¿Te roban solo por firmar? Revelando el Lavado de ojos de firma de Uniswap Permit2
Los hackers son una presencia temida en el ecosistema Web3. Para los desarrolladores de proyectos, el código abierto significa que cualquier error puede ser explotado, y las consecuencias de un incidente de seguridad pueden ser graves. Para los usuarios individuales, no comprender el significado de las operaciones puede llevar al robo de activos. La naturaleza irreversible de la blockchain hace que sea difícil recuperar los activos robados, por lo que el conocimiento de seguridad es especialmente importante.
Recientemente, ha comenzado a activarse un nuevo tipo de técnica de phishing, que puede ser robada solo con una firma, y su método es sutil y difícil de prevenir. Cualquier dirección que haya interactuado con algún DEX puede estar en riesgo. Este artículo proporcionará información sobre esta técnica de phishing por firma para evitar mayores pérdidas de activos.
El evento se originó a partir de que un amigo (, pequeño A ), tuvo sus activos robados. A diferencia de los métodos comunes de robo, pequeño A no reveló su clave privada ni interactuó con un contrato de phishing. La investigación reveló que los USDT de pequeño A fueron transferidos a través de la función Transfer From, lo que significa que otra dirección realizó la transferencia del Token.
La clave es:
Una dirección transfiere activos de A a otra dirección
Interactuar con el contrato Permit2 de algún DEX
La duda radica en cómo esa dirección obtuvo permisos de activo y por qué está relacionada con un DEX.
Una investigación adicional reveló que, antes de transferir activos, la dirección realizó una operación de Permit, y los objetos de interacción eran todos contratos Permit2 de un determinado DEX. Permit2 es un nuevo contrato que este DEX lanzó a finales de 2022, diseñado para lograr la gestión compartida de autorización de tokens entre aplicaciones.
El objetivo de Permit2 es simplificar el proceso de interacción del usuario y reducir los costos de Gas. De manera tradicional, los usuarios debían autorizar cada Dapp por separado, mientras que Permit2 puede omitir este paso. Actúa como intermediario entre el usuario y las Dapps, permitiendo que el usuario solo autorice a Permit2, y todas las Dapps integradas pueden compartir la autorización.
Este método, aunque mejora la experiencia del usuario, también conlleva riesgos. Permit2 convierte las operaciones del usuario en firmas fuera de la cadena, y todas las operaciones en la cadena son realizadas por un intermediario. Esto permite que los usuarios, incluso sin ETH, puedan utilizar otros tokens para pagar el Gas o que el intermediario asuma este costo.
Sin embargo, la firma fuera de la cadena es el paso más fácil de pasar por alto. Muchos usuarios no revisan detenidamente el contenido de la firma al conectar con Dapp, que es precisamente el lugar más peligroso.
La clave del incidente de Xiao A radica en la función Permit. Esta función permite a los usuarios firmar por adelantado un "contrato", autorizando a otros a usar su Token en el futuro. Tan pronto como se obtiene la firma del usuario, el atacante puede transferir el monto del Token que el usuario ha autorizado a Permit2.
Cabe destacar que ciertos DEX solicitan un límite de autorización infinito por defecto en Permit2. Esto significa que los usuarios que interactúan con ese DEX y autorizan Permit2 después de 2023 podrían enfrentar riesgos.
Sugerencias de prevención:
Aprender a reconocer el formato de firma de Permit
Separar el almacenamiento de activos y la billetera de interacción
Limitar el monto autorizado a Permit2 o cancelar la autorización a tiempo
Comprender si el Token que posee admite la función permit
Elaborar un plan de rescate de activos completo
Con la expansión del alcance de la aplicación Permit2, es posible que aumenten las técnicas de phishing relacionadas. Este tipo de phishing por firma es extremadamente sigiloso y difícil de prevenir, y cada vez hay más direcciones expuestas al riesgo. Espero que los lectores puedan difundir esta información a más personas para evitar más pérdidas de activos.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Amenaza de phishing con firma de nueva generación: riesgos de autorización de Permit2 y guía de prevención
¿Te roban solo por firmar? Revelando el Lavado de ojos de firma de Uniswap Permit2
Los hackers son una presencia temida en el ecosistema Web3. Para los desarrolladores de proyectos, el código abierto significa que cualquier error puede ser explotado, y las consecuencias de un incidente de seguridad pueden ser graves. Para los usuarios individuales, no comprender el significado de las operaciones puede llevar al robo de activos. La naturaleza irreversible de la blockchain hace que sea difícil recuperar los activos robados, por lo que el conocimiento de seguridad es especialmente importante.
Recientemente, ha comenzado a activarse un nuevo tipo de técnica de phishing, que puede ser robada solo con una firma, y su método es sutil y difícil de prevenir. Cualquier dirección que haya interactuado con algún DEX puede estar en riesgo. Este artículo proporcionará información sobre esta técnica de phishing por firma para evitar mayores pérdidas de activos.
El evento se originó a partir de que un amigo (, pequeño A ), tuvo sus activos robados. A diferencia de los métodos comunes de robo, pequeño A no reveló su clave privada ni interactuó con un contrato de phishing. La investigación reveló que los USDT de pequeño A fueron transferidos a través de la función Transfer From, lo que significa que otra dirección realizó la transferencia del Token.
La clave es:
La duda radica en cómo esa dirección obtuvo permisos de activo y por qué está relacionada con un DEX.
Una investigación adicional reveló que, antes de transferir activos, la dirección realizó una operación de Permit, y los objetos de interacción eran todos contratos Permit2 de un determinado DEX. Permit2 es un nuevo contrato que este DEX lanzó a finales de 2022, diseñado para lograr la gestión compartida de autorización de tokens entre aplicaciones.
El objetivo de Permit2 es simplificar el proceso de interacción del usuario y reducir los costos de Gas. De manera tradicional, los usuarios debían autorizar cada Dapp por separado, mientras que Permit2 puede omitir este paso. Actúa como intermediario entre el usuario y las Dapps, permitiendo que el usuario solo autorice a Permit2, y todas las Dapps integradas pueden compartir la autorización.
Este método, aunque mejora la experiencia del usuario, también conlleva riesgos. Permit2 convierte las operaciones del usuario en firmas fuera de la cadena, y todas las operaciones en la cadena son realizadas por un intermediario. Esto permite que los usuarios, incluso sin ETH, puedan utilizar otros tokens para pagar el Gas o que el intermediario asuma este costo.
Sin embargo, la firma fuera de la cadena es el paso más fácil de pasar por alto. Muchos usuarios no revisan detenidamente el contenido de la firma al conectar con Dapp, que es precisamente el lugar más peligroso.
La clave del incidente de Xiao A radica en la función Permit. Esta función permite a los usuarios firmar por adelantado un "contrato", autorizando a otros a usar su Token en el futuro. Tan pronto como se obtiene la firma del usuario, el atacante puede transferir el monto del Token que el usuario ha autorizado a Permit2.
Cabe destacar que ciertos DEX solicitan un límite de autorización infinito por defecto en Permit2. Esto significa que los usuarios que interactúan con ese DEX y autorizan Permit2 después de 2023 podrían enfrentar riesgos.
Sugerencias de prevención:
Con la expansión del alcance de la aplicación Permit2, es posible que aumenten las técnicas de phishing relacionadas. Este tipo de phishing por firma es extremadamente sigiloso y difícil de prevenir, y cada vez hay más direcciones expuestas al riesgo. Espero que los lectores puedan difundir esta información a más personas para evitar más pérdidas de activos.