У екосистемі Web3 хакери завжди були джерелом занепокоєння як для проектів, так і для звичайних користувачів. Через незворотність блокчейну, як тільки активи вкрадені, їх практично неможливо повернути, тому наявність знань з безпеки є вкрай важливою для кожного учасника криптосвіту.
Нещодавно активізувався новий тип риболовлі, який може призвести до крадіжки активів лише за допомогою підпису, методика надзвичайно прихована та важка для запобігання. Ще більш тривожним є те, що всі адреси, які взаємодіяли з певним DEX, можуть бути піддані цьому ризику. У цій статті буде глибоко проаналізовано принцип цієї підписної риболовлі та заходи запобігання.
Хід подій
Ситуація виникла через випадок викрадення активів одного з друзів (, малого А. На відміну від звичних способів викрадення, малий А не розкривав свій приватний ключ і не взаємодіяв з підозрілими сайтами або контрактами. Через блокчейн-браузер можна побачити, що USDT у гаманці малого А був переведений за допомогою функції Transfer From, що означає, що активи були переміщені адресою третьої сторони, а не через витік приватного ключа гаманця.
Додатковий запит деталей交易发现:
Адреса, що закінчується на fd51, перемістила активи маленького А на іншу адресу
Ця операція є взаємодією з контрактом Permit2 певного DEX.
Ключове питання полягає в тому, як адреса fd51 отримала операційні права на активи малюка А? Чому це пов'язано з контрактом певного DEX?
![Підписався і втратив? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Аналіз методів риболовлі
Щоб зрозуміти цей метод шахрайства, нам спочатку потрібно зрозуміти роль контракту Permit2. Permit2 - це контракт на схвалення токенів, який був запущений певним DEX наприкінці 2022 року, і має на меті дозволити різним додаткам ділитися та керувати авторизацією токенів, створюючи таким чином більш єдиний, економічно вигідний і безпечний досвід для користувачів.
У традиційних способах взаємодії користувачам потрібно окремо надавати дозвіл при кожній взаємодії з різними DApp. Permit2, будучи посередником, дозволяє користувачеві надати дозвіл на токени лише контракту Permit2, і всі DApp, які інтегрували Permit2, можуть ділитися цим обсягом дозволу. Це значно знижує витрати на взаємодію користувачів і покращує досвід.
![Підписався, і тебе обікрали? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Проте, Permit2 також приніс нові ризики. Він перевів дії користувача з онлайнового взаємодії на офлайн-підпис, тоді як всі онлайнові дії виконуються посередніми учасниками ), такими як контракт Permit2 (. Хоча цей підхід зручний, офлайн-підпис є тією частиною, де користувачі найчастіше можуть розслабитися.
У випадку з малим A ключовим є те, що хакер використовує функцію Permit контракту Permit2. Ця функція дозволяє передавати користувачеві дозволення на обсяг токенів Permit2 іншим адресам через підпис. Іншими словами, отримавши підпис користувача, хакер може маніпулювати токенами у гаманці користувача.
![Підпис був вкрадений? Розкриття шахрайства з підписом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Заходи безпеки
Враховуючи, що Permit2 може стати більш поширеним у майбутньому, ось кілька ефективних рекомендацій щодо запобігання:
Навчіться розпізнавати формат підпису Permit. Підпис Permit зазвичай містить ключову інформацію, таку як Власник, Витрачальник, значення, nonce та термін дії. Використання безпечних плагінів може допомогти у розпізнаванні.
Розділіть зберігання активів і інтерактивний гаманець. Зберігайте великі активи в холодному гаманці, а інтерактивний гаманець повинен містити лише невелику кількість коштів, що може значно знизити ризик втрат.
Обмеження суми авторизації або скасування авторизації. Під час взаємодії авторизуйте лише необхідну суму, хоча це може збільшити деякі витрати, але може допомогти уникнути шахрайства з підписом Permit2. Авторизацію можна скасувати за допомогою безпечного плагіна.
Досліджуйте, чи підтримують ваші токени функцію permit. Будьте особливо обережні з торгівлею токенами, які підтримують цю функцію, ретельно перевіряйте кожен невідомий підпис.
Розробити план дій у надзвичайних ситуаціях. Якщо ви виявили, що стали жертвою замилювання очей, але у вас ще є активи на інших платформах, потрібно швидко розробити та вдосконалити план порятунку активів, можна розглянути можливість використання MEV-переміщення або звернутися за допомогою до професійної команди безпеки.
З розширенням сфери застосування Permit2, ймовірно, з'явиться все більше методів обману на його основі. Цей метод підписного обману є надзвичайно прихованим і важким для запобігання, сподіваємося, що більше людей дізнається про пов'язані ризики, підвищить обізнаність і уникне втрат.
![Підпис став жертвою крадіжки? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 лайків
Нагородити
13
5
Поділіться
Прокоментувати
0/400
FloorPriceNightmare
· 07-13 04:24
Нагадування про підпис 800-й раз
Переглянути оригіналвідповісти на0
RugResistant
· 07-13 04:21
Ще одна партія невдах буде обдурювати людей, як лохів.
Переглянути оригіналвідповісти на0
WalletDetective
· 07-13 04:21
Знову невдахи потрапили в пастку.
Переглянути оригіналвідповісти на0
LazyDevMiner
· 07-13 04:14
Знову підписання провалилося, новачок отримав урок!
Переглянути оригіналвідповісти на0
PhantomMiner
· 07-13 04:08
Ще один новий спосіб збору грошей, що змусив мене навіть не наважитися підписати.
Метод фішингу підпису Permit2 для новачків: попередження про безпеку активів користувачів DEX
Приховані підписні пастки - Розкриття риболовлі на Uniswap Permit2 замилювання очей
У екосистемі Web3 хакери завжди були джерелом занепокоєння як для проектів, так і для звичайних користувачів. Через незворотність блокчейну, як тільки активи вкрадені, їх практично неможливо повернути, тому наявність знань з безпеки є вкрай важливою для кожного учасника криптосвіту.
Нещодавно активізувався новий тип риболовлі, який може призвести до крадіжки активів лише за допомогою підпису, методика надзвичайно прихована та важка для запобігання. Ще більш тривожним є те, що всі адреси, які взаємодіяли з певним DEX, можуть бути піддані цьому ризику. У цій статті буде глибоко проаналізовано принцип цієї підписної риболовлі та заходи запобігання.
Хід подій
Ситуація виникла через випадок викрадення активів одного з друзів (, малого А. На відміну від звичних способів викрадення, малий А не розкривав свій приватний ключ і не взаємодіяв з підозрілими сайтами або контрактами. Через блокчейн-браузер можна побачити, що USDT у гаманці малого А був переведений за допомогою функції Transfer From, що означає, що активи були переміщені адресою третьої сторони, а не через витік приватного ключа гаманця.
Додатковий запит деталей交易发现:
Ключове питання полягає в тому, як адреса fd51 отримала операційні права на активи малюка А? Чому це пов'язано з контрактом певного DEX?
![Підписався і втратив? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Аналіз методів риболовлі
Щоб зрозуміти цей метод шахрайства, нам спочатку потрібно зрозуміти роль контракту Permit2. Permit2 - це контракт на схвалення токенів, який був запущений певним DEX наприкінці 2022 року, і має на меті дозволити різним додаткам ділитися та керувати авторизацією токенів, створюючи таким чином більш єдиний, економічно вигідний і безпечний досвід для користувачів.
У традиційних способах взаємодії користувачам потрібно окремо надавати дозвіл при кожній взаємодії з різними DApp. Permit2, будучи посередником, дозволяє користувачеві надати дозвіл на токени лише контракту Permit2, і всі DApp, які інтегрували Permit2, можуть ділитися цим обсягом дозволу. Це значно знижує витрати на взаємодію користувачів і покращує досвід.
![Підписався, і тебе обікрали? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Проте, Permit2 також приніс нові ризики. Він перевів дії користувача з онлайнового взаємодії на офлайн-підпис, тоді як всі онлайнові дії виконуються посередніми учасниками ), такими як контракт Permit2 (. Хоча цей підхід зручний, офлайн-підпис є тією частиною, де користувачі найчастіше можуть розслабитися.
У випадку з малим A ключовим є те, що хакер використовує функцію Permit контракту Permit2. Ця функція дозволяє передавати користувачеві дозволення на обсяг токенів Permit2 іншим адресам через підпис. Іншими словами, отримавши підпис користувача, хакер може маніпулювати токенами у гаманці користувача.
![Підпис був вкрадений? Розкриття шахрайства з підписом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Заходи безпеки
Враховуючи, що Permit2 може стати більш поширеним у майбутньому, ось кілька ефективних рекомендацій щодо запобігання:
Навчіться розпізнавати формат підпису Permit. Підпис Permit зазвичай містить ключову інформацію, таку як Власник, Витрачальник, значення, nonce та термін дії. Використання безпечних плагінів може допомогти у розпізнаванні.
Розділіть зберігання активів і інтерактивний гаманець. Зберігайте великі активи в холодному гаманці, а інтерактивний гаманець повинен містити лише невелику кількість коштів, що може значно знизити ризик втрат.
Обмеження суми авторизації або скасування авторизації. Під час взаємодії авторизуйте лише необхідну суму, хоча це може збільшити деякі витрати, але може допомогти уникнути шахрайства з підписом Permit2. Авторизацію можна скасувати за допомогою безпечного плагіна.
Досліджуйте, чи підтримують ваші токени функцію permit. Будьте особливо обережні з торгівлею токенами, які підтримують цю функцію, ретельно перевіряйте кожен невідомий підпис.
Розробити план дій у надзвичайних ситуаціях. Якщо ви виявили, що стали жертвою замилювання очей, але у вас ще є активи на інших платформах, потрібно швидко розробити та вдосконалити план порятунку активів, можна розглянути можливість використання MEV-переміщення або звернутися за допомогою до професійної команди безпеки.
З розширенням сфери застосування Permit2, ймовірно, з'явиться все більше методів обману на його основі. Цей метод підписного обману є надзвичайно прихованим і важким для запобігання, сподіваємося, що більше людей дізнається про пов'язані ризики, підвищить обізнаність і уникне втрат.
![Підпис став жертвою крадіжки? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(