Раскрытие мошенничества с подделкой подписей Uniswap Permit2
Хакеры — это пугающее присутствие в экосистеме Web3. Для проектных команд открытый код означает, что на вас могут нацелиться хакеры со всего мира, и ошибка в одной строке кода может оставить уязвимость, последствия инцидентов с безопасностью могут быть серьезными. Для индивидуальных пользователей, если они не понимают значение своих действий, каждое взаимодействие или подпись в цепи могут привести к краже активов. Поэтому проблемы безопасности всегда были одной из самых сложных в мире криптовалют. Из-за особенностей блокчейна, как только активы украдены, их почти невозможно вернуть, поэтому наличие знаний о безопасности в мире криптовалют особенно важно.
Недавно была обнаружена новая фишинговая схема, которая начала активно действовать в последние два месяца. Как только вы подпишете, ваши средства будут украдены. Метод крайне скрытный и трудный для предотвращения, и адреса, которые взаимодействовали с Uniswap, могут подвергаться риску. В этой статье мы объясним эту схему подписания фишинга, чтобы минимизировать дальнейшие потери активов.
Ход событий
Недавно у одного друга (, который называется Маленький А, были украдены активы из кошелька. В отличие от распространенных способов кражи, Маленький А не раскрыл свой приватный ключ и не взаимодействовал с фишинговыми сайтами. В ходе расследования выяснилось, что украденные USDT из кошелька Маленького А были переведены с помощью функции Transfer From, что означает, что другой адрес произвел операцию по перемещению токенов, а не из-за утечки приватного ключа кошелька.
Путем проверки деталей сделки обнаружены ключевые улики:
Один адрес переводит активы маленькой А на другой адрес
Эта операция взаимодействует с контрактом Permit2 от Uniswap
Проблема в том, как этот адрес получил права на активы? Почему это связано с Uniswap?
Предпосылкой для вызова функции Transfer From является необходимость наличия у вызывающей стороны разрешения на количество токенов )approve(. Ответ заключается в том, что перед выполнением Transfer From этот адрес также выполнил операцию Permit, и обе операции взаимодействуют с контрактом Permit2 Uniswap.
![Подписал и был обманут? Раскрываем промывание глаз с использованием Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Контракт Uniswap Permit2 - это новый контракт, который Uniswap запустил в конце 2022 года, позволяющий токенам авторизовывать совместное использование и управление в различных приложениях, с целью создания более унифицированного, экономически эффективного и безопасного пользовательского опыта. С увеличением числа проектов, интегрирующих Permit2, он может стандартизировать одобрение токенов во всех приложениях, улучшая пользовательский опыт за счет снижения затрат на транзакции и одновременно повышая безопасность смарт-контрактов.
Запуск Permit2 может изменить правила игры для всей экосистемы Dapp. В традиционном подходе каждое взаимодействие с Dapp для передачи активов требует отдельного разрешения. Permit2 может исключить этот шаг, эффективно снизив затраты на взаимодействие пользователей и обеспечив лучшую пользовательскую практику.
![Подписали и потеряли? Раскрываем мошенничество с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Permit2 выступает в качестве посредника между пользователем и Dapp, пользователю нужно лишь предоставить разрешение на токены контракту Permit2, все Dapp, интегрированные с Permit2, могут делить эту авторизацию. Это изначально является выигрышной ситуацией, но также может оказаться и двусмысленным решением, проблема заключается в способе взаимодействия с Permit2.
В традиционных способах взаимодействия авторизация и перемещение средств для пользователей являются онлайновым взаимодействием. Permit2 преобразует действия пользователя в подпись вне цепи, все онлайновые операции выполняются промежуточными ролями ), такими как контракт Permit2 и проектные стороны, интегрирующие Permit2, (. Преимущество этого заключается в том, что даже если в кошельке пользователя нет ETH, он может использовать другие токены для оплаты газа или получить возмещение от промежуточной роли.
Однако, подпись вне цепочки — это этап, на котором пользователи наиболее склонны терять бдительность. Многие люди, входя в Dapp с помощью кошелька, не проверяют внимательно содержание подписи и не понимают её значения, что является самой опасной частью.
Чтобы использовать этот метод фишинга с подписью Permit2, ключевым условием является то, что кошелек, подвергающийся фишингу, должен иметь токены, разрешенные для контракта Permit2 от Uniswap. В настоящее время для выполнения свопа на Dapp, интегрированном с Permit2, или на Uniswap необходимо предоставить разрешение для контракта Permit2.
Более того, независимо от суммы Swap, контракт Uniswap Permit2 по умолчанию позволяет пользователю разрешить использование всего баланса токена. Несмотря на то, что MetaMask позволяет настраивать ввод суммы, большинство людей, вероятно, выберут максимальное или значение по умолчанию, а значение по умолчанию для Permit2 составляет неограниченный лимит.
Это означает, что если вы взаимодействовали с Uniswap и предоставили разрешение на сумму контракту Permit2 после 2023 года, вы можете подвергнуться риску этого промывания глаз.
Основное внимание следует уделить функции Permit, которая позволяет использовать ваш кошелек для передачи разрешенных токенов на контракт Permit2 другим адресам. Как только хакер получает вашу подпись, он может получить доступ к токенам в вашем кошельке и перевести ваши активы.
![Подписка и кража? Раскрываем мошенничество с подписью Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
) Как предотвратить?
Учитывая, что контракт Uniswap Permit2 может стать более распространенным в будущем, больше проектов может интегрировать контракт Permit2 для авторизации и совместного использования, эффективные меры предосторожности включают:
Понять и распознать содержание подписи:
Формат подписи Permit обычно включает ключевые поля, такие как Owner, Spender, value, nonce и deadline. Если вы хотите воспользоваться преимуществами и низкими затратами, которые предлагает Permit2, необходимо научиться распознавать этот формат подписи. Использование безопасного плагина — хороший выбор.
![Подписали и украли? Раскрытие мошенничества с подписью Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Разделение хранения активов и интерактивного кошелька:
Рекомендуется хранить значительные средства в холодном кошельке, а в кошельке для взаимодействия с сетью держать лишь небольшую сумму, что может значительно уменьшить потери в случае фишинга.
Ограничить сумму авторизации или отменить авторизацию:
При обмене на Uniswap следует авторизовать только необходимую сумму для взаимодействия. Хотя повторная авторизация при каждом взаимодействии увеличивает некоторые расходы, это позволяет избежать фишинга с подписями Permit2. Если лимит уже был авторизован, можно использовать безопасный плагин для отмены авторизации.
Определите природу токена, узнайте, поддерживает ли он функцию permit:
С учетом того, что все больше токенов ERC20 могут использовать этот расширенный протокол для реализации функции разрешения, необходимо обратить внимание на то, поддерживает ли токен, который вы держите, эту функцию. Если поддерживает, будьте особенно осторожны при сделках или операциях с этим токеном, строго проверяйте каждую неизвестную подпись на предмет участия функции разрешения.
Разработка完善ного плана спасения активов:
Если вы обнаружили, что стали жертвой мошенничества, но у вас все еще есть токены на других платформах через стейкинг и другие способы, когда необходимо вывести и перенести их на безопасный адрес, необходимо помнить, что хакеры могут в любой момент следить за вашим балансом адреса. Поскольку хакеры обладают вашей подписью, как только на украденном адресе появляются токены, они могут быть немедленно переведены. Необходимо разработать тщательный план спасения токенов, чтобы гарантировать синхронное выполнение процесса вывода и переноса, не давая хакерам возможности вмешаться в транзакцию. Можно рассмотреть возможность использования MEV-переводов или обратиться за помощью к специализированным компаниям по безопасности.
В будущем количество фишинга на основе Permit2 может возрасти, этот способ подписного фишинга крайне скрытен и труден для предотвращения. С увеличением области применения Permit2 также увеличится количество адресов, подвергающихся риску. Надеюсь, читатели смогут распространить эту информацию среди большего числа людей, чтобы избежать потерь для большего числа людей.
![Подписка и кража? Раскрытие схемы фишинга с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
5
Репост
Поделиться
комментарий
0/400
WalletDoomsDay
· 08-04 15:25
Каждый день играю с подписью, утром и вечером играю без токенов.
Посмотреть ОригиналОтветить0
LiquidationAlert
· 08-02 23:37
Хакер может на меня нацелиться? Я в панике.
Посмотреть ОригиналОтветить0
DataBartender
· 08-02 16:28
Кража подписи — это абсурд! Отправляй!
Посмотреть ОригиналОтветить0
CryingOldWallet
· 08-02 16:01
Кто еще осмелится использовать uni?
Посмотреть ОригиналОтветить0
AirdropBlackHole
· 08-02 16:00
Снова говорить о безопасности кошелька, не надоело?
Новая техника фишинга с использованием подписи Uniswap Permit2: механизмы, риски и меры предосторожности
Раскрытие мошенничества с подделкой подписей Uniswap Permit2
Хакеры — это пугающее присутствие в экосистеме Web3. Для проектных команд открытый код означает, что на вас могут нацелиться хакеры со всего мира, и ошибка в одной строке кода может оставить уязвимость, последствия инцидентов с безопасностью могут быть серьезными. Для индивидуальных пользователей, если они не понимают значение своих действий, каждое взаимодействие или подпись в цепи могут привести к краже активов. Поэтому проблемы безопасности всегда были одной из самых сложных в мире криптовалют. Из-за особенностей блокчейна, как только активы украдены, их почти невозможно вернуть, поэтому наличие знаний о безопасности в мире криптовалют особенно важно.
Недавно была обнаружена новая фишинговая схема, которая начала активно действовать в последние два месяца. Как только вы подпишете, ваши средства будут украдены. Метод крайне скрытный и трудный для предотвращения, и адреса, которые взаимодействовали с Uniswap, могут подвергаться риску. В этой статье мы объясним эту схему подписания фишинга, чтобы минимизировать дальнейшие потери активов.
Ход событий
Недавно у одного друга (, который называется Маленький А, были украдены активы из кошелька. В отличие от распространенных способов кражи, Маленький А не раскрыл свой приватный ключ и не взаимодействовал с фишинговыми сайтами. В ходе расследования выяснилось, что украденные USDT из кошелька Маленького А были переведены с помощью функции Transfer From, что означает, что другой адрес произвел операцию по перемещению токенов, а не из-за утечки приватного ключа кошелька.
Путем проверки деталей сделки обнаружены ключевые улики:
Проблема в том, как этот адрес получил права на активы? Почему это связано с Uniswap?
Предпосылкой для вызова функции Transfer From является необходимость наличия у вызывающей стороны разрешения на количество токенов )approve(. Ответ заключается в том, что перед выполнением Transfer From этот адрес также выполнил операцию Permit, и обе операции взаимодействуют с контрактом Permit2 Uniswap.
![Подписал и был обманут? Раскрываем промывание глаз с использованием Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Контракт Uniswap Permit2 - это новый контракт, который Uniswap запустил в конце 2022 года, позволяющий токенам авторизовывать совместное использование и управление в различных приложениях, с целью создания более унифицированного, экономически эффективного и безопасного пользовательского опыта. С увеличением числа проектов, интегрирующих Permit2, он может стандартизировать одобрение токенов во всех приложениях, улучшая пользовательский опыт за счет снижения затрат на транзакции и одновременно повышая безопасность смарт-контрактов.
Запуск Permit2 может изменить правила игры для всей экосистемы Dapp. В традиционном подходе каждое взаимодействие с Dapp для передачи активов требует отдельного разрешения. Permit2 может исключить этот шаг, эффективно снизив затраты на взаимодействие пользователей и обеспечив лучшую пользовательскую практику.
![Подписали и потеряли? Раскрываем мошенничество с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Permit2 выступает в качестве посредника между пользователем и Dapp, пользователю нужно лишь предоставить разрешение на токены контракту Permit2, все Dapp, интегрированные с Permit2, могут делить эту авторизацию. Это изначально является выигрышной ситуацией, но также может оказаться и двусмысленным решением, проблема заключается в способе взаимодействия с Permit2.
В традиционных способах взаимодействия авторизация и перемещение средств для пользователей являются онлайновым взаимодействием. Permit2 преобразует действия пользователя в подпись вне цепи, все онлайновые операции выполняются промежуточными ролями ), такими как контракт Permit2 и проектные стороны, интегрирующие Permit2, (. Преимущество этого заключается в том, что даже если в кошельке пользователя нет ETH, он может использовать другие токены для оплаты газа или получить возмещение от промежуточной роли.
Однако, подпись вне цепочки — это этап, на котором пользователи наиболее склонны терять бдительность. Многие люди, входя в Dapp с помощью кошелька, не проверяют внимательно содержание подписи и не понимают её значения, что является самой опасной частью.
Чтобы использовать этот метод фишинга с подписью Permit2, ключевым условием является то, что кошелек, подвергающийся фишингу, должен иметь токены, разрешенные для контракта Permit2 от Uniswap. В настоящее время для выполнения свопа на Dapp, интегрированном с Permit2, или на Uniswap необходимо предоставить разрешение для контракта Permit2.
Более того, независимо от суммы Swap, контракт Uniswap Permit2 по умолчанию позволяет пользователю разрешить использование всего баланса токена. Несмотря на то, что MetaMask позволяет настраивать ввод суммы, большинство людей, вероятно, выберут максимальное или значение по умолчанию, а значение по умолчанию для Permit2 составляет неограниченный лимит.
Это означает, что если вы взаимодействовали с Uniswap и предоставили разрешение на сумму контракту Permit2 после 2023 года, вы можете подвергнуться риску этого промывания глаз.
Основное внимание следует уделить функции Permit, которая позволяет использовать ваш кошелек для передачи разрешенных токенов на контракт Permit2 другим адресам. Как только хакер получает вашу подпись, он может получить доступ к токенам в вашем кошельке и перевести ваши активы.
![Подписка и кража? Раскрываем мошенничество с подписью Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
) Как предотвратить?
Учитывая, что контракт Uniswap Permit2 может стать более распространенным в будущем, больше проектов может интегрировать контракт Permit2 для авторизации и совместного использования, эффективные меры предосторожности включают:
![Подписали и украли? Раскрытие мошенничества с подписью Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Разделение хранения активов и интерактивного кошелька: Рекомендуется хранить значительные средства в холодном кошельке, а в кошельке для взаимодействия с сетью держать лишь небольшую сумму, что может значительно уменьшить потери в случае фишинга.
Ограничить сумму авторизации или отменить авторизацию: При обмене на Uniswap следует авторизовать только необходимую сумму для взаимодействия. Хотя повторная авторизация при каждом взаимодействии увеличивает некоторые расходы, это позволяет избежать фишинга с подписями Permit2. Если лимит уже был авторизован, можно использовать безопасный плагин для отмены авторизации.
Определите природу токена, узнайте, поддерживает ли он функцию permit: С учетом того, что все больше токенов ERC20 могут использовать этот расширенный протокол для реализации функции разрешения, необходимо обратить внимание на то, поддерживает ли токен, который вы держите, эту функцию. Если поддерживает, будьте особенно осторожны при сделках или операциях с этим токеном, строго проверяйте каждую неизвестную подпись на предмет участия функции разрешения.
Разработка完善ного плана спасения активов: Если вы обнаружили, что стали жертвой мошенничества, но у вас все еще есть токены на других платформах через стейкинг и другие способы, когда необходимо вывести и перенести их на безопасный адрес, необходимо помнить, что хакеры могут в любой момент следить за вашим балансом адреса. Поскольку хакеры обладают вашей подписью, как только на украденном адресе появляются токены, они могут быть немедленно переведены. Необходимо разработать тщательный план спасения токенов, чтобы гарантировать синхронное выполнение процесса вывода и переноса, не давая хакерам возможности вмешаться в транзакцию. Можно рассмотреть возможность использования MEV-переводов или обратиться за помощью к специализированным компаниям по безопасности.
В будущем количество фишинга на основе Permit2 может возрасти, этот способ подписного фишинга крайне скрытен и труден для предотвращения. С увеличением области применения Permit2 также увеличится количество адресов, подвергающихся риску. Надеюсь, читатели смогут распространить эту информацию среди большего числа людей, чтобы избежать потерь для большего числа людей.
![Подписка и кража? Раскрытие схемы фишинга с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(