Gizli İmza Tuzakları - Uniswap Permit2 Phishing Eyewash'ını Açığa Çıkarma

Web3 ekosisteminde, hackerlar proje sahipleri ve sıradan kullanıcılar için her zaman endişe kaynağı olmuştur. Blok zincirinin geri alınamazlığı nedeniyle, bir kez varlık çalındığında neredeyse geri alınamaz, bu nedenle güvenlik bilgisine sahip olmak her kripto dünyası katılımcısı için son derece önemlidir.

Son zamanlarda, yeni bir oltalama yöntemi aktif hale geldi, sadece imza atmak varlıkların çalınmasına neden olabilir, yöntem son derece gizli ve önlenmesi zor. Daha da endişe verici olan, belirli bir DEX ile etkileşimde bulunan tüm adreslerin bu risk altında olabilir. Bu yazıda, bu imza oltalama yönteminin prensiplerini ve önleme tedbirlerini derinlemesine inceleyeceğiz.

Olayın Gelişimi

Olay, bir arkadaşım ( küçük A) 'nın varlıklarının çalınmasıyla başladı. Yaygın çalınma yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi ve şüpheli bir web sitesi veya sözleşme ile etkileşime girmedi. Blockchain tarayıcısı üzerinden görülebilir ki, küçük A'nın cüzdanındaki USDT, Transfer From fonksiyonu aracılığıyla aktarılmış, bu da varlıkların bir üçüncü taraf adresi tarafından transfer edildiği anlamına geliyor, cüzdanın özel anahtarının sızdırıldığı değil.

İleri düzeyde işlem detaylarını sorguladığınızda:

• fd51 numaralı bir adres, küçük A'nın varlıklarını başka bir adrese aktardı.
• Bu işlem, belirli bir DEX'in Permit2 sözleşmesi ile etkileşimde bulunur.

Ana sorun, fd51 adresinin küçük A varlıklarına nasıl erişim yetkisi aldığıdır? Neden belirli bir DEX'in sözleşmesiyle ilgili olduğu?

Balık Avlama Tekniklerinin Analizi

Bu oltalama yöntemini anlamak için öncelikle Permit2 sözleşmesinin işlevini anlamamız gerekiyor. Permit2, 2022'nin sonunda bir DEX tarafından piyasaya sürülen bir token onay sözleşmesidir ve farklı uygulamaların token yetkilendirmelerini paylaşmasını ve yönetmesini sağlamak için tasarlanmıştır; böylece daha birleşik, daha maliyet etkin ve daha güvenli bir kullanıcı deneyimi yaratılmaktadır.

Geleneksel etkileşim yöntemlerinde, kullanıcı her seferinde farklı DApp ile etkileşime geçerken ayrı ayrı yetki vermek zorundadır. Permit2 bir aracı olarak, kullanıcı sadece Token'ı Permit2 sözleşmesine yetki vermelidir, tüm Permit2 ile entegre DApp'ler bu yetki miktarını paylaşabilir. Bu, kullanıcıların etkileşim maliyetlerini büyük ölçüde azaltır ve deneyimi artırır.

Ancak, Permit2 yeni riskler de getirdi. Kullanıcı işlemlerini zincir üstü etkileşimden zincir dışı imzalamaya dönüştürdü ve tüm zincir üstü işlemler ara bir rol olan ( gibi Permit2 sözleşmesi ) tarafından gerçekleştiriliyor. Bu çözüm pratik olsa da, zincir dışı imzalama kullanıcıların en kolay dikkatsizleştiği aşamadır.

Küçük A'nın durumunda, anahtar, hacker'ın Permit2 sözleşmesinin Permit fonksiyonunu kullanmasında yatıyor. Bu fonksiyon, imza ile kullanıcının Permit2 Token limitini başka bir adrese devretmesine izin veriyor. Yani, kullanıcının imzasını aldıkları sürece, hacker kullanıcı cüzdanındaki Token'ları kontrol edebilir.

Önlemler

Permit2'nin gelecekte daha yaygın hale gelebileceği düşünüldüğünde, aşağıda bazı etkili önleme önerileri bulunmaktadır:

1. Permit imza formatını tanımayı öğrenin. Permit imzası genellikle Owner, Spender, value, nonce ve deadline gibi anahtar bilgileri içerir. Güvenli eklentiler kullanmak tanımaya yardımcı olabilir.

2. Varlıkları depolama ve etkileşim cüzdanlarını ayırın. Büyük miktardaki varlıkları soğuk cüzdanda tutun, etkileşim cüzdanında yalnızca az miktarda fon bulundurun, bu kayıp riskini önemli ölçüde azaltabilir.

3. Yetki miktarını kısıtlama veya yetkiyi iptal etme. Etkileşim sırasında sadece gereken miktarı yetkilendirmek, bazı maliyetler eklese de Permit2 imza dolandırıcılığından kaçınmayı sağlar. Yetkilendirilmiş olanlar güvenlik eklentisi aracılığıyla iptal edilebilir.

4. Sahip olduğunuz tokenlerin permit fonksiyonunu destekleyip desteklemediğini öğrenin. Bu fonksiyonu destekleyen tokenlerle işlem yaparken özellikle dikkatli olun, her bilinmeyen imzayı titizlikle kontrol edin.

5. Acil durum planı oluşturun. Eğer bir dolandırıcılığa maruz kaldıysanız ancak diğer platformlarda hala varlıklarınız varsa, hızlı bir şekilde kapsamlı bir varlık kurtarma planı oluşturmanız gerekir. MEV transferini kullanmayı veya profesyonel bir güvenlik ekibinden yardım almayı düşünebilirsiniz.

Permit2 uygulamasının kapsamı genişledikçe, buna dayalı oltalama yöntemleri de artabilir. Bu tür imza oltalama yöntemleri son derece gizli ve önlenmesi zor olup, umarım daha fazla insan ilgili riskleri anlayarak dikkatini artırır ve kayıplardan kaçınır.