# 隠された署名トラップ - Uniswap Permit2フィッシング目薬の真相Web3エコシステムにおいて、ハッカーはプロジェクト側と一般ユーザーの両方にとって常に心配の種です。ブロックチェーンの不可逆性により、一度資産が盗まれるとほぼ回収できないため、セキュリティ知識を持つことはすべての暗号世界の参加者にとって極めて重要です。最近、新しいフィッシング手法が活発になっており、署名をするだけで資産が盗まれる可能性があります。この手法は非常に巧妙で、防ぐのが難しいです。さらに懸念すべきは、あるDEXとやり取りをしたすべてのアドレスがこのリスクにさらされる可能性があることです。本記事では、この署名フィッシング手法の原理と防止策について詳しく分析します。## 何が起こったのか事は友人(の小A)の資産が盗まれた事件から始まります。一般的な盗難手法とは異なり、小Aはプライベートキーを漏らしたわけでもなく、疑わしいウェブサイトや契約と相互作用したわけでもありません。ブロックチェーンブラウザを通じて見ると、小AのウォレットにあるUSDTはTransfer From関数を通じて移動されており、これは第三者アドレスが資産を移転したことを意味し、ウォレットのプライベートキーが漏洩したわけではありません。さらに取引の詳細を確認すると:- 尾号がfd51のアドレスが小Aの資産を別のアドレスに移しました- この操作は、あるDEXのPermit2契約と相互作用しています。重要な問題は、fd51アドレスがどのように小A資産の操作権限を取得したのかですか?なぜそれがあるDEXの契約に関連しているのですか?! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0cc586809f131d9dfab81df33fd1835e)## フィッシング手法の分析このフィッシング手法を理解するためには、まずPermit2契約の役割を理解する必要があります。Permit2は、あるDEXが2022年末に導入したトークン承認契約で、異なるアプリケーションがトークンの承認を共有および管理できるようにし、より統一された、コスト効率が高く、安全なユーザー体験を生み出すことを目的としています。従来のインタラクション方式では、ユーザーは異なるDAppとインタラクションするたびに個別に承認を行う必要があります。しかし、Permit2が仲介者として機能することで、ユーザーはTokenをPermit2コントラクトに承認するだけで、Permit2を統合したすべてのDAppがこの承認枠を共有できるようになります。これにより、ユーザーのインタラクションコストが大幅に削減され、体験が向上します。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-bb348691082594ecc577f91d7f9dc800)しかし、Permit2は新たなリスクももたらしました。ユーザーの操作はオンチェーンのインタラクションからオフチェーンの署名に変更され、すべてのオンチェーン操作は中間者(、つまりPermit2契約)によって行われます。このアプローチは便利ですが、オフチェーンの署名はユーザーが最も警戒を緩めやすい部分でもあります。小Aのケースでは、鍵はハッカーがPermit2契約のPermit関数を利用したことにあります。この関数は、署名を通じてユーザーがPermit2のトークンの限度を他のアドレスに移転することを可能にします。つまり、ユーザーの署名を取得すれば、ハッカーはユーザーのウォレット内のトークンを操作できるということです。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-30520c8399a6ee69aa22424476c5870c)## 使用上の注意Permit2が将来的にさらに普及する可能性を考慮して、以下は有効な対策の提案です:1. Permit署名形式を識別することを学びましょう。Permit署名には通常、Owner、Spender、value、nonce、deadlineなどの重要な情報が含まれています。安全プラグインを使用すると、識別を助けることができます。2. 資産の保管とインタラクティブウォレットを分離する。大額の資産をコールドウォレットに保管し、インタラクティブウォレットには少量の資金のみを保持することで、損失リスクを大幅に低減することができる。3. 扱いの制限または権限の取り消し。インタラクション時には必要な金額のみを許可することで、コストが増加する可能性があるが、Permit2署名フィッシングを避けることができる。既に許可されたものは、安全プラグインを通じて取り消すことができる。4. 所持しているトークンがpermit機能をサポートしているかどうかを確認してください。この機能をサポートしているトークンの取引には特に注意し、未知の署名を厳重にチェックしてください。5. 緊急対策を策定する。もし詐欺に遭ったが他のプラットフォームにまだ資産がある場合、迅速に資産救済計画を策定する必要があり、MEV移転を利用するか、専門のセキュリティチームの支援を求めることを検討してください。Permit2アプリケーションの範囲が拡大するにつれて、これに基づくフィッシング手法が増える可能性があります。この署名フィッシング方式は非常に巧妙で防止が難しいため、より多くの人が関連するリスクを理解し、警戒を高めて、損失を避けることを願っています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-730db044a34a8dc242f04cf8ae4d394c)
Permit2シグネチャフィッシングの新しい戦術:DEXユーザー資産セキュリティアラート
隠された署名トラップ - Uniswap Permit2フィッシング目薬の真相
Web3エコシステムにおいて、ハッカーはプロジェクト側と一般ユーザーの両方にとって常に心配の種です。ブロックチェーンの不可逆性により、一度資産が盗まれるとほぼ回収できないため、セキュリティ知識を持つことはすべての暗号世界の参加者にとって極めて重要です。
最近、新しいフィッシング手法が活発になっており、署名をするだけで資産が盗まれる可能性があります。この手法は非常に巧妙で、防ぐのが難しいです。さらに懸念すべきは、あるDEXとやり取りをしたすべてのアドレスがこのリスクにさらされる可能性があることです。本記事では、この署名フィッシング手法の原理と防止策について詳しく分析します。
何が起こったのか
事は友人(の小A)の資産が盗まれた事件から始まります。一般的な盗難手法とは異なり、小Aはプライベートキーを漏らしたわけでもなく、疑わしいウェブサイトや契約と相互作用したわけでもありません。ブロックチェーンブラウザを通じて見ると、小AのウォレットにあるUSDTはTransfer From関数を通じて移動されており、これは第三者アドレスが資産を移転したことを意味し、ウォレットのプライベートキーが漏洩したわけではありません。
さらに取引の詳細を確認すると:
重要な問題は、fd51アドレスがどのように小A資産の操作権限を取得したのかですか?なぜそれがあるDEXの契約に関連しているのですか?
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
フィッシング手法の分析
このフィッシング手法を理解するためには、まずPermit2契約の役割を理解する必要があります。Permit2は、あるDEXが2022年末に導入したトークン承認契約で、異なるアプリケーションがトークンの承認を共有および管理できるようにし、より統一された、コスト効率が高く、安全なユーザー体験を生み出すことを目的としています。
従来のインタラクション方式では、ユーザーは異なるDAppとインタラクションするたびに個別に承認を行う必要があります。しかし、Permit2が仲介者として機能することで、ユーザーはTokenをPermit2コントラクトに承認するだけで、Permit2を統合したすべてのDAppがこの承認枠を共有できるようになります。これにより、ユーザーのインタラクションコストが大幅に削減され、体験が向上します。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
しかし、Permit2は新たなリスクももたらしました。ユーザーの操作はオンチェーンのインタラクションからオフチェーンの署名に変更され、すべてのオンチェーン操作は中間者(、つまりPermit2契約)によって行われます。このアプローチは便利ですが、オフチェーンの署名はユーザーが最も警戒を緩めやすい部分でもあります。
小Aのケースでは、鍵はハッカーがPermit2契約のPermit関数を利用したことにあります。この関数は、署名を通じてユーザーがPermit2のトークンの限度を他のアドレスに移転することを可能にします。つまり、ユーザーの署名を取得すれば、ハッカーはユーザーのウォレット内のトークンを操作できるということです。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
使用上の注意
Permit2が将来的にさらに普及する可能性を考慮して、以下は有効な対策の提案です:
Permit署名形式を識別することを学びましょう。Permit署名には通常、Owner、Spender、value、nonce、deadlineなどの重要な情報が含まれています。安全プラグインを使用すると、識別を助けることができます。
資産の保管とインタラクティブウォレットを分離する。大額の資産をコールドウォレットに保管し、インタラクティブウォレットには少量の資金のみを保持することで、損失リスクを大幅に低減することができる。
扱いの制限または権限の取り消し。インタラクション時には必要な金額のみを許可することで、コストが増加する可能性があるが、Permit2署名フィッシングを避けることができる。既に許可されたものは、安全プラグインを通じて取り消すことができる。
所持しているトークンがpermit機能をサポートしているかどうかを確認してください。この機能をサポートしているトークンの取引には特に注意し、未知の署名を厳重にチェックしてください。
緊急対策を策定する。もし詐欺に遭ったが他のプラットフォームにまだ資産がある場合、迅速に資産救済計画を策定する必要があり、MEV移転を利用するか、専門のセキュリティチームの支援を求めることを検討してください。
Permit2アプリケーションの範囲が拡大するにつれて、これに基づくフィッシング手法が増える可能性があります。この署名フィッシング方式は非常に巧妙で防止が難しいため、より多くの人が関連するリスクを理解し、警戒を高めて、損失を避けることを願っています。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く