هل تم سرقة توقيعك؟ كشف خدعة اصطياد توقيع Uniswap Permit2
الهاكرز هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمطوري المشاريع، فإن خاصية الشفرة المصدرية تجعلهم يشعرون كأنهم يسيرون على الجليد الرقيق أثناء التطوير، خائفين من أن يكتبوا سطرًا خاطئًا يترك ثغرة. بمجرد حدوث حادثة أمنية، فإن العواقب ستكون صعبة التحمل.
بالنسبة للمستخدمين الأفراد، إذا لم يكن لديهم فهم لمعنى العمليات التي يقومون بها، فإن كل تفاعل أو توقيع على السلسلة يمكن أن يؤدي إلى سرقة الأصول. ولذلك، كانت قضايا الأمان دائمًا واحدة من أكثر القضايا تعقيدًا في عالم التشفير. نظرًا لخصائص blockchain، فإن استرداد الأصول المسروقة يكاد يكون مستحيلًا، لذا فإن امتلاك المعرفة الأمنية في عالم التشفير أمر بالغ الأهمية.
في الآونة الأخيرة، اكتشف باحث طريقة جديدة للاختراق النشط على مدار الشهرين الماضيين. هذه الطريقة تتطلب فقط التوقيع مما يؤدي إلى سرقة الأصول، والأسلوب شديد التمويه وصعب الوقاية. والأسوأ من ذلك، أن العناوين التي تفاعلت مع أي DEX قد تواجه خطرًا. ستقوم هذه المقالة بتوعية المستخدمين حول طريقة الاحتيال بالتوقيع، لتقليل فرص تعرض المزيد من المستخدمين لفقدان الأصول.
بدأت الأمور مع حادثة سرقة أصول صديقي (小A). على عكس حالات السرقة الشائعة، لم يقم 小A بكشف مفتاحه الخاص، ولم يتفاعل مع عقود مشبوهة. من خلال مستعرض البلوكشين، يمكن رؤية أن USDT في محفظة 小A تم نقله عبر دالة Transfer From. هذا يعني أن عنواناً آخر هو الذي قام بتحريك التوكن، وليس تسرب مفتاح المحفظة.
تفاصيل الصفقة تظهر:
عنوان واحد نقل أصول A الصغيرة إلى عنوان آخر
هذه العملية تتفاعل مع عقد Permit2 الخاص بـ DEX معين
السؤال الرئيسي هو ، كيف حصلت هذه العنوان على إذن الوصول إلى أصول A الصغيرة؟ ولماذا يرتبط ذلك ببعض DEX؟
للاستفادة من دالة Transfer From، يجب أن يمتلك المتصل إذن الحد الأقصى لرمز الـ Token (approve). قبل نقل أصول A الصغيرة من هذا العنوان، تم إجراء عملية Permit، وكانت كائنات التفاعل لكلتا العمليتين هي عقد Permit2 الخاص بـ DEX معين.
عقد Permit2 الخاص بـ DEX معين هو عقد ذكي جديد أطلقته البورصة في نهاية عام 2022. يتيح تفويض الرموز لمشاركة وإدارة عبر تطبيقات مختلفة، ويهدف إلى خلق تجربة مستخدم أكثر توحيدًا وفعالية من حيث التكلفة وأمانًا. مع تكامل المزيد من المشاريع مع Permit2 في المستقبل، من المتوقع أن يتم تحقيق معيار تفويض الرموز في جميع التطبيقات، مما يقلل من تكاليف المعاملات ويحسن تجربة المستخدم.
في طرق التفاعل التقليدية، يحتاج المستخدم إلى تفويض منفصل في كل مرة يتفاعل فيها مع DApp. بينما يعمل Permit2 كوسيط بين المستخدم وDApp، حيث يحتاج المستخدم فقط إلى تفويض الرموز لعقد Permit2، ويمكن لجميع DApp المدمجة مع هذا العقد مشاركة حد التفويض هذا. وهذا يقلل بشكل كبير من تكلفة تفاعل المستخدم، مما يحسن التجربة.
ومع ذلك، فإن Permit2 هي أيضًا سلاح ذو حدين. حيث تحول العمليات التي يقوم بها المستخدم إلى توقيع خارج السلسلة، وتتم جميع العمليات على السلسلة من قبل طرف وسيط. الفائدة من ذلك هي أنه حتى إذا لم يكن لدى محفظة المستخدم ETH، يمكن استخدام توكنات أخرى لدفع رسوم الغاز أو يتم تعويضها من قبل الطرف الوسيط. لكن التوقيع الخارجي هو بالضبط الجزء الذي يمكن أن يغفله المستخدم بسهولة.
لتحفيز هذا الاحتيال بتوقيع Permit2، الشرط الرئيسي هو أن يحتاج المحفظة إلى تفويض الرمز المميز لعقد Permit2 الخاص بـ DEX معين. في الوقت الحالي، يلزم إجراء هذا التفويض عند التبديل في أي تطبيق DApp مدمج مع Permit2 أو على ذلك DEX. وما يثير القلق أكثر هو أنه بغض النظر عن مبلغ التبديل، فإن عقد Permit2 سيفترض افتراضياً منح المستخدم تفويضاً لكامل رصيد هذا الرمز المميز.
هذا يعني أنه طالما أنك تفاعلت مع هذا DEX بعد عام 2023 وأذنت لعقد Permit2، فمن الممكن أن تكون معرضًا لخطر هذا التضليل. يستغل القراصنة وظيفة Permit، من خلال توقيعك، لنقل كمية الرموز التي منحتها لعقد Permit2 إلى عناوين أخرى. بمجرد الحصول على توقيعك، يمكنهم نقل أصولك من محفظتك.
تمت ملاحظة أن عقد Permit2 الخاص بDEX معين قد أصبح "جنة" للمحتالين، ويبدو أن هذه الحيلة لتوقيع Permit2 قد بدأت في الانتشار قبل شهرين. في سجلات تفاعل العقد، معظمها عناوين مصنفة كاحتيال، ولا يزال هناك أشخاص يقع ضحايا.
نظرًا لأن عقد Permit2 قد يصبح أكثر شيوعًا في المستقبل، فمن المحتمل أن تقوم المزيد من المشاريع بدمجه لمشاركة التفويض، إليك بعض الاقتراحات الفعالة للوقاية:
تعلم كيفية التعرف على تنسيق توقيع التصريح. عادة ما يتضمن Owner و Spender و value و nonce و deadline وغيرها من المعلومات الأساسية. يمكن أن تساعد الإضافات الآمنة في التعرف.
فصل الأصول عن محفظة التفاعلات. يجب تخزين الأصول الكبيرة في محفظة باردة، بينما يجب أن تحتوي محفظة التفاعلات اليومية على مبالغ صغيرة من الأموال، مما يمكن أن يقلل بشكل كبير من خسائر التصيد.
احذر من تفويض الحد في عقد Permit2. عند إجراء Swap، قم بتفويض المبلغ المطلوب فقط. على الرغم من أن إعادة التفويض في كل مرة ستزيد من التكاليف، إلا أنها ستجنبك التعرض لعملية احتيال توقيع Permit2. يمكنك إلغاء التفويضات المعتمدة من خلال الإضافات الآمنة.
معرفة ما إذا كانت الرموز تدعم وظيفة الإذن. انتبه إلى الرموز التي تمتلكها إذا كانت تدعم هذه الوظيفة، وإذا كانت تدعمها، يجب أن تكون حذرًا جدًا، وتحقق بدقة من كل توقيع غير معروف.
وضع خطة متكاملة لإنقاذ الأصول. إذا تعرضت لعملية تضليل ولكن لا تزال لديك رموز على منصات أخرى، يجب أن تكون حذرًا عند السحب والنقل. يمكنك التفكير في استخدام نقل MEV أو طلب المساعدة من فرق الأمان المحترفة، لتجنب اختراق القراصنة مرة أخرى.
قد تزداد عمليات الاحتيال المستندة إلى Permit2 في المستقبل. تعتبر هذه الطريقة في الاحتيال باستخدام التوقيع خفية للغاية وصعبة الحماية. مع توسع نطاق استخدام Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يتمكن القراء من نشر هذه المعلومات، لمساعدة المزيد من الناس على تجنب الخسائر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 10
أعجبني
10
5
إعادة النشر
مشاركة
تعليق
0/400
LeverageAddict
· منذ 23 س
تم سرقة التوقيع مرة أخرى 哈人
شاهد النسخة الأصليةرد0
wagmi_eventually
· منذ 23 س
لا توقع عليه ، الروتين هنا مرة أخرى ...
شاهد النسخة الأصليةرد0
rug_connoisseur
· منذ 23 س
فكر جيدًا قبل التوقيع، لا تكن طماعًا في الأشياء الصغيرة.
شاهد النسخة الأصليةرد0
DaoGovernanceOfficer
· منذ 23 س
*sigh* بعد استغلال آخر كان يمكن أن تمنعه مبادئ تصميم البروتوكول الأساسية...
احذر من تصيد توقيع Permit2 الجديد لحماية أمان الأصول لمستخدمي DEX
هل تم سرقة توقيعك؟ كشف خدعة اصطياد توقيع Uniswap Permit2
الهاكرز هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمطوري المشاريع، فإن خاصية الشفرة المصدرية تجعلهم يشعرون كأنهم يسيرون على الجليد الرقيق أثناء التطوير، خائفين من أن يكتبوا سطرًا خاطئًا يترك ثغرة. بمجرد حدوث حادثة أمنية، فإن العواقب ستكون صعبة التحمل.
بالنسبة للمستخدمين الأفراد، إذا لم يكن لديهم فهم لمعنى العمليات التي يقومون بها، فإن كل تفاعل أو توقيع على السلسلة يمكن أن يؤدي إلى سرقة الأصول. ولذلك، كانت قضايا الأمان دائمًا واحدة من أكثر القضايا تعقيدًا في عالم التشفير. نظرًا لخصائص blockchain، فإن استرداد الأصول المسروقة يكاد يكون مستحيلًا، لذا فإن امتلاك المعرفة الأمنية في عالم التشفير أمر بالغ الأهمية.
في الآونة الأخيرة، اكتشف باحث طريقة جديدة للاختراق النشط على مدار الشهرين الماضيين. هذه الطريقة تتطلب فقط التوقيع مما يؤدي إلى سرقة الأصول، والأسلوب شديد التمويه وصعب الوقاية. والأسوأ من ذلك، أن العناوين التي تفاعلت مع أي DEX قد تواجه خطرًا. ستقوم هذه المقالة بتوعية المستخدمين حول طريقة الاحتيال بالتوقيع، لتقليل فرص تعرض المزيد من المستخدمين لفقدان الأصول.
بدأت الأمور مع حادثة سرقة أصول صديقي (小A). على عكس حالات السرقة الشائعة، لم يقم 小A بكشف مفتاحه الخاص، ولم يتفاعل مع عقود مشبوهة. من خلال مستعرض البلوكشين، يمكن رؤية أن USDT في محفظة 小A تم نقله عبر دالة Transfer From. هذا يعني أن عنواناً آخر هو الذي قام بتحريك التوكن، وليس تسرب مفتاح المحفظة.
تفاصيل الصفقة تظهر:
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp)
السؤال الرئيسي هو ، كيف حصلت هذه العنوان على إذن الوصول إلى أصول A الصغيرة؟ ولماذا يرتبط ذلك ببعض DEX؟
للاستفادة من دالة Transfer From، يجب أن يمتلك المتصل إذن الحد الأقصى لرمز الـ Token (approve). قبل نقل أصول A الصغيرة من هذا العنوان، تم إجراء عملية Permit، وكانت كائنات التفاعل لكلتا العمليتين هي عقد Permit2 الخاص بـ DEX معين.
عقد Permit2 الخاص بـ DEX معين هو عقد ذكي جديد أطلقته البورصة في نهاية عام 2022. يتيح تفويض الرموز لمشاركة وإدارة عبر تطبيقات مختلفة، ويهدف إلى خلق تجربة مستخدم أكثر توحيدًا وفعالية من حيث التكلفة وأمانًا. مع تكامل المزيد من المشاريع مع Permit2 في المستقبل، من المتوقع أن يتم تحقيق معيار تفويض الرموز في جميع التطبيقات، مما يقلل من تكاليف المعاملات ويحسن تجربة المستخدم.
في طرق التفاعل التقليدية، يحتاج المستخدم إلى تفويض منفصل في كل مرة يتفاعل فيها مع DApp. بينما يعمل Permit2 كوسيط بين المستخدم وDApp، حيث يحتاج المستخدم فقط إلى تفويض الرموز لعقد Permit2، ويمكن لجميع DApp المدمجة مع هذا العقد مشاركة حد التفويض هذا. وهذا يقلل بشكل كبير من تكلفة تفاعل المستخدم، مما يحسن التجربة.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp)
ومع ذلك، فإن Permit2 هي أيضًا سلاح ذو حدين. حيث تحول العمليات التي يقوم بها المستخدم إلى توقيع خارج السلسلة، وتتم جميع العمليات على السلسلة من قبل طرف وسيط. الفائدة من ذلك هي أنه حتى إذا لم يكن لدى محفظة المستخدم ETH، يمكن استخدام توكنات أخرى لدفع رسوم الغاز أو يتم تعويضها من قبل الطرف الوسيط. لكن التوقيع الخارجي هو بالضبط الجزء الذي يمكن أن يغفله المستخدم بسهولة.
لتحفيز هذا الاحتيال بتوقيع Permit2، الشرط الرئيسي هو أن يحتاج المحفظة إلى تفويض الرمز المميز لعقد Permit2 الخاص بـ DEX معين. في الوقت الحالي، يلزم إجراء هذا التفويض عند التبديل في أي تطبيق DApp مدمج مع Permit2 أو على ذلك DEX. وما يثير القلق أكثر هو أنه بغض النظر عن مبلغ التبديل، فإن عقد Permit2 سيفترض افتراضياً منح المستخدم تفويضاً لكامل رصيد هذا الرمز المميز.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp)
هذا يعني أنه طالما أنك تفاعلت مع هذا DEX بعد عام 2023 وأذنت لعقد Permit2، فمن الممكن أن تكون معرضًا لخطر هذا التضليل. يستغل القراصنة وظيفة Permit، من خلال توقيعك، لنقل كمية الرموز التي منحتها لعقد Permit2 إلى عناوين أخرى. بمجرد الحصول على توقيعك، يمكنهم نقل أصولك من محفظتك.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp)
تمت ملاحظة أن عقد Permit2 الخاص بDEX معين قد أصبح "جنة" للمحتالين، ويبدو أن هذه الحيلة لتوقيع Permit2 قد بدأت في الانتشار قبل شهرين. في سجلات تفاعل العقد، معظمها عناوين مصنفة كاحتيال، ولا يزال هناك أشخاص يقع ضحايا.
نظرًا لأن عقد Permit2 قد يصبح أكثر شيوعًا في المستقبل، فمن المحتمل أن تقوم المزيد من المشاريع بدمجه لمشاركة التفويض، إليك بعض الاقتراحات الفعالة للوقاية:
فصل الأصول عن محفظة التفاعلات. يجب تخزين الأصول الكبيرة في محفظة باردة، بينما يجب أن تحتوي محفظة التفاعلات اليومية على مبالغ صغيرة من الأموال، مما يمكن أن يقلل بشكل كبير من خسائر التصيد.
احذر من تفويض الحد في عقد Permit2. عند إجراء Swap، قم بتفويض المبلغ المطلوب فقط. على الرغم من أن إعادة التفويض في كل مرة ستزيد من التكاليف، إلا أنها ستجنبك التعرض لعملية احتيال توقيع Permit2. يمكنك إلغاء التفويضات المعتمدة من خلال الإضافات الآمنة.
معرفة ما إذا كانت الرموز تدعم وظيفة الإذن. انتبه إلى الرموز التي تمتلكها إذا كانت تدعم هذه الوظيفة، وإذا كانت تدعمها، يجب أن تكون حذرًا جدًا، وتحقق بدقة من كل توقيع غير معروف.
وضع خطة متكاملة لإنقاذ الأصول. إذا تعرضت لعملية تضليل ولكن لا تزال لديك رموز على منصات أخرى، يجب أن تكون حذرًا عند السحب والنقل. يمكنك التفكير في استخدام نقل MEV أو طلب المساعدة من فرق الأمان المحترفة، لتجنب اختراق القراصنة مرة أخرى.
قد تزداد عمليات الاحتيال المستندة إلى Permit2 في المستقبل. تعتبر هذه الطريقة في الاحتيال باستخدام التوقيع خفية للغاية وصعبة الحماية. مع توسع نطاق استخدام Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يتمكن القراء من نشر هذه المعلومات، لمساعدة المزيد من الناس على تجنب الخسائر.