilhamento e gerenciamento de autorização de tokens entre aplicações, criando uma experiência de usuário mais unificada, eficiente e segura. Com mais projetos integrados, o Permit2 espera alcançar a padronização da autorização de tokens, reduzindo os custos de transação e aumentando a segurança.
A chegada do Permit2 pode mudar as regras do ecossistema Dapp. Tradicionalmente, os usuários precisavam autorizar cada Dapp individualmente, enquanto o Permit2, como intermediário, permite que os usuários apenas autorizem o Permit2, e todos os Dapps integrados possam compartilhar essa autorização. Isso reduz o custo de interação para os usuários e melhora a experiência.
No entanto, o Permit2 é também uma faca de dois gumes. Ele transforma as operações dos usuários em assinaturas off-chain, enquanto as operações on-chain são realizadas por um intermediário. Isso permite que os usuários paguem as taxas de Gas com outros tokens sem precisar de ETH, ou que sejam reembolsados pelo intermediário, mas também torna as assinaturas off-chain um dos riscos de segurança mais facilmente negligenciados.
A análise indica que, desde que se interaja com a Uniswap e se autorize o Permit2 após 2023, pode-se enfrentar este risco de phishing. O ponto chave está na função Permit, que permite que hackers obtenham permissões de Token e transfiram ativos através da assinatura do usuário.
análise detalhada do evento
A função Permit é semelhante a assinar um contrato online, permitindo a autorização antecipada para que outros usem tokens no futuro. Ela verifica a validade da assinatura, valida a autenticidade da assinatura e depois atualiza o registro de autorização.
A função verify extrai os dados v, r, s da assinatura, recupera o endereço da assinatura e compara com o endereço do proprietário do token. A função _updateApproval atualiza o valor da autorização após a verificação ser bem-sucedida.
Transações reais:
owner é o endereço da carteira do pequeno A
Detalhes mostram o endereço do contrato Token autorizado e o montante
Spender é o endereço do hacker
sigDeadline é o período de validade da assinatura
signature é a informação de assinatura do pequeno A
O pequeno A anteriormente concedeu uma quase ilimitada autorização ao usar o Uniswap. Os hackers aproveitaram isso, obtendo assinaturas por meio de phishing, para executar operações de Permissão e Transferência a partir do contrato Permit2 para transferir ativos.
Atualmente, o contrato Uniswap Permit2 tornou-se um ponto quente de phishing, com uma grande quantidade de interações provenientes de endereços de phishing marcados.
Sugestões de prevenção
Aprenda a reconhecer o formato da assinatura Permit, que inclui informações-chave como Owner, Spender, value, nonce e deadline.
Separar a carteira de ativos da carteira de interação para reduzir perdas potenciais.
Conceda autorização ao contrato Permit2 com cautela, autorizando apenas o montante necessário ou cancelando autorizações excessivas.
Compreender se os tokens que possui suportam a função permit, e ser especialmente cauteloso ao negociar tokens que a suportam.
Se descobrir que foi enganado, mas ainda tiver ativos em outras plataformas, deve elaborar um plano de transferência de fundos bem estruturado, podendo considerar o uso de transferência MEV ou procurar a assistência de uma equipa de segurança profissional.
À medida que a aplicação do Permit2 se expande, as tentativas de phishing baseadas nele podem aumentar. Este método de phishing por assinatura é discreto e difícil de prevenir, e o número de endereços em risco também aumentará. Por favor, mantenha-se alerta e espalhe o conhecimento relevante para evitar mais perdas.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 gostos
Recompensa
14
4
Partilhar
Comentar
0/400
BtcDailyResearcher
· 07-05 09:20
Já tenho que me apressar a aprender alguma medida de segurança.
Ver originalResponder0
FloorPriceNightmare
· 07-02 16:29
Para que serve a segurança se ainda assim é roubado?
Nova lavagem dos olhos de phishing com assinatura Uniswap Permit2: como identificar e prevenir o risco de roubo de ativos
Revelando a fraude de phishing da assinatura do Uniswap Permit2
Os hackers são uma presença temível no ecossistema Web3. Para as equipes de projeto, a característica de código aberto faz com que desenvolvam com medo, receando que um erro possa deixar uma vulnerabilidade. Para os usuários individuais, se não compreenderem o significado de suas ações, cada interação ou assinatura na blockchain pode resultar no roubo de ativos. Portanto, a segurança sempre foi um dos pontos críticos no mundo das criptomoedas. Devido às características da blockchain, os ativos roubados são quase impossíveis de recuperar, por isso é especialmente importante ter conhecimentos de segurança.
Recentemente, um investigador descobriu um novo tipo de técnica de phishing que pode levar ao roubo de ativos apenas com uma assinatura. Esta técnica é extremamente discreta e difícil de prevenir, e todos os endereços que interagiram com o Uniswap podem estar em risco. Este artigo irá esclarecer essa técnica de phishing por assinatura, a fim de evitar a perda de mais ativos.
desenvolvimento do evento
Um amigo (, o Xiao A ), procurou ajuda após ter os ativos da sua carteira roubados. Ao contrário dos métodos comuns de roubo, Xiao A não revelou a chave privada, nem interagiu com contratos suspeitos.
A investigação revelou que o USDT de A foi transferido através da função TransferFrom. Isso significa que um endereço de terceiros operou a transferência do Token, e não que a chave privada da carteira foi comprometida.
Detalhes da transação mostram:
A questão chave é: como o endereço fd51 obteve permissões de ativos? Por que está relacionado com o Uniswap?
Uma investigação mais aprofundada revelou que, antes da transferência de ativos, o endereço fd51 também realizou uma operação de Permissão, e ambas as operações interagiram com o contrato Uniswap Permit2.
Uniswap Permit2 é um novo contrato lançado no final de 2022, com o objetivo de implementar o compartilhamento e gerenciamento de autorização de tokens entre aplicações, criando uma experiência de usuário mais unificada, eficiente e segura. Com mais projetos integrados, o Permit2 espera alcançar a padronização da autorização de tokens, reduzindo os custos de transação e aumentando a segurança.
A chegada do Permit2 pode mudar as regras do ecossistema Dapp. Tradicionalmente, os usuários precisavam autorizar cada Dapp individualmente, enquanto o Permit2, como intermediário, permite que os usuários apenas autorizem o Permit2, e todos os Dapps integrados possam compartilhar essa autorização. Isso reduz o custo de interação para os usuários e melhora a experiência.
No entanto, o Permit2 é também uma faca de dois gumes. Ele transforma as operações dos usuários em assinaturas off-chain, enquanto as operações on-chain são realizadas por um intermediário. Isso permite que os usuários paguem as taxas de Gas com outros tokens sem precisar de ETH, ou que sejam reembolsados pelo intermediário, mas também torna as assinaturas off-chain um dos riscos de segurança mais facilmente negligenciados.
A análise indica que, desde que se interaja com a Uniswap e se autorize o Permit2 após 2023, pode-se enfrentar este risco de phishing. O ponto chave está na função Permit, que permite que hackers obtenham permissões de Token e transfiram ativos através da assinatura do usuário.
análise detalhada do evento
A função Permit é semelhante a assinar um contrato online, permitindo a autorização antecipada para que outros usem tokens no futuro. Ela verifica a validade da assinatura, valida a autenticidade da assinatura e depois atualiza o registro de autorização.
A função verify extrai os dados v, r, s da assinatura, recupera o endereço da assinatura e compara com o endereço do proprietário do token. A função _updateApproval atualiza o valor da autorização após a verificação ser bem-sucedida.
Transações reais:
O pequeno A anteriormente concedeu uma quase ilimitada autorização ao usar o Uniswap. Os hackers aproveitaram isso, obtendo assinaturas por meio de phishing, para executar operações de Permissão e Transferência a partir do contrato Permit2 para transferir ativos.
Atualmente, o contrato Uniswap Permit2 tornou-se um ponto quente de phishing, com uma grande quantidade de interações provenientes de endereços de phishing marcados.
Sugestões de prevenção
Separar a carteira de ativos da carteira de interação para reduzir perdas potenciais.
Conceda autorização ao contrato Permit2 com cautela, autorizando apenas o montante necessário ou cancelando autorizações excessivas.
Compreender se os tokens que possui suportam a função permit, e ser especialmente cauteloso ao negociar tokens que a suportam.
Se descobrir que foi enganado, mas ainda tiver ativos em outras plataformas, deve elaborar um plano de transferência de fundos bem estruturado, podendo considerar o uso de transferência MEV ou procurar a assistência de uma equipa de segurança profissional.
À medida que a aplicação do Permit2 se expande, as tentativas de phishing baseadas nele podem aumentar. Este método de phishing por assinatura é discreto e difícil de prevenir, e o número de endereços em risco também aumentará. Por favor, mantenha-se alerta e espalhe o conhecimento relevante para evitar mais perdas.