¿Te roban al firmar? Revelando el Lavado de ojos de la firma de Uniswap Permit2
Los hackers son una presencia temida en el ecosistema Web3. Para los desarrolladores de proyectos, la característica de código abierto les hace estar en una cuerda floja durante el desarrollo, temiendo cometer un error en una línea de código que deje una vulnerabilidad. Una vez que ocurre un accidente de seguridad, las consecuencias son difíciles de asumir.
Para los usuarios individuales, si no comprenden el significado de las operaciones que están realizando, cada interacción o firma en la cadena puede resultar en el robo de activos. Por lo tanto, los problemas de seguridad siempre han sido uno de los más difíciles en el mundo de las criptomonedas. Debido a las características de la blockchain, una vez que los activos son robados, es casi imposible recuperarlos, por lo que es especialmente importante tener conocimientos de seguridad en el mundo de las criptomonedas.
Recientemente, un investigador ha descubierto un nuevo método de phishing que ha estado activo durante los últimos dos meses. Este método solo requiere una firma para que los activos sean robados, y la técnica es extremadamente encubierta y difícil de prevenir. Lo que es peor, las direcciones que han interactuado con algún DEX pueden estar en riesgo. Este artículo tendrá como objetivo educar sobre este método de phishing por firma, para evitar que más usuarios sufran pérdidas de activos.
La historia comienza con el incidente de robo de activos de un amigo (, el pequeño A ). A diferencia de las situaciones de robo comunes, el pequeño A no filtró su clave privada, ni interactuó con contratos sospechosos. A través del explorador de blockchain se puede ver que los USDT en la billetera del pequeño A fueron transferidos mediante la función Transfer From. Esto significa que fue otra dirección la que operó para mover el Token, y no la filtración de la clave privada de la billetera.
Detalles de la transacción:
Una dirección transfirió los activos de Xiao A a otra dirección
Esta operación interactúa con el contrato Permit2 de un DEX.
La cuestión clave es, ¿cómo obtuvo esta dirección el acceso a los activos de Xiao A? ¿Por qué está relacionada con algún DEX?
Para llamar a la función Transfer From, el llamador necesita tener el permiso de monto del Token (approve). Antes de transferir los activos de Xiao A en esa dirección, se realizó una operación de Permiso, y los objetos de interacción de ambas operaciones son el contrato Permit2 de un DEX.
El contrato Permit2 de un DEX es un nuevo contrato inteligente lanzado por la plataforma a finales de 2022. Permite la autorización de tokens para compartir y gestionar en diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, económica y segura. En el futuro, a medida que más proyectos integren Permit2, se espera que se normalice la aprobación de tokens en todas las aplicaciones, reduciendo así los costos de transacción y mejorando la experiencia del usuario.
En los métodos de interacción tradicionales, los usuarios deben autorizar cada vez que interactúan con un DApp para manejar activos. Permit2 actúa como intermediario entre el usuario y el DApp; el usuario solo necesita autorizar el Token al contrato de Permit2, y todos los DApps que integren este contrato pueden compartir este límite de autorización. Esto reduce significativamente el costo de interacción para el usuario y mejora la experiencia.
Sin embargo, Permit2 también es una espada de doble filo. Convierte las operaciones del usuario en firmas fuera de la cadena, y todas las operaciones en la cadena son realizadas por un intermediario. La ventaja de esto es que, incluso si la billetera del usuario no tiene ETH, puede usar otros tokens para pagar las tarifas de gas o ser reembolsado por el intermediario. Pero la firma fuera de la cadena es precisamente el aspecto que los usuarios más tienden a pasar por alto.
Para desencadenar esta estafa de firma de Permit2, el requisito clave es que la billetera debe tener autorización de Token para el contrato Permit2 de algún DEX. Actualmente, siempre que se realice un Swap en una DApp integrada con Permit2 o en ese DEX, se requiere esta autorización. Lo que es aún más preocupante es que, sin importar la cantidad que se desea intercambiar, el contrato Permit2 por defecto permite al usuario autorizar el saldo total de ese Token.
Esto significa que, siempre que hayas interactuado con este DEX después de 2023 y hayas autorizado al contrato Permit2, podrías estar expuesto al riesgo de este Lavado de ojos. Los hackers utilizan la función Permit para transferir el límite de tokens que autorizaste al contrato Permit2 a otras direcciones a través de tu firma. Una vez que obtienen tu firma, pueden transferir los activos de tu billetera.
Actualmente se observa que el contrato Permit2 de un DEX se ha convertido en un "parque de diversiones" para los phishers, y este tipo de phishing con firmas Permit2 parece haber comenzado a activarse hace aproximadamente dos meses. En los registros de interacción del contrato, la mayoría son direcciones de phishing marcadas, y continuamente hay personas cayendo en la trampa.
Considerando que el contrato Permit2 podría volverse más común en el futuro, y que más proyectos podrían integrarlo para compartir autorizaciones, a continuación se presentan algunas recomendaciones efectivas de prevención:
Aprende a identificar el formato de firma de Permiso. Generalmente incluye información clave como Owner, Spender, value, nonce y deadline. Usar complementos de seguridad puede ayudar a identificarlos.
Separar el uso de activos y la billetera de interacción. Almacenar grandes activos en una billetera fría y mantener solo una pequeña cantidad de fondos en la billetera de interacción puede reducir significativamente las pérdidas por phishing.
Autoriza con precaución el límite del contrato Permit2. Al realizar un Swap, solo autoriza la cantidad necesaria. Aunque se aumentarán los costos al requerir una nueva autorización en cada interacción, esto puede evitar caer en el lavado de ojos de firmas de Permit2. Lo autorizado se puede cancelar a través de un complemento de seguridad.
Verificar si el token admite la función de permiso. Prestar atención a si los tokens que posee admiten esta función; si es así, debe ser especialmente cauteloso y revisar minuciosamente cada firma desconocida.
Establecer un plan de rescate de activos completo. Si se enfrenta a un Lavado de ojos pero todavía tiene tokens en otras plataformas, es necesario retirar y transferir con precaución. Se puede considerar el uso de transferencia MEV o buscar la asistencia de un equipo de seguridad profesional para evitar que los hackers intercepten nuevamente.
El phishing basado en Permit2 podría aumentar en el futuro. Este método de phishing por firma es extremadamente sigiloso y difícil de prevenir. A medida que se amplía el alcance de Permit2, también aumentarán las direcciones expuestas al riesgo. Espero que los lectores puedan difundir esta información para ayudar a más personas a evitar pérdidas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
5
Republicar
Compartir
Comentar
0/400
LeverageAddict
· 08-08 15:56
¡Otra vez han robado la firma! Haha
Ver originalesResponder0
wagmi_eventually
· 08-08 15:54
No firmes, la trampa ha vuelto...
Ver originalesResponder0
rug_connoisseur
· 08-08 15:51
Piensa bien antes de firmar, no seas codicioso.
Ver originalesResponder0
DaoGovernanceOfficer
· 08-08 15:45
*suspiro* yet another exploit that basic protocolo design principles could've prevented...
Advertencia sobre el phishing de firmas Permit2 de nueva generación para proteger la seguridad del activo de los usuarios de DEX
¿Te roban al firmar? Revelando el Lavado de ojos de la firma de Uniswap Permit2
Los hackers son una presencia temida en el ecosistema Web3. Para los desarrolladores de proyectos, la característica de código abierto les hace estar en una cuerda floja durante el desarrollo, temiendo cometer un error en una línea de código que deje una vulnerabilidad. Una vez que ocurre un accidente de seguridad, las consecuencias son difíciles de asumir.
Para los usuarios individuales, si no comprenden el significado de las operaciones que están realizando, cada interacción o firma en la cadena puede resultar en el robo de activos. Por lo tanto, los problemas de seguridad siempre han sido uno de los más difíciles en el mundo de las criptomonedas. Debido a las características de la blockchain, una vez que los activos son robados, es casi imposible recuperarlos, por lo que es especialmente importante tener conocimientos de seguridad en el mundo de las criptomonedas.
Recientemente, un investigador ha descubierto un nuevo método de phishing que ha estado activo durante los últimos dos meses. Este método solo requiere una firma para que los activos sean robados, y la técnica es extremadamente encubierta y difícil de prevenir. Lo que es peor, las direcciones que han interactuado con algún DEX pueden estar en riesgo. Este artículo tendrá como objetivo educar sobre este método de phishing por firma, para evitar que más usuarios sufran pérdidas de activos.
La historia comienza con el incidente de robo de activos de un amigo (, el pequeño A ). A diferencia de las situaciones de robo comunes, el pequeño A no filtró su clave privada, ni interactuó con contratos sospechosos. A través del explorador de blockchain se puede ver que los USDT en la billetera del pequeño A fueron transferidos mediante la función Transfer From. Esto significa que fue otra dirección la que operó para mover el Token, y no la filtración de la clave privada de la billetera.
Detalles de la transacción:
La cuestión clave es, ¿cómo obtuvo esta dirección el acceso a los activos de Xiao A? ¿Por qué está relacionada con algún DEX?
Para llamar a la función Transfer From, el llamador necesita tener el permiso de monto del Token (approve). Antes de transferir los activos de Xiao A en esa dirección, se realizó una operación de Permiso, y los objetos de interacción de ambas operaciones son el contrato Permit2 de un DEX.
El contrato Permit2 de un DEX es un nuevo contrato inteligente lanzado por la plataforma a finales de 2022. Permite la autorización de tokens para compartir y gestionar en diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, económica y segura. En el futuro, a medida que más proyectos integren Permit2, se espera que se normalice la aprobación de tokens en todas las aplicaciones, reduciendo así los costos de transacción y mejorando la experiencia del usuario.
En los métodos de interacción tradicionales, los usuarios deben autorizar cada vez que interactúan con un DApp para manejar activos. Permit2 actúa como intermediario entre el usuario y el DApp; el usuario solo necesita autorizar el Token al contrato de Permit2, y todos los DApps que integren este contrato pueden compartir este límite de autorización. Esto reduce significativamente el costo de interacción para el usuario y mejora la experiencia.
Sin embargo, Permit2 también es una espada de doble filo. Convierte las operaciones del usuario en firmas fuera de la cadena, y todas las operaciones en la cadena son realizadas por un intermediario. La ventaja de esto es que, incluso si la billetera del usuario no tiene ETH, puede usar otros tokens para pagar las tarifas de gas o ser reembolsado por el intermediario. Pero la firma fuera de la cadena es precisamente el aspecto que los usuarios más tienden a pasar por alto.
Para desencadenar esta estafa de firma de Permit2, el requisito clave es que la billetera debe tener autorización de Token para el contrato Permit2 de algún DEX. Actualmente, siempre que se realice un Swap en una DApp integrada con Permit2 o en ese DEX, se requiere esta autorización. Lo que es aún más preocupante es que, sin importar la cantidad que se desea intercambiar, el contrato Permit2 por defecto permite al usuario autorizar el saldo total de ese Token.
Esto significa que, siempre que hayas interactuado con este DEX después de 2023 y hayas autorizado al contrato Permit2, podrías estar expuesto al riesgo de este Lavado de ojos. Los hackers utilizan la función Permit para transferir el límite de tokens que autorizaste al contrato Permit2 a otras direcciones a través de tu firma. Una vez que obtienen tu firma, pueden transferir los activos de tu billetera.
Actualmente se observa que el contrato Permit2 de un DEX se ha convertido en un "parque de diversiones" para los phishers, y este tipo de phishing con firmas Permit2 parece haber comenzado a activarse hace aproximadamente dos meses. En los registros de interacción del contrato, la mayoría son direcciones de phishing marcadas, y continuamente hay personas cayendo en la trampa.
Considerando que el contrato Permit2 podría volverse más común en el futuro, y que más proyectos podrían integrarlo para compartir autorizaciones, a continuación se presentan algunas recomendaciones efectivas de prevención:
Separar el uso de activos y la billetera de interacción. Almacenar grandes activos en una billetera fría y mantener solo una pequeña cantidad de fondos en la billetera de interacción puede reducir significativamente las pérdidas por phishing.
Autoriza con precaución el límite del contrato Permit2. Al realizar un Swap, solo autoriza la cantidad necesaria. Aunque se aumentarán los costos al requerir una nueva autorización en cada interacción, esto puede evitar caer en el lavado de ojos de firmas de Permit2. Lo autorizado se puede cancelar a través de un complemento de seguridad.
Verificar si el token admite la función de permiso. Prestar atención a si los tokens que posee admiten esta función; si es así, debe ser especialmente cauteloso y revisar minuciosamente cada firma desconocida.
Establecer un plan de rescate de activos completo. Si se enfrenta a un Lavado de ojos pero todavía tiene tokens en otras plataformas, es necesario retirar y transferir con precaución. Se puede considerar el uso de transferencia MEV o buscar la asistencia de un equipo de seguridad profesional para evitar que los hackers intercepten nuevamente.
El phishing basado en Permit2 podría aumentar en el futuro. Este método de phishing por firma es extremadamente sigiloso y difícil de prevenir. A medida que se amplía el alcance de Permit2, también aumentarán las direcciones expuestas al riesgo. Espero que los lectores puedan difundir esta información para ayudar a más personas a evitar pérdidas.