Hackerlar, Web3 ekosisteminde korkutucu varlıklardır. Proje sahipleri için, kodun açık kaynak olması, dünya genelindeki hackerların sizi hedef alabileceği anlamına gelir; bir satır kodun yanlış yazılması, bir güvenlik açığına yol açabilir ve güvenlik kazalarının sonuçları ciddi olabilir. Bireysel kullanıcılar için, kendi işlemlerinin anlamını bilmemek, her blok zinciri etkileşiminde veya imzasında varlıkların çalınmasına neden olabilir. Bu nedenle, güvenlik sorunu kripto dünyasının en çetrefilli sorunlarından biri olmuştur. Blok zincirinin özellikleri nedeniyle, varlıkların çalınması durumunda geri alınması neredeyse imkansızdır, bu yüzden kripto dünyasında güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda, son iki aydır aktif hale gelen yeni bir oltalama yöntemi keşfedildi. Sadece imza atmanız durumunda dolandırılabilirsiniz; yöntem son derece gizli ve önlenmesi zor. Ayrıca, Uniswap ile etkileşimde bulunan adresler risk altında olabilir. Bu yazıda, bu imza oltalama yöntemini açıklayarak daha fazla varlık kaybını önlemeye çalışacağız.
olayın gelişimi
Son zamanlarda, bir arkadaşım ( küçük A ) cüzdanındaki varlıkları çalındı. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A ne özel anahtarını sızdırdı ne de bir phishing sitesinin akışıyla etkileşime geçti. Araştırmalar, küçük A'nın cüzdanından çalınan USDT'nin Transfer From fonksiyonu aracılığıyla taşındığını ortaya koydu; bu, başka bir adresin Token'ı alıp götürdüğü anlamına geliyor, cüzdanın özel anahtarının sızdırılması değil.
İşlem detaylarını sorgulayarak, önemli ipuçları bulundu:
Bir adres, küçük A'nın varlıklarını başka bir adrese aktarır.
Bu işlem Uniswap'ın Permit2 sözleşmesiyle etkileşimde bulunuyor.
Sorun şu ki, bu adres varlık yetkisini nasıl elde etti? Neden Uniswap ile ilgili?
Transfer From fonksiyonunu çağırmanın ön koşulu, çağıranın Token için yetki limiti (approve) olmasıdır. Cevap, Transfer From'u gerçekleştirmeden önce, bu adresin bir Permit işlemi gerçekleştirmiş olmasıdır; her iki işlem de Uniswap'ın Permit2 sözleşmesiyle etkileşime girmektedir.
Uniswap Permit2 sözleşmesi, Uniswap'ın 2022'nin sonlarında tanıttığı yeni bir sözleşmedir; token yetkilendirmesine farklı uygulamalar arasında paylaşma ve yönetim izni verir. Daha birleşik, maliyet açısından daha etkili ve güvenli bir kullanıcı deneyimi yaratmayı amaçlar. Daha fazla projenin Permit2'yi entegre etmesiyle, tüm uygulamalarda standart Token onayı sağlanabilir, işlem maliyetlerini düşürerek kullanıcı deneyimini iyileştirirken akıllı sözleşmelerin güvenliğini artırır.
Permit2'nin piyasaya sürülmesi, tüm Dapp ekosisteminin oyun kurallarını değiştirebilir. Geleneksel yöntemlerde, Dapp ile varlık transferi etkileşiminde her seferinde ayrı bir yetkilendirme gerekmektedir. Ancak Permit2, bu adımı ortadan kaldırarak kullanıcı etkileşim maliyetlerini etkili bir şekilde azaltır ve daha iyi bir kullanıcı deneyimi sunar.
Permit2, kullanıcılar ve Dapp'ler arasında bir aracı olarak, kullanıcıların yalnızca Token izinlerini Permit2 sözleşmesine vermesi gerektiği anlamına gelir, Permit2 ile entegre olan tüm Dapp'ler bu izin limitini paylaşabilir. Bu aslında her iki taraf için de kazançlı bir durumdur, ancak aynı zamanda çift taraflı bir kılıç olabilir, sorun Permit2 ile etkileşim şeklidir.
Geleneksel etkileşim yöntemlerinde, yetkilendirme ve para transferi kullanıcılar için zincir üzerindeki etkileşimlerdir. Permit2, kullanıcı işlemlerini zincir dışı imzalara dönüştürür, tüm zincir üzerindeki işlemler aracılar ( gibi Permit2 sözleşmesi ve Permit2'yi entegre eden proje sahipleri ) tarafından gerçekleştirilir. Bu durumun sağladığı avantaj, kullanıcı cüzdanında ETH olmasa bile diğer Token'lar ile Gas ücretini ödeyebilmesi veya aracılar tarafından geri ödenebilmesidir.
Ancak, zincir dışı imza, kullanıcıların en kolay şekilde dikkatlerini dağıttıkları aşamadır. Birçok kişi cüzdanla Dapp'e giriş yaparken imza içeriğini dikkatlice kontrol etmez ve anlamını da kavrayamaz, bu da en tehlikeli noktadır.
Bu Permit2 imza dolandırıcılığı yöntemini kullanmak için, ana şart, dolandırıcılığa uğrayan cüzdanın Uniswap'ın Permit2 sözleşmesine Token yetkisi vermesi gerektiğidir. Şu anda, Permit2 ile entegre olan Dapp veya Uniswap üzerinde Swap işlemi yapmak için, Permit2 sözleşmesine yetki vermek gerekmektedir.
Daha korkuncu, Swap miktarı ne olursa olsun, Uniswap'ın Permit2 sözleşmesi kullanıcıların o Token'ın tüm bakiyesini yetkilendirmesini varsayılan olarak sağlar. MetaMask özel bir miktar girmeye izin verse de, çoğu kişi muhtemelen doğrudan maksimum veya varsayılan değeri seçecektir ve Permit2'nin varsayılan değeri sınırsız bir limit.
Bu, 2023'ten sonra Uniswap ile etkileşimde bulunduysanız ve Permit2 sözleşmesine yetki verdiyseniz, bu oltalama eyewash riskine maruz kalabileceğiniz anlamına geliyor.
Anahtar, Permit fonksiyonundadır; bu, cüzdanınızı kullanarak Permit2 sözleşmesine verilen Token miktarını başka bir adrese transfer etmenizi sağlar. Sadece imzanızı alarak, bir hacker cüzdanınızdaki Token'ların yetkisini alabilir ve varlıklarınızı transfer edebilir.
nasıl önlenir?
Uniswap Permit2 sözleşmesinin gelecekte daha fazla yaygınlaşabileceği göz önüne alındığında, daha fazla projenin yetkilendirme paylaşımı için Permit2 sözleşmesini entegre etmesi muhtemeldir. Etkili önleme yöntemleri şunları içerir:
İmza içeriğini anlama ve tanıma:
Permit'in imza formatı genellikle Owner, Spender, value, nonce ve deadline gibi anahtar alanları içerir. Permit2'nin sağladığı kolaylıklar ve düşük maliyetlerden yararlanmak istiyorsanız, bu imza formatını tanımayı öğrenmelisiniz. Güvenli bir eklenti kullanmak iyi bir seçimdir.
Varlıkları depolama ve etkileşim cüzdanını ayırma:
Büyük miktarda varlıkların soğuk cüzdanlarda saklanması önerilir, zincir üzerindeki etkileşim cüzdanı yalnızca az miktarda fon tutmalıdır, bu da oltalama eyewash'ı sırasında yaşanan kayıpları önemli ölçüde azaltabilir.
Yetki limitini kısıtlama veya yetkiyi iptal etme:
Uniswap'ta Swap yaparken yalnızca gerekli etkileşim miktarını yetkilendirin. Her etkileşimde yeniden yetkilendirilmesi bazı maliyetler eklese de, Permit2 imza sahtekarlığına maruz kalmayı önleyebilir. Eğer bir miktar yetkilendirildi ise, yetkiyi iptal etmek için güvenli bir eklenti kullanılabilir.
Tokenin niteliğini tanıyın, permit fonksiyonunu destekleyip desteklemediğini öğrenin:
Artan sayıda ERC20 token'ının bu genişletme protokolünü kullanarak permit işlevini gerçekleştirme olasılığı ile birlikte, sahip olduğunuz token'ların bu işlevi destekleyip desteklemediğine dikkat etmeniz gerekir. Eğer destekliyorsa, bu token ile yapılan işlemler veya hareketler konusunda özellikle dikkatli olunmalı, her bir bilinmeyen imzanın permit fonksiyonunu içerip içermediği titizlikle kontrol edilmelidir.
Tamamlayıcı bir varlık kurtarma planı oluşturmak:
Eğer dolandırıldığınızı fark ederseniz, ancak hala staking gibi yollarla diğer platformlarda tokenleriniz varsa, bunları çekip güvenli bir adrese transfer ederken hackerların adres bakiyenizi her an izleyebileceğini unutmamalısınız. Hackerlar imzanıza sahip olduğundan, çalınan adres üzerinde token belirdiğinde, bu tokenler hemen transfer edilebilir. Token kurtarma planı hazırlamak önemlidir; çekim ve transfer sürecinin senkronize bir şekilde yürütülmesini sağlayarak hackerlara işlem müdahalesi için fırsat vermemelisiniz. MEV transferi kullanmayı veya profesyonel güvenlik şirketlerinden yardım almayı düşünebilirsiniz.
Gelecekte Permit2 tabanlı oltalama saldırıları giderek artabilir; bu tür imza oltalama yöntemleri son derece gizli ve önlenmesi zor. Permit2'nin uygulama alanı genişledikçe, risk altında olan adreslerin sayısı da artacaktır. Okuyucuların bu bilgileri daha fazla kişiye ulaştırmasını ve daha fazla kişinin kayıplar yaşamasını önlemesini umuyoruz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
10 Likes
Reward
10
5
Repost
Share
Comment
0/400
WalletDoomsDay
· 08-04 15:25
Her gün imza oyna, sabah akşam oynama, hiç coin yok.
View OriginalReply0
LiquidationAlert
· 08-02 23:37
Hacker beni hedef alabilir mi? Ölümüne panikledim.
View OriginalReply0
DataBartender
· 08-02 16:28
İmzanın çalınması çok saçma! Gönder!
View OriginalReply0
CryingOldWallet
· 08-02 16:01
Artık kimse uni kullanmaya cesaret edebilir ki?
View OriginalReply0
AirdropBlackHole
· 08-02 16:00
Yine cüzdan güvenliğinden mi bahsedeceğiz, sıkıldım mı?
Uniswap Permit2 Yeni İmzalı Phishing Yöntemi: Mekanizma, Riskler ve Önleme
Uniswap Permit2 İmza Phishing Eyewash'ını Açığa Çıkarma
Hackerlar, Web3 ekosisteminde korkutucu varlıklardır. Proje sahipleri için, kodun açık kaynak olması, dünya genelindeki hackerların sizi hedef alabileceği anlamına gelir; bir satır kodun yanlış yazılması, bir güvenlik açığına yol açabilir ve güvenlik kazalarının sonuçları ciddi olabilir. Bireysel kullanıcılar için, kendi işlemlerinin anlamını bilmemek, her blok zinciri etkileşiminde veya imzasında varlıkların çalınmasına neden olabilir. Bu nedenle, güvenlik sorunu kripto dünyasının en çetrefilli sorunlarından biri olmuştur. Blok zincirinin özellikleri nedeniyle, varlıkların çalınması durumunda geri alınması neredeyse imkansızdır, bu yüzden kripto dünyasında güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda, son iki aydır aktif hale gelen yeni bir oltalama yöntemi keşfedildi. Sadece imza atmanız durumunda dolandırılabilirsiniz; yöntem son derece gizli ve önlenmesi zor. Ayrıca, Uniswap ile etkileşimde bulunan adresler risk altında olabilir. Bu yazıda, bu imza oltalama yöntemini açıklayarak daha fazla varlık kaybını önlemeye çalışacağız.
olayın gelişimi
Son zamanlarda, bir arkadaşım ( küçük A ) cüzdanındaki varlıkları çalındı. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A ne özel anahtarını sızdırdı ne de bir phishing sitesinin akışıyla etkileşime geçti. Araştırmalar, küçük A'nın cüzdanından çalınan USDT'nin Transfer From fonksiyonu aracılığıyla taşındığını ortaya koydu; bu, başka bir adresin Token'ı alıp götürdüğü anlamına geliyor, cüzdanın özel anahtarının sızdırılması değil.
İşlem detaylarını sorgulayarak, önemli ipuçları bulundu:
Sorun şu ki, bu adres varlık yetkisini nasıl elde etti? Neden Uniswap ile ilgili?
Transfer From fonksiyonunu çağırmanın ön koşulu, çağıranın Token için yetki limiti (approve) olmasıdır. Cevap, Transfer From'u gerçekleştirmeden önce, bu adresin bir Permit işlemi gerçekleştirmiş olmasıdır; her iki işlem de Uniswap'ın Permit2 sözleşmesiyle etkileşime girmektedir.
Uniswap Permit2 sözleşmesi, Uniswap'ın 2022'nin sonlarında tanıttığı yeni bir sözleşmedir; token yetkilendirmesine farklı uygulamalar arasında paylaşma ve yönetim izni verir. Daha birleşik, maliyet açısından daha etkili ve güvenli bir kullanıcı deneyimi yaratmayı amaçlar. Daha fazla projenin Permit2'yi entegre etmesiyle, tüm uygulamalarda standart Token onayı sağlanabilir, işlem maliyetlerini düşürerek kullanıcı deneyimini iyileştirirken akıllı sözleşmelerin güvenliğini artırır.
Permit2'nin piyasaya sürülmesi, tüm Dapp ekosisteminin oyun kurallarını değiştirebilir. Geleneksel yöntemlerde, Dapp ile varlık transferi etkileşiminde her seferinde ayrı bir yetkilendirme gerekmektedir. Ancak Permit2, bu adımı ortadan kaldırarak kullanıcı etkileşim maliyetlerini etkili bir şekilde azaltır ve daha iyi bir kullanıcı deneyimi sunar.
Permit2, kullanıcılar ve Dapp'ler arasında bir aracı olarak, kullanıcıların yalnızca Token izinlerini Permit2 sözleşmesine vermesi gerektiği anlamına gelir, Permit2 ile entegre olan tüm Dapp'ler bu izin limitini paylaşabilir. Bu aslında her iki taraf için de kazançlı bir durumdur, ancak aynı zamanda çift taraflı bir kılıç olabilir, sorun Permit2 ile etkileşim şeklidir.
Geleneksel etkileşim yöntemlerinde, yetkilendirme ve para transferi kullanıcılar için zincir üzerindeki etkileşimlerdir. Permit2, kullanıcı işlemlerini zincir dışı imzalara dönüştürür, tüm zincir üzerindeki işlemler aracılar ( gibi Permit2 sözleşmesi ve Permit2'yi entegre eden proje sahipleri ) tarafından gerçekleştirilir. Bu durumun sağladığı avantaj, kullanıcı cüzdanında ETH olmasa bile diğer Token'lar ile Gas ücretini ödeyebilmesi veya aracılar tarafından geri ödenebilmesidir.
Ancak, zincir dışı imza, kullanıcıların en kolay şekilde dikkatlerini dağıttıkları aşamadır. Birçok kişi cüzdanla Dapp'e giriş yaparken imza içeriğini dikkatlice kontrol etmez ve anlamını da kavrayamaz, bu da en tehlikeli noktadır.
Bu Permit2 imza dolandırıcılığı yöntemini kullanmak için, ana şart, dolandırıcılığa uğrayan cüzdanın Uniswap'ın Permit2 sözleşmesine Token yetkisi vermesi gerektiğidir. Şu anda, Permit2 ile entegre olan Dapp veya Uniswap üzerinde Swap işlemi yapmak için, Permit2 sözleşmesine yetki vermek gerekmektedir.
Daha korkuncu, Swap miktarı ne olursa olsun, Uniswap'ın Permit2 sözleşmesi kullanıcıların o Token'ın tüm bakiyesini yetkilendirmesini varsayılan olarak sağlar. MetaMask özel bir miktar girmeye izin verse de, çoğu kişi muhtemelen doğrudan maksimum veya varsayılan değeri seçecektir ve Permit2'nin varsayılan değeri sınırsız bir limit.
Bu, 2023'ten sonra Uniswap ile etkileşimde bulunduysanız ve Permit2 sözleşmesine yetki verdiyseniz, bu oltalama eyewash riskine maruz kalabileceğiniz anlamına geliyor.
Anahtar, Permit fonksiyonundadır; bu, cüzdanınızı kullanarak Permit2 sözleşmesine verilen Token miktarını başka bir adrese transfer etmenizi sağlar. Sadece imzanızı alarak, bir hacker cüzdanınızdaki Token'ların yetkisini alabilir ve varlıklarınızı transfer edebilir.
nasıl önlenir?
Uniswap Permit2 sözleşmesinin gelecekte daha fazla yaygınlaşabileceği göz önüne alındığında, daha fazla projenin yetkilendirme paylaşımı için Permit2 sözleşmesini entegre etmesi muhtemeldir. Etkili önleme yöntemleri şunları içerir:
Varlıkları depolama ve etkileşim cüzdanını ayırma: Büyük miktarda varlıkların soğuk cüzdanlarda saklanması önerilir, zincir üzerindeki etkileşim cüzdanı yalnızca az miktarda fon tutmalıdır, bu da oltalama eyewash'ı sırasında yaşanan kayıpları önemli ölçüde azaltabilir.
Yetki limitini kısıtlama veya yetkiyi iptal etme: Uniswap'ta Swap yaparken yalnızca gerekli etkileşim miktarını yetkilendirin. Her etkileşimde yeniden yetkilendirilmesi bazı maliyetler eklese de, Permit2 imza sahtekarlığına maruz kalmayı önleyebilir. Eğer bir miktar yetkilendirildi ise, yetkiyi iptal etmek için güvenli bir eklenti kullanılabilir.
Tokenin niteliğini tanıyın, permit fonksiyonunu destekleyip desteklemediğini öğrenin: Artan sayıda ERC20 token'ının bu genişletme protokolünü kullanarak permit işlevini gerçekleştirme olasılığı ile birlikte, sahip olduğunuz token'ların bu işlevi destekleyip desteklemediğine dikkat etmeniz gerekir. Eğer destekliyorsa, bu token ile yapılan işlemler veya hareketler konusunda özellikle dikkatli olunmalı, her bir bilinmeyen imzanın permit fonksiyonunu içerip içermediği titizlikle kontrol edilmelidir.
Tamamlayıcı bir varlık kurtarma planı oluşturmak: Eğer dolandırıldığınızı fark ederseniz, ancak hala staking gibi yollarla diğer platformlarda tokenleriniz varsa, bunları çekip güvenli bir adrese transfer ederken hackerların adres bakiyenizi her an izleyebileceğini unutmamalısınız. Hackerlar imzanıza sahip olduğundan, çalınan adres üzerinde token belirdiğinde, bu tokenler hemen transfer edilebilir. Token kurtarma planı hazırlamak önemlidir; çekim ve transfer sürecinin senkronize bir şekilde yürütülmesini sağlayarak hackerlara işlem müdahalesi için fırsat vermemelisiniz. MEV transferi kullanmayı veya profesyonel güvenlik şirketlerinden yardım almayı düşünebilirsiniz.
Gelecekte Permit2 tabanlı oltalama saldırıları giderek artabilir; bu tür imza oltalama yöntemleri son derece gizli ve önlenmesi zor. Permit2'nin uygulama alanı genişledikçe, risk altında olan adreslerin sayısı da artacaktır. Okuyucuların bu bilgileri daha fazla kişiye ulaştırmasını ve daha fazla kişinin kayıplar yaşamasını önlemesini umuyoruz.