Скрытые ловушки подписей - разоблачение фишинговой схемы Uniswap Permit2

В экосистеме Web3 хакеры всегда были источником беспокойства как для разработчиков проектов, так и для обычных пользователей. Из-за необратимости блокчейна, если активы украдены, их практически невозможно вернуть, поэтому наличие знаний о безопасности имеет решающее значение для каждого участника криптомира.

В последнее время активизировался новый метод фишинга, который может привести к краже активов всего лишь с помощью подписания, и этот метод крайне скрытен и труден для предотвращения. Более того, все адреса, которые когда-либо взаимодействовали с определенным DEX, могут подвергнуться этому риску. В данной статье мы подробно разберем принципы и меры предосторожности, связанные с этой схемой фишинга через подпись.

Ход событий

Дело началось с того, что активы моего друга ( маленького А ) были украдены. В отличие от обычных способов кражи, маленький А не раскрыл свой приватный ключ и не взаимодействовал с подозрительными сайтами или контрактами. По данным блокчейн-эксплорера видно, что USDT в кошельке маленького А был переведен через функцию Transfer From, что означает, что активы были перемещены адресом третьей стороны, а не в результате утечки приватного ключа кошелька.

Дальнейший запрос деталей сделки показывает:

• Адрес, заканчивающийся на fd51, перевел активы маленького А на другой адрес.
• Эта операция взаимодействует с контрактом Permit2 определенного DEX.

Ключевой вопрос заключается в том, как адрес fd51 получил права на управление активами маленького A? Почему это связано с контрактом какого-то DEX?

Анализ методов рыбалки

Чтобы понять эту уловку фишинга, нам сначала нужно разобраться в функции контракта Permit2. Permit2 — это контракт одобрения токенов, который был запущен некоторым DEX в конце 2022 года, предназначенный для того, чтобы различные приложения могли совместно использовать и управлять одобрениями токенов, создавая более унифицированный, экономически эффективный и безопасный пользовательский опыт.

В традиционных способах взаимодействия пользователю каждый раз необходимо отдельно предоставлять разрешение при взаимодействии с различными DApp. Однако Permit2 выступает в роли посредника, и пользователю нужно только предоставить токен разрешение контракту Permit2, после чего все DApp, интегрированные с Permit2, могут делиться этим лимитом разрешений. Это значительно снижает затраты на взаимодействие пользователей и улучшает опыт.

Однако Permit2 также принес новые риски. Он превратил действия пользователей из взаимодействия на цепочке в подпись вне цепочки, в то время как все действия на цепочке выполняются промежуточной ролью (, такой как контракт Permit2 ). Хотя это решение удобно, подпись вне цепочки как раз является тем моментом, когда пользователи легче всего теряют бдительность.

В случае с малым A ключевым моментом является то, что хакер использует функцию Permit контракта Permit2. Эта функция позволяет передавать разрешение пользователя на перевод токенов Permit2 другим адресам с помощью подписи. Иными словами, как только хакер получает подпись пользователя, он может управлять токенами в кошельке пользователя.

Меры предосторожности

Учитывая, что Permit2 может стать более распространенным в будущем, ниже приведены некоторые эффективные рекомендации по предотвращению:

1. Научитесь распознавать формат подписи Permit. Подпись Permit обычно содержит ключевую информацию, такую как Owner, Spender, value, nonce и deadline. Использование безопасного плагина может помочь в распознавании.

2. Разделите хранение активов и кошелек для взаимодействия. Храните крупные активы в холодном кошельке, а в кошельке для взаимодействия оставляйте лишь небольшую сумму средств, что значительно снижает риск потерь.

3. Ограничение суммы авторизации или отмена авторизации. При взаимодействии следует авторизовать только необходимую сумму, хотя это увеличит некоторые затраты, но может избежать фишинга подписей Permit2. Уже авторизованные можно отменить с помощью безопасного плагина.

4. Узнайте, поддерживает ли ваш токен функцию permit. Будьте особенно осторожны с транзакциями токенов, которые поддерживают эту функцию, и тщательно проверяйте каждую неизвестную подпись.

5. Разработать план действий в чрезвычайных ситуациях. Если вы обнаружили, что стали жертвой мошенничества, но у вас еще есть активы на других платформах, необходимо быстро разработать и完善 план спасения активов, можно рассмотреть возможность использования MEV-переводов или обратиться за помощью к профессиональной команде безопасности.

С расширением применения Permit2, число методов фишинга на его основе может увеличиваться. Этот метод подписного фишинга крайне скрытный и труден для предотвращения, надеюсь, что больше людей узнают о связанных рисках, повысят бдительность и избегут потерь.