Piège de signature caché - Dévoilement de l'eyewash Permit2 de Uniswap

Dans l'écosystème Web3, les hackers sont une présence qui inquiète à la fois les projets et les utilisateurs ordinaires. En raison de l'irréversibilité de la blockchain, une fois que des actifs sont volés, il est presque impossible de les récupérer, donc posséder des connaissances en sécurité est crucial pour chaque participant du monde de la cryptographie.

Récemment, un nouveau type de méthode de phishing a commencé à être actif, où il suffit de signer pour risquer de voir ses actifs volés, la méthode étant extrêmement discrète et difficile à prévenir. Plus inquiétant encore, toutes les adresses ayant interagi avec un certain DEX pourraient être exposées à ce risque. Cet article analysera en profondeur le principe de cette méthode de phishing par signature et les mesures de prévention.

Événement

L'affaire provient d'un incident de vol d'actifs d'un ami, (, petit A, ). Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée et n'a pas interagi avec des sites ou contrats suspects. Grâce à un explorateur de blockchain, on peut voir que les USDT dans le portefeuille de petit A ont été transférés via la fonction Transfer From, ce qui signifie qu'une adresse tierce a opéré le transfert d'actifs, et non pas une fuite de la clé privée du portefeuille.

Une enquête plus approfondie sur les détails de la transaction révèle :

• Une adresse se terminant par fd51 a transféré les actifs de Xiao A vers une autre adresse.
• Cette opération interagit avec le contrat Permit2 de某DEX.

La question clé est de savoir comment l'adresse fd51 a obtenu les droits d'opération sur les actifs de A? Pourquoi est-elle liée à un contrat de DEX?

Analyse des techniques de pêche

Pour comprendre cette méthode de phishing, nous devons d'abord comprendre le rôle du contrat Permit2. Permit2 est un contrat d'approbation de jetons lancé par un DEX à la fin de 2022, visant à permettre à différentes applications de partager et de gérer les autorisations de jetons, créant ainsi une expérience utilisateur plus unifiée, plus rentable et plus sécurisée.

Dans les méthodes d'interaction traditionnelles, les utilisateurs doivent autoriser séparément chaque interaction avec différents DApp. Avec Permit2 agissant en tant qu'intermédiaire, les utilisateurs n'ont besoin d'autoriser les tokens qu'au contrat Permit2, et tous les DApp intégrant Permit2 peuvent partager ce quota d'autorisation. Cela réduit considérablement le coût d'interaction des utilisateurs et améliore l'expérience.

Cependant, Permit2 entraîne également de nouveaux risques. Il a déplacé les opérations des utilisateurs de l'interaction sur la chaîne vers la signature hors chaîne, et toutes les opérations sur la chaîne sont effectuées par un rôle intermédiaire ( tel que le contrat Permit2 ). Bien que cette solution soit pratique, la signature hors chaîne est justement le moment où les utilisateurs sont les plus susceptibles de baisser leur garde.

Dans le cas de Xiao A, la clé réside dans le fait que le hacker utilise la fonction Permit du contrat Permit2. Cette fonction permet de transférer le montant de Token autorisé par l'utilisateur à Permit2 vers d'autres adresses via une signature. Autrement dit, tant que le hacker obtient la signature de l'utilisateur, il peut contrôler les Tokens dans le portefeuille de l'utilisateur.

Mesures de prévention

Compte tenu de la possible généralisation future de Permit2, voici quelques conseils efficaces de prévention :

1. Apprenez à reconnaître le format de signature Permit. La signature Permit contient généralement des informations clés telles que l'Owner, le Spender, la valeur, le nonce et la date limite. Utiliser un plugin de sécurité peut aider à les identifier.

2. Séparer le stockage des actifs et le portefeuille d'interaction. Conservez les actifs importants dans un portefeuille froid, le portefeuille d'interaction ne doit conserver qu'une petite quantité de fonds, ce qui peut réduire considérablement le risque de perte.

3. Limiter le montant d'autorisation ou annuler l'autorisation. En n'autorisant que le montant nécessaire lors des interactions, bien que cela puisse augmenter certains coûts, cela peut éviter de subir des attaques de phishing par signature Permit2. Les autorisations accordées peuvent être annulées via des plugins de sécurité.

4. Vérifiez si les jetons que vous détenez supportent la fonction de permis. Soyez particulièrement prudent lors des transactions avec des jetons qui supportent cette fonction, et vérifiez rigoureusement chaque signature inconnue.

5. Élaborer un plan d'urgence. Si vous découvrez que vous avez été victime d'un eyewash mais que vous avez encore des actifs sur d'autres plateformes, il est nécessaire d'élaborer rapidement un plan de sauvetage des actifs. Vous pouvez envisager d'utiliser le transfert MEV ou de demander l'aide d'une équipe de sécurité professionnelle.

Avec l'expansion de l'application Permit2, les méthodes de phishing basées sur celle-ci pourraient devenir de plus en plus nombreuses. Ce type de phishing par signature est extrêmement furtif et difficile à prévenir, j'espère que davantage de personnes prendront conscience des risques associés, resteront vigilantes et éviteront de subir des pertes.