Trampa de firma oculta - Revelando el Lavado de ojos de Uniswap Permit2

En el ecosistema Web3, los hackers siempre han sido una presencia que mantiene a los proyectos y a los usuarios comunes en tensión. Debido a la irreversibilidad de la blockchain, una vez que los activos son robados, es casi imposible recuperarlos, por lo que poseer conocimientos de seguridad es crucial para cada participante del mundo cripto.

Recientemente, ha comenzado a activarse un nuevo tipo de técnica de phishing que puede llevar al robo de activos con solo una firma; es extremadamente sutil y difícil de prevenir. Lo que es aún más preocupante es que todas las direcciones que han interactuado con un DEX pueden estar expuestas a este riesgo. Este artículo analizará en profundidad los principios de esta técnica de phishing por firma y las medidas de prevención.

Desarrollo del evento

La situación comenzó con un incidente de robo de activos de un amigo, (, llamado pequeño A, ). A diferencia de los métodos de robo comunes, pequeño A no filtró su clave privada, ni interactuó con sitios web o contratos sospechosos. A través del explorador de blockchain se puede ver que los USDT en la billetera de pequeño A fueron transferidos mediante la función Transfer From, lo que significa que una dirección de terceros operó la transferencia de activos, y no se trató de una filtración de la clave privada de la billetera.

Se descubrió en la consulta adicional de los detalles de la transacción:

• Una dirección que termina en fd51 transfirió los activos de Xiao A a otra dirección
• Esta operación interactúa con el contrato Permit2 de algún DEX.

La pregunta clave es, ¿cómo obtuvo la dirección fd51 los permisos de operación para los activos de Xiao A? ¿Por qué está relacionada con el contrato de algún DEX?

Análisis de técnicas de pesca

Para entender esta técnica de phishing, primero necesitamos comprender la función del contrato Permit2. Permit2 es un contrato de aprobación de tokens lanzado por un DEX a finales de 2022, con el objetivo de permitir que diferentes aplicaciones compartan y gestionen la autorización de tokens, creando así una experiencia de usuario más unificada, rentable y segura.

Bajo el modo de interacción tradicional, los usuarios deben autorizar por separado cada vez que interactúan con diferentes DApps. Sin embargo, Permit2 actúa como intermediario, permitiendo que los usuarios solo autoricen el Token al contrato de Permit2, y todas las DApps que integren Permit2 pueden compartir este límite de autorización. Esto reduce significativamente el costo de interacción para los usuarios y mejora la experiencia.

Sin embargo, Permit2 también ha traído nuevos riesgos. Ha transformado las operaciones de los usuarios de interacciones en cadena a firmas fuera de la cadena, y todas las operaciones en cadena son realizadas por un actor intermedio ( como el contrato Permit2 ). Aunque esta solución es conveniente, la firma fuera de la cadena es precisamente el punto donde los usuarios son más propensos a bajar la guardia.

En el caso de Xiao A, la clave radica en que el hacker utiliza la función Permit del contrato Permit2. Esta función permite transferir la cantidad de tokens autorizados por el usuario a Permit2 a otra dirección mediante una firma. Es decir, siempre que se obtenga la firma del usuario, el hacker puede manipular los tokens en la billetera del usuario.

Medidas de prevención

Considerando que Permit2 podría volverse más común en el futuro, aquí hay algunas recomendaciones efectivas de prevención:

1. Aprende a identificar el formato de firma de Permit. Las firmas de Permit suelen contener información clave como Owner, Spender, value, nonce y deadline. Usar un complemento de seguridad puede ayudar a identificarlos.

2. Separar el almacenamiento de activos y la cartera de interacción. Almacenar grandes cantidades de activos en una cartera fría, mientras que la cartera de interacción solo debe contener una pequeña cantidad de fondos, puede reducir significativamente el riesgo de pérdidas.

3. Limitar el monto de autorización o cancelar la autorización. Al interactuar, solo autorice la cantidad necesaria; aunque esto aumentará algunos costos, puede evitar ser víctima de un Lavado de ojos de firma de Permit2. Lo autorizado se puede cancelar a través de un complemento de seguridad.

4. Verifique si los tokens que posee admiten la función de permiso. Sea especialmente cauteloso con las transacciones de tokens que admiten esta función y verifique estrictamente cada firma desconocida.

5. Elabore un plan de emergencia. Si descubre que ha sido víctima de un Lavado de ojos pero aún tiene activos en otras plataformas, debe elaborar rápidamente un plan de rescate de activos completo, considerando la posibilidad de utilizar la transferencia MEV o buscar la asistencia de un equipo de seguridad profesional.

Con la expansión del alcance de Permit2, es posible que surjan más métodos de pesca basados en esto. Este tipo de pesca con firma es extremadamente sigilosa y difícil de prevenir, se espera que más personas conozcan los riesgos asociados, aumenten su vigilancia y eviten sufrir pérdidas.