Signature volée ? Dévoilement des arnaques de phishing liées à la signature Permit2 d'Uniswap
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les équipes de projet, le code open source signifie que toute erreur peut être exploitée, et les conséquences d'un incident de sécurité peuvent être graves. Pour les utilisateurs individuels, ne pas comprendre la signification des opérations peut entraîner le vol d'actifs. La nature irréversible de la blockchain rend la récupération des actifs volés difficile, ce qui rend les connaissances en matière de sécurité particulièrement importantes.
Récemment, une nouvelle méthode de phishing a commencé à se répandre, il suffit de signer pour risquer de se faire voler, la technique étant discrète et difficile à prévenir. Les adresses ayant interagi avec un certain DEX pourraient toutes être exposées à des risques. Cet article va vulgariser cette méthode de phishing par signature, afin d'éviter d'autres pertes d'actifs.
L'incident a commencé lorsqu'un ami (, petit A), a eu ses actifs volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée et n'a pas interagi avec des contrats de phishing. L'enquête a révélé que les USDT de petit A ont été transférés via la fonction Transfer From, ce qui signifie qu'une autre adresse a opéré le transfert du Token.
La clé est :
Une adresse transfère les actifs de A à une autre adresse
Interagir avec le contrat Permit2 de certains DEX
Le doute réside dans la manière dont cette adresse a obtenu des droits d'accès aux actifs, ainsi que dans son lien avec un certain DEX.
Une enquête plus approfondie a révélé que, avant de transférer des actifs, cette adresse avait effectué une opération de Permit, les objets d'interaction étant tous des contrats Permit2 de ce DEX. Permit2 est un nouveau contrat lancé par ce DEX à la fin de 2022, visant à réaliser une gestion partagée d'autorisation de Token entre applications.
L'objectif de Permit2 est de simplifier le processus d'interaction des utilisateurs et de réduire les coûts de Gas. Dans la méthode traditionnelle, les utilisateurs doivent autoriser chaque Dapp individuellement, tandis que Permit2 élimine cette étape. Il agit en tant qu'intermédiaire entre l'utilisateur et les Dapp, permettant à l'utilisateur d'autoriser uniquement Permit2, et toutes les Dapp intégrées peuvent partager cette autorisation.
Bien que cette méthode améliore l'expérience utilisateur, elle présente également des risques. Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations sur la chaîne étant effectuées par un intermédiaire. Cela permet aux utilisateurs de payer le Gas avec d'autres tokens, même s'ils n'ont pas d'ETH, ou d'être pris en charge par un intermédiaire.
Cependant, la signature hors chaîne est l'étape la plus facilement négligée. De nombreux utilisateurs ne vérifient pas attentivement le contenu de la signature lorsqu'ils se connectent à une Dapp, c'est justement là que réside le danger.
L'élément clé de l'événement de Xiao A réside dans la fonction Permit. Cette fonction permet aux utilisateurs de signer à l'avance un "contrat", autorisant d'autres à utiliser leurs Token à l'avenir. Tant que l'attaquant obtient la signature de l'utilisateur, il peut transférer le montant de Token autorisé à Permit2.
Il est à noter que le Permit2 d'un certain DEX demande par défaut un montant d'autorisation illimité. Cela signifie que les utilisateurs interagissant avec ce DEX et autorisant le Permit2 après 2023 pourraient être exposés à des risques.
Conseils de prévention:
Apprenez à reconnaître le format de signature de Permit
Séparer le stockage des actifs et le portefeuille d'interaction
Limiter le montant autorisé à Permit2 ou annuler l'autorisation en temps utile.
Vérifiez si le Token que vous détenez prend en charge la fonction permit.
Établir un plan de sauvetage des actifs complet
Avec l'expansion de l'application Permit2, les méthodes de phishing associées pourraient augmenter. Ce type de phishing par signature est extrêmement furtif et difficile à prévenir, de plus en plus d'adresses seront exposées à des risques. J'espère que les lecteurs pourront transmettre cette information à davantage de personnes afin d'éviter d'autres pertes d'actifs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
1
Partager
Commentaire
0/400
MetaverseLandlord
· 07-23 17:12
Envoyez de l'argent, envoyez de l'argent, c'est vraiment mortel.
Nouveau type de menace de phishing par signature : Risques d'autorisation Permit2 et guide de prévention
Signature volée ? Dévoilement des arnaques de phishing liées à la signature Permit2 d'Uniswap
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les équipes de projet, le code open source signifie que toute erreur peut être exploitée, et les conséquences d'un incident de sécurité peuvent être graves. Pour les utilisateurs individuels, ne pas comprendre la signification des opérations peut entraîner le vol d'actifs. La nature irréversible de la blockchain rend la récupération des actifs volés difficile, ce qui rend les connaissances en matière de sécurité particulièrement importantes.
Récemment, une nouvelle méthode de phishing a commencé à se répandre, il suffit de signer pour risquer de se faire voler, la technique étant discrète et difficile à prévenir. Les adresses ayant interagi avec un certain DEX pourraient toutes être exposées à des risques. Cet article va vulgariser cette méthode de phishing par signature, afin d'éviter d'autres pertes d'actifs.
L'incident a commencé lorsqu'un ami (, petit A), a eu ses actifs volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée et n'a pas interagi avec des contrats de phishing. L'enquête a révélé que les USDT de petit A ont été transférés via la fonction Transfer From, ce qui signifie qu'une autre adresse a opéré le transfert du Token.
La clé est :
Le doute réside dans la manière dont cette adresse a obtenu des droits d'accès aux actifs, ainsi que dans son lien avec un certain DEX.
Une enquête plus approfondie a révélé que, avant de transférer des actifs, cette adresse avait effectué une opération de Permit, les objets d'interaction étant tous des contrats Permit2 de ce DEX. Permit2 est un nouveau contrat lancé par ce DEX à la fin de 2022, visant à réaliser une gestion partagée d'autorisation de Token entre applications.
L'objectif de Permit2 est de simplifier le processus d'interaction des utilisateurs et de réduire les coûts de Gas. Dans la méthode traditionnelle, les utilisateurs doivent autoriser chaque Dapp individuellement, tandis que Permit2 élimine cette étape. Il agit en tant qu'intermédiaire entre l'utilisateur et les Dapp, permettant à l'utilisateur d'autoriser uniquement Permit2, et toutes les Dapp intégrées peuvent partager cette autorisation.
Bien que cette méthode améliore l'expérience utilisateur, elle présente également des risques. Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations sur la chaîne étant effectuées par un intermédiaire. Cela permet aux utilisateurs de payer le Gas avec d'autres tokens, même s'ils n'ont pas d'ETH, ou d'être pris en charge par un intermédiaire.
Cependant, la signature hors chaîne est l'étape la plus facilement négligée. De nombreux utilisateurs ne vérifient pas attentivement le contenu de la signature lorsqu'ils se connectent à une Dapp, c'est justement là que réside le danger.
L'élément clé de l'événement de Xiao A réside dans la fonction Permit. Cette fonction permet aux utilisateurs de signer à l'avance un "contrat", autorisant d'autres à utiliser leurs Token à l'avenir. Tant que l'attaquant obtient la signature de l'utilisateur, il peut transférer le montant de Token autorisé à Permit2.
Il est à noter que le Permit2 d'un certain DEX demande par défaut un montant d'autorisation illimité. Cela signifie que les utilisateurs interagissant avec ce DEX et autorisant le Permit2 après 2023 pourraient être exposés à des risques.
Conseils de prévention:
Avec l'expansion de l'application Permit2, les méthodes de phishing associées pourraient augmenter. Ce type de phishing par signature est extrêmement furtif et difficile à prévenir, de plus en plus d'adresses seront exposées à des risques. J'espère que les lecteurs pourront transmettre cette information à davantage de personnes afin d'éviter d'autres pertes d'actifs.