في نظام Web3 البيئي، كان الهاكرز دائمًا وجودًا يثير القلق لدى الشركات والمستخدمين العاديين. نظرًا لعدم قابلية عكس سلسلة الكتل، فإن استرداد الأصول المسروقة يكاد يكون مستحيلًا، لذا فإن امتلاك المعرفة الأمنية يعد أمرًا بالغ الأهمية لكل مشارك في عالم التشفير.
مؤخراً، بدأت طريقة جديدة للاحتيال في الظهور، حيث يمكن أن تؤدي مجرد التوقيع إلى سرقة الأصول، والطريقة خفية للغاية وصعبة الوقاية. ما يثير القلق أكثر هو أن جميع العناوين التي تفاعلت مع DEX معين قد تكون معرضة لهذا الخطر. ستتناول هذه المقالة تحليلًا عميقًا لمبادئ هذه الطريقة الاحتيالية بالتوقيع ووسائل الوقاية منها.
سير الأحداث
تعود الأحداث إلى حادثة سرقة أموال صديقي (小A). على عكس طرق السرقة الشائعة، لم يقم 小A بكشف المفتاح الخاص، ولم يتفاعل مع مواقع أو عقود مشبوهة. من خلال مستعرض blockchain، يمكن رؤية أن USDT في محفظة 小A تم تحويلها من خلال وظيفة Transfer From، مما يعني أن عنواناً ثالثاً هو من قام بعملية نقل الأصول، وليس تسريب المفتاح الخاص للمحفظة.
عند إجراء المزيد من الاستفسارات حول تفاصيل المعاملة ، وجدت:
عنوان ينتهي برقم fd51 قام بنقل أصول الصغيرة A إلى عنوان آخر
هذه العملية تتفاعل مع عقد Permit2 الخاص ببعض DEX.
المسألة الرئيسية هي كيف حصل عنوان fd51 على صلاحيات操作资产小A؟ ولماذا يتعلق الأمر بعقد某DEX؟
لفهم هذه الخدعة، نحتاج أولاً إلى فهم دور عقد Permit2. Permit2 هو عقد موافقة رمزي تم إطلاقه من قبل بعض منصات تداول العملات المشفرة في نهاية عام 2022، ويهدف إلى تمكين التطبيقات المختلفة من مشاركة وإدارة تفويض الرموز، مما يخلق تجربة مستخدم أكثر اتساقًا وفعالية من حيث التكلفة وأمانًا.
في طرق التفاعل التقليدية، يحتاج المستخدم إلى تفويض منفصل في كل مرة يتفاعل فيها مع DApp مختلف. بينما يعمل Permit2 كوسيط، يحتاج المستخدم فقط إلى تفويض الرموز لعقد Permit2، ويمكن لجميع DApp المدمجة مع Permit2 مشاركة هذا الحد من التفويض. هذا يقلل بشكل كبير من تكلفة تفاعل المستخدم ويحسن التجربة.
ومع ذلك، فإن Permit2 قد جلب أيضًا مخاطر جديدة. لقد حولت عمليات المستخدم من التفاعل على السلسلة إلى التوقيع خارج السلسلة، بينما يتم إتمام جميع العمليات على السلسلة بواسطة دور وسيط ( مثل عقد Permit2 ). على الرغم من أن هذه الخطة مريحة، إلا أن التوقيع خارج السلسلة هو بالضبط الحلقة التي يكون فيها المستخدمون أكثر عرضة للاسترخاء في اليقظة.
في حالة A الصغيرة، يكمن المفتاح في استغلال المتسلل لدالة Permit في عقد Permit2. تسمح هذه الدالة بنقل حدود توكن المستخدم المصرح به إلى Permit2 إلى عناوين أخرى من خلال التوقيع. بعبارة أخرى، ما دام المتسلل يحصل على توقيع المستخدم، يمكنه التحكم في توكنات المحفظة الخاصة بالمستخدم.
نظرًا لأن Permit2 قد يصبح أكثر شيوعًا في المستقبل، إليك بعض الاقتراحات الفعالة للوقاية:
تعلم كيفية التعرف على تنسيق توقيع التصريح. عادة ما يحتوي توقيع التصريح على معلومات رئيسية مثل المالك، المنفق، القيمة، الرقم التسلسلي، والمواعيد النهائية. يمكن أن تساعد الإضافات الآمنة في التعرف عليها.
فصل تخزين الأصول والمحفظة التفاعلية. يجب تخزين الأصول الكبيرة في محفظة باردة، بينما تحتفظ المحفظة التفاعلية بمبلغ صغير فقط، مما يمكن أن يقلل بشكل كبير من مخاطر الخسارة.
تقييد حدود التفويض أو إلغاء التفويض. عند التفاعل، يتم تفويض المبلغ المطلوب فقط، على الرغم من أنه قد يزيد بعض التكاليف، لكنه يمكن أن يتجنب التعرض للاحتيال بتوقيع Permit2. يمكن إلغاء التفويضات الممنوحة من خلال المكونات الإضافية الآمنة.
معرفة ما إذا كانت الرموز المميزة التي تمتلكها تدعم وظيفة الإذن. يجب توخي الحذر بشكل خاص عند تداول الرموز المميزة التي تدعم هذه الوظيفة، والتحقق بدقة من كل توقيع غير معروف.
وضع خطة طوارئ. إذا تم اكتشاف الخداع ولكن لا يزال هناك أصول على منصات أخرى، يجب وضع خطة إنقاذ الأصول بسرعة وبشكل كامل، يمكن النظر في استخدام نقل MEV أو طلب المساعدة من فريق أمان محترف.
مع توسع نطاق تطبيق Permit2، قد تزداد أساليب الاحتيال القائمة على ذلك. تعتبر هذه الطريقة في التوقيع الاحتيالي خفية للغاية وصعبة الحماية، ونأمل أن يتعرف المزيد من الناس على المخاطر ذات الصلة، ويزيدوا من اليقظة، ويتجنبوا التعرض للخسائر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 17
أعجبني
17
6
مشاركة
تعليق
0/400
CryptoPunster
· 07-15 11:51
ضحك حتى الموت، الحمقى عندما يلتقون بالعقود الذكية يدعون الأب
شاهد النسخة الأصليةرد0
FloorPriceNightmare
· 07-13 04:24
تذكير بالتوقيع 800
شاهد النسخة الأصليةرد0
RugResistant
· 07-13 04:21
مرة أخرى سيتم خداع الناس لتحقيق الربح
شاهد النسخة الأصليةرد0
WalletDetective
· 07-13 04:21
又有حمقى掉坑里了
شاهد النسخة الأصليةرد0
LazyDevMiner
· 07-13 04:14
مرة أخرى، حدث فشل في التوقيع، المبتدئ تعرض للخسارة!
شاهد النسخة الأصليةرد0
PhantomMiner
· 07-13 04:08
مرة أخرى، أساليب جديدة لجمع الأموال، جعلتني لا أجرؤ على التوقيع.
أسلوب جديد للتصيد بالتوقيع Permit2: تنبيه أمان أصول مستخدمي DEX
فخ التوقيع الخفي - كشف خدعة Uniswap Permit2
في نظام Web3 البيئي، كان الهاكرز دائمًا وجودًا يثير القلق لدى الشركات والمستخدمين العاديين. نظرًا لعدم قابلية عكس سلسلة الكتل، فإن استرداد الأصول المسروقة يكاد يكون مستحيلًا، لذا فإن امتلاك المعرفة الأمنية يعد أمرًا بالغ الأهمية لكل مشارك في عالم التشفير.
مؤخراً، بدأت طريقة جديدة للاحتيال في الظهور، حيث يمكن أن تؤدي مجرد التوقيع إلى سرقة الأصول، والطريقة خفية للغاية وصعبة الوقاية. ما يثير القلق أكثر هو أن جميع العناوين التي تفاعلت مع DEX معين قد تكون معرضة لهذا الخطر. ستتناول هذه المقالة تحليلًا عميقًا لمبادئ هذه الطريقة الاحتيالية بالتوقيع ووسائل الوقاية منها.
سير الأحداث
تعود الأحداث إلى حادثة سرقة أموال صديقي (小A). على عكس طرق السرقة الشائعة، لم يقم 小A بكشف المفتاح الخاص، ولم يتفاعل مع مواقع أو عقود مشبوهة. من خلال مستعرض blockchain، يمكن رؤية أن USDT في محفظة 小A تم تحويلها من خلال وظيفة Transfer From، مما يعني أن عنواناً ثالثاً هو من قام بعملية نقل الأصول، وليس تسريب المفتاح الخاص للمحفظة.
عند إجراء المزيد من الاستفسارات حول تفاصيل المعاملة ، وجدت:
المسألة الرئيسية هي كيف حصل عنوان fd51 على صلاحيات操作资产小A؟ ولماذا يتعلق الأمر بعقد某DEX؟
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp)
تحليل أساليب الصيد
لفهم هذه الخدعة، نحتاج أولاً إلى فهم دور عقد Permit2. Permit2 هو عقد موافقة رمزي تم إطلاقه من قبل بعض منصات تداول العملات المشفرة في نهاية عام 2022، ويهدف إلى تمكين التطبيقات المختلفة من مشاركة وإدارة تفويض الرموز، مما يخلق تجربة مستخدم أكثر اتساقًا وفعالية من حيث التكلفة وأمانًا.
في طرق التفاعل التقليدية، يحتاج المستخدم إلى تفويض منفصل في كل مرة يتفاعل فيها مع DApp مختلف. بينما يعمل Permit2 كوسيط، يحتاج المستخدم فقط إلى تفويض الرموز لعقد Permit2، ويمكن لجميع DApp المدمجة مع Permit2 مشاركة هذا الحد من التفويض. هذا يقلل بشكل كبير من تكلفة تفاعل المستخدم ويحسن التجربة.
ومع ذلك، فإن Permit2 قد جلب أيضًا مخاطر جديدة. لقد حولت عمليات المستخدم من التفاعل على السلسلة إلى التوقيع خارج السلسلة، بينما يتم إتمام جميع العمليات على السلسلة بواسطة دور وسيط ( مثل عقد Permit2 ). على الرغم من أن هذه الخطة مريحة، إلا أن التوقيع خارج السلسلة هو بالضبط الحلقة التي يكون فيها المستخدمون أكثر عرضة للاسترخاء في اليقظة.
في حالة A الصغيرة، يكمن المفتاح في استغلال المتسلل لدالة Permit في عقد Permit2. تسمح هذه الدالة بنقل حدود توكن المستخدم المصرح به إلى Permit2 إلى عناوين أخرى من خلال التوقيع. بعبارة أخرى، ما دام المتسلل يحصل على توقيع المستخدم، يمكنه التحكم في توكنات المحفظة الخاصة بالمستخدم.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp)
تدابير وقائية
نظرًا لأن Permit2 قد يصبح أكثر شيوعًا في المستقبل، إليك بعض الاقتراحات الفعالة للوقاية:
تعلم كيفية التعرف على تنسيق توقيع التصريح. عادة ما يحتوي توقيع التصريح على معلومات رئيسية مثل المالك، المنفق، القيمة، الرقم التسلسلي، والمواعيد النهائية. يمكن أن تساعد الإضافات الآمنة في التعرف عليها.
فصل تخزين الأصول والمحفظة التفاعلية. يجب تخزين الأصول الكبيرة في محفظة باردة، بينما تحتفظ المحفظة التفاعلية بمبلغ صغير فقط، مما يمكن أن يقلل بشكل كبير من مخاطر الخسارة.
تقييد حدود التفويض أو إلغاء التفويض. عند التفاعل، يتم تفويض المبلغ المطلوب فقط، على الرغم من أنه قد يزيد بعض التكاليف، لكنه يمكن أن يتجنب التعرض للاحتيال بتوقيع Permit2. يمكن إلغاء التفويضات الممنوحة من خلال المكونات الإضافية الآمنة.
معرفة ما إذا كانت الرموز المميزة التي تمتلكها تدعم وظيفة الإذن. يجب توخي الحذر بشكل خاص عند تداول الرموز المميزة التي تدعم هذه الوظيفة، والتحقق بدقة من كل توقيع غير معروف.
وضع خطة طوارئ. إذا تم اكتشاف الخداع ولكن لا يزال هناك أصول على منصات أخرى، يجب وضع خطة إنقاذ الأصول بسرعة وبشكل كامل، يمكن النظر في استخدام نقل MEV أو طلب المساعدة من فريق أمان محترف.
مع توسع نطاق تطبيق Permit2، قد تزداد أساليب الاحتيال القائمة على ذلك. تعتبر هذه الطريقة في التوقيع الاحتيالي خفية للغاية وصعبة الحماية، ونأمل أن يتعرف المزيد من الناس على المخاطر ذات الصلة، ويزيدوا من اليقظة، ويتجنبوا التعرض للخسائر.