Jerat Tanda Tangan Tersembunyi - Mengungkap Penipuan Uniswap Permit2

Dalam ekosistem Web3, peretas selalu menjadi keberadaan yang membuat pihak proyek dan pengguna biasa merasa cemas. Karena sifat blockchain yang tidak dapat diubah, begitu aset dicuri hampir tidak mungkin untuk dipulihkan, oleh karena itu memiliki pengetahuan keamanan sangat penting bagi setiap peserta di dunia kripto.

Baru-baru ini, sebuah metode phishing baru mulai aktif, yang hanya memerlukan tanda tangan dan dapat mengakibatkan pencurian aset, dengan cara yang sangat tersembunyi dan sulit untuk dicegah. Yang lebih mengkhawatirkan adalah semua alamat yang pernah berinteraksi dengan suatu DEX mungkin terpapar pada risiko ini. Artikel ini akan menganalisis secara mendalam prinsip metode phishing tanda tangan ini dan langkah-langkah pencegahannya.

Kronologi Kejadian

Kejadian ini berawal dari insiden pencurian aset seorang teman (, si A kecil ). Berbeda dengan cara pencurian yang umum, si A kecil tidak membocorkan kunci pribadi, dan juga tidak berinteraksi dengan situs atau kontrak yang mencurigakan. Melalui penjelajah blockchain, dapat dilihat bahwa USDT di dompet si A kecil dipindahkan melalui fungsi Transfer From, yang berarti bahwa alamat pihak ketiga yang mengoperasikan pemindahan aset, bukan kebocoran kunci pribadi dompet.

Lebih lanjut memeriksa detail transaksi ditemukan:

• Sebuah alamat dengan nomor akhir fd51 telah memindahkan aset kecil A ke alamat lain
• Operasi ini berinteraksi dengan kontrak Permit2 dari suatu DEX.

Masalah kunci adalah, bagaimana alamat fd51 mendapatkan hak operasional atas aset kecil A? Mengapa itu terkait dengan kontrak DEX tertentu?

Analisis Teknik Memancing

Untuk memahami teknik phishing ini, kita perlu terlebih dahulu memahami fungsi kontrak Permit2. Permit2 adalah kontrak persetujuan token yang diluncurkan oleh suatu DEX pada akhir 2022, bertujuan untuk memungkinkan aplikasi yang berbeda berbagi dan mengelola izin token, sehingga menciptakan pengalaman pengguna yang lebih terintegrasi, lebih efisien biaya, dan lebih aman.

Dalam metode interaksi tradisional, pengguna harus memberikan otorisasi secara terpisah setiap kali berinteraksi dengan DApp yang berbeda. Namun, Permit2 berfungsi sebagai perantara, di mana pengguna hanya perlu memberikan otorisasi Token kepada kontrak Permit2, dan semua DApp yang terintegrasi dengan Permit2 dapat berbagi batas otorisasi ini. Ini secara signifikan mengurangi biaya interaksi pengguna dan meningkatkan pengalaman.

Namun, Permit2 juga membawa risiko baru. Ini mengubah operasi pengguna dari interaksi on-chain menjadi tanda tangan off-chain, sementara semua operasi on-chain dilakukan oleh peran perantara ( seperti kontrak Permit2 ). Meskipun skema ini nyaman, tanda tangan off-chain justru merupakan langkah di mana pengguna paling mudah lengah.

Dalam kasus A, kuncinya terletak pada hacker yang memanfaatkan fungsi Permit dari kontrak Permit2. Fungsi ini memungkinkan transfer kuota Token yang diberikan pengguna kepada Permit2 ke alamat lain melalui tanda tangan. Dengan kata lain, selama hacker mendapatkan tanda tangan pengguna, mereka dapat mengendalikan Token dalam dompet pengguna.

Langkah-langkah pencegahan

Mengingat Permit2 mungkin akan semakin umum di masa depan, berikut adalah beberapa saran pencegahan yang efektif:

1. Pelajari cara mengenali format tanda tangan Permit. Tanda tangan Permit biasanya mencakup informasi penting seperti Owner, Spender, value, nonce, dan deadline. Menggunakan plugin keamanan dapat membantu dalam mengenali.

2. Memisahkan penyimpanan aset dan dompet interaksi. Simpan aset besar di dompet dingin, sementara dompet interaksi hanya menyimpan sejumlah kecil dana, yang dapat secara signifikan mengurangi risiko kerugian.

3. Batasi kuota otorisasi atau batalkan otorisasi. Saat berinteraksi, hanya otorisasi jumlah yang diperlukan, meskipun akan menambah beberapa biaya, tetapi dapat menghindari penipuan tanda tangan Permit2. Yang telah diotorisasi dapat dibatalkan melalui plugin keamanan.

4. Ketahui apakah token yang Anda miliki mendukung fungsi permit. Untuk perdagangan token yang mendukung fungsi ini, berhati-hatilah dan periksa setiap tanda tangan yang tidak dikenal dengan ketat.

5. Menyusun rencana darurat. Jika menemukan diri telah menjadi korban penipuan tetapi masih memiliki aset di platform lain, perlu segera menyusun rencana penyelamatan aset yang lengkap, dapat mempertimbangkan untuk menggunakan MEV transfer atau mencari bantuan dari tim keamanan profesional.

Seiring dengan meningkatnya penggunaan Permit2, metode phishing yang berbasis ini mungkin akan semakin banyak. Cara phishing tanda tangan ini sangat tersembunyi dan sulit untuk dicegah, diharapkan lebih banyak orang memahami risiko terkait, meningkatkan kewaspadaan, dan menghindari kerugian.