هل تم سرقة التوقيع؟ كشف خدعة توقيع Uniswap Permit2
القراصنة هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمطوري المشاريع، فإن شيفرة المصدر المفتوحة تعني أن أي خطأ قد يتم استغلاله، وعواقب الحوادث الأمنية خطيرة. بالنسبة للمستخدمين الأفراد، فإن عدم فهم معنى العمليات يمكن أن يؤدي إلى سرقة الأصول. إن خاصية عدم القابلية للعكس في blockchain تجعل من الصعب استرداد الأصول المسروقة، لذلك تعتبر المعرفة الأمنية ذات أهمية خاصة.
مؤخراً، بدأت طريقة جديدة للصيد النصب تنشط، حيث يمكن أن تتعرض للسرقة بمجرد التوقيع، وتكون الطريقة مخفية وصعبة الدفاع. أي عنوان استخدم تفاعلات مع DEX قد يواجه مخاطر. ستقوم هذه المقالة بتثقيف القارئ حول هذه الطريقة في الصيد النصب لتجنب المزيد من خسائر الأصول.
الحدث نشأ من سرقة أصول صديق (小A). على عكس طرق السرقة الشائعة، لم يكشف 小A عن مفتاحه الخاص ولم يتفاعل مع عقد تصيد. أظهرت التحقيقات أن USDT الخاص بـ 小A تم نقله من خلال وظيفة Transfer From، مما يعني أن عنوانًا آخر قام بعملية نقل الرموز.
الخطوط الرئيسية هي:
تم نقل أصول A الصغيرة من عنوان إلى عنوان آخر
التفاعل مع عقد Permit2 الخاص بـ DEX معين
تتمثل النقطة المثيرة للشك في كيفية حصول هذا العنوان على صلاحيات الأصول، ولماذا يرتبط ببعض منصات التداول اللامركزية.
أظهرت التحقيقات الإضافية أنه قبل نقل الأصول، أجرت العنوان عملية تصريح، وكانت الكائنات التفاعلية هي عقد Permit2 الخاص بـ DEX معين. Permit2 هو عقد جديد أطلقه هذا DEX في نهاية عام 2022، ويهدف إلى تحقيق إدارة مشاركة تفويض التوكن عبر التطبيقات.
الهدف من Permit2 هو تبسيط عمليات تفاعل المستخدم وتقليل تكاليف الغاز. في الطريقة التقليدية، يحتاج المستخدم إلى تفويض كل تطبيق لامركزي على حدة، بينما يمكن لـ Permit2 تجاوز هذه الخطوة. يعمل كوسيط بين المستخدم وDapp، حيث يحتاج المستخدم فقط إلى التفويض لـ Permit2، ويمكن لجميع Dapps المدمجة مشاركة التفويض.
على الرغم من أن هذه الطريقة تعزز تجربة المستخدم، إلا أنها تأتي أيضًا مع مخاطر. تحول Permit2 عمليات المستخدم إلى توقيعات خارج السلسلة، ويتم تنفيذ جميع العمليات على السلسلة بواسطة دور الوسيط. وهذا يعني أن المستخدم يمكنه استخدام رموز أخرى لدفع رسوم الغاز حتى لو لم يكن لديه ETH، أو يمكن أن يتحملها دور الوسيط.
ومع ذلك، فإن التوقيع خارج السلسلة هو المرحلة الأكثر إغفالًا. العديد من المستخدمين لا يتحققون بدقة من محتوى التوقيع عند الاتصال بـ Dapp، وهذه هي النقطة الأكثر خطورة.
تتمثل النقطة الرئيسية في حدث小A في دالة Permit. تتيح هذه الدالة للمستخدمين توقيع "عقد" مسبقًا، مما يمنح الآخرين الإذن باستخدام توكناتهم في المستقبل. بمجرد الحصول على توقيع المستخدم، يمكن للمهاجمين تحويل مقدار توكن المستخدم المصرح به إلى Permit2.
من الجدير بالذكر أن بعض DEXs تطلب إذن 2 بمبلغ تفويض غير محدود بشكل افتراضي. هذا يعني أن المستخدمين الذين يتفاعلون مع هذا DEX ويمنحون إذن 2 بعد عام 2023 قد يواجهون مخاطر.
نصائح للوقاية:
تعلم كيفية التعرف على تنسيق توقيع التصريح
فصل تخزين الأصول عن محفظة التفاعل
تقييد المبلغ المصرح به لـ Permit2 أو إلغاء التفويض في الوقت المناسب
معرفة ما إذا كان التوكن الذي تمتلكه يدعم ميزة التصريح
وضع خطة إنقاذ أصول متكاملة
مع توسع نطاق تطبيق Permit2، قد تزداد أساليب الاحتيال ذات الصلة. هذه الطريقة في الاحتيال بالتوقيع خفية للغاية وصعبة الحماية، وستكون هناك المزيد من العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المعلومات لأكبر عدد ممكن من الناس، لتجنب المزيد من خسائر الأصول.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تهديدات جديدة لصيد الأسماك بالتوقيع: مخاطر تفويض Permit2 وأدلة الحماية
هل تم سرقة التوقيع؟ كشف خدعة توقيع Uniswap Permit2
القراصنة هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمطوري المشاريع، فإن شيفرة المصدر المفتوحة تعني أن أي خطأ قد يتم استغلاله، وعواقب الحوادث الأمنية خطيرة. بالنسبة للمستخدمين الأفراد، فإن عدم فهم معنى العمليات يمكن أن يؤدي إلى سرقة الأصول. إن خاصية عدم القابلية للعكس في blockchain تجعل من الصعب استرداد الأصول المسروقة، لذلك تعتبر المعرفة الأمنية ذات أهمية خاصة.
مؤخراً، بدأت طريقة جديدة للصيد النصب تنشط، حيث يمكن أن تتعرض للسرقة بمجرد التوقيع، وتكون الطريقة مخفية وصعبة الدفاع. أي عنوان استخدم تفاعلات مع DEX قد يواجه مخاطر. ستقوم هذه المقالة بتثقيف القارئ حول هذه الطريقة في الصيد النصب لتجنب المزيد من خسائر الأصول.
الحدث نشأ من سرقة أصول صديق (小A). على عكس طرق السرقة الشائعة، لم يكشف 小A عن مفتاحه الخاص ولم يتفاعل مع عقد تصيد. أظهرت التحقيقات أن USDT الخاص بـ 小A تم نقله من خلال وظيفة Transfer From، مما يعني أن عنوانًا آخر قام بعملية نقل الرموز.
الخطوط الرئيسية هي:
تتمثل النقطة المثيرة للشك في كيفية حصول هذا العنوان على صلاحيات الأصول، ولماذا يرتبط ببعض منصات التداول اللامركزية.
أظهرت التحقيقات الإضافية أنه قبل نقل الأصول، أجرت العنوان عملية تصريح، وكانت الكائنات التفاعلية هي عقد Permit2 الخاص بـ DEX معين. Permit2 هو عقد جديد أطلقه هذا DEX في نهاية عام 2022، ويهدف إلى تحقيق إدارة مشاركة تفويض التوكن عبر التطبيقات.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp)
الهدف من Permit2 هو تبسيط عمليات تفاعل المستخدم وتقليل تكاليف الغاز. في الطريقة التقليدية، يحتاج المستخدم إلى تفويض كل تطبيق لامركزي على حدة، بينما يمكن لـ Permit2 تجاوز هذه الخطوة. يعمل كوسيط بين المستخدم وDapp، حيث يحتاج المستخدم فقط إلى التفويض لـ Permit2، ويمكن لجميع Dapps المدمجة مشاركة التفويض.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp)
على الرغم من أن هذه الطريقة تعزز تجربة المستخدم، إلا أنها تأتي أيضًا مع مخاطر. تحول Permit2 عمليات المستخدم إلى توقيعات خارج السلسلة، ويتم تنفيذ جميع العمليات على السلسلة بواسطة دور الوسيط. وهذا يعني أن المستخدم يمكنه استخدام رموز أخرى لدفع رسوم الغاز حتى لو لم يكن لديه ETH، أو يمكن أن يتحملها دور الوسيط.
ومع ذلك، فإن التوقيع خارج السلسلة هو المرحلة الأكثر إغفالًا. العديد من المستخدمين لا يتحققون بدقة من محتوى التوقيع عند الاتصال بـ Dapp، وهذه هي النقطة الأكثر خطورة.
تتمثل النقطة الرئيسية في حدث小A في دالة Permit. تتيح هذه الدالة للمستخدمين توقيع "عقد" مسبقًا، مما يمنح الآخرين الإذن باستخدام توكناتهم في المستقبل. بمجرد الحصول على توقيع المستخدم، يمكن للمهاجمين تحويل مقدار توكن المستخدم المصرح به إلى Permit2.
من الجدير بالذكر أن بعض DEXs تطلب إذن 2 بمبلغ تفويض غير محدود بشكل افتراضي. هذا يعني أن المستخدمين الذين يتفاعلون مع هذا DEX ويمنحون إذن 2 بعد عام 2023 قد يواجهون مخاطر.
نصائح للوقاية:
مع توسع نطاق تطبيق Permit2، قد تزداد أساليب الاحتيال ذات الصلة. هذه الطريقة في الاحتيال بالتوقيع خفية للغاية وصعبة الحماية، وستكون هناك المزيد من العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المعلومات لأكبر عدد ممكن من الناس، لتجنب المزيد من خسائر الأصول.
! [التوقيع مسروق؟] إزالة الغموض عن Uniswap Permit2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp)
! [التوقيع مسروق؟] إزالة الغموض عن Uniswap Permit2 Signature Phishing Scam](https://img-cdn.gateio.im/webp-social/moments-c2d0bc61729aaca413737ac667eaf7d5.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-4fdf03afb062f8f5d531cca3cd6330cc.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-47d14fc32e8b79f43a5a64146a1b355a.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-1ce5ef8966b9fc2d1101ba341faad70d.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-3c5d855a6c3bc51a57a4a17fe28b2657.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-b80025f211f7c0ef6371b6bd1a309ebc.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-1b868982a90873ccc2af4ad8c5e4f1ff.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd.webp)
! [التوقيع مسروق؟] إزالة الغموض عن عملية احتيال التصيد الاحتيالي Uniswap Permit2](https://img-cdn.gateio.im/webp-social/moments-fad2e7cbe2aaf3d695362fca4640ff4f.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-0030f2fe9e740084b05db9e08c389be7.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-9e636d675ee5c6c6e57ed6022fce956a.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-8961f519f6452dbcd4876e0135b0cb64.webp)