La signature a été volée ? Dévoilement de l'eyewash de phishing par signature Uniswap Permit2
Les hackers sont une présence redoutée dans l'écosystème Web3. Pour les équipes de projet, la nature open source du code les rend très prudents lors du développement, craignant de laisser une vulnérabilité en écrivant une seule ligne de code incorrecte. En cas d'incident de sécurité, les conséquences peuvent être lourdes.
Pour les utilisateurs individuels, si vous ne comprenez pas la signification des opérations que vous effectuez, chaque interaction ou signature sur la chaîne peut entraîner le vol d'actifs. Par conséquent, la sécurité a toujours été l'un des problèmes les plus délicats dans le monde de la cryptographie. En raison des caractéristiques de la blockchain, une fois que les actifs sont volés, il est presque impossible de les récupérer, il est donc particulièrement important de posséder des connaissances en matière de sécurité dans le monde de la cryptographie.
Récemment, un chercheur a découvert une nouvelle méthode de phishing qui a été active ces deux derniers mois. Cette méthode permet de voler des actifs simplement en signant, et est extrêmement discrète et difficile à prévenir. Pire encore, les adresses qui ont interagi avec un certain DEX pourraient également être à risque. Cet article vise à sensibiliser sur cette méthode de phishing par signature, afin d'éviter que d'autres utilisateurs ne subissent des pertes d'actifs.
L'affaire a commencé avec un ami, ( petit A ), dont les actifs ont été volés. Contrairement aux cas de vol habituels, petit A n'a pas divulgué sa clé privée et n'a pas interagi avec des contrats suspects. Grâce à l'explorateur de blockchain, on peut voir que le USDT dans le portefeuille de petit A a été transféré par la fonction Transfer From. Cela signifie qu'une autre adresse a opéré pour retirer le Token, plutôt qu'une fuite de la clé privée du portefeuille.
Détails de la transaction :
Une adresse a transféré les actifs de Xiao A à une autre adresse
Cette opération interagit avec le contrat Permit2 d'un certain DEX.
La question clé est de savoir comment cette adresse a obtenu l'autorisation d'accéder aux actifs de petit A ? Pourquoi cela est-il lié à un certain DEX ?
Pour appeler la fonction Transfer From, le prérequis est que l'appelant doit avoir l'autorisation de montant de ce Token (approve). Avant de transférer les actifs de petit A à cette adresse, une opération de Permis a également été effectuée, les deux objets d'interaction étant le contrat Permit2 de un DEX.
Le contrat Permit2 d'un certain DEX est un nouveau contrat intelligent lancé par cette plateforme d'échange à la fin de 2022. Il permet l'autorisation de jetons pour le partage et la gestion au sein de diverses applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée. À l'avenir, avec l'intégration de Permit2 par plus de projets, il devrait permettre la normalisation des approbations de jetons dans toutes les applications, réduisant ainsi les coûts de transaction et améliorant l'expérience utilisateur.
Dans les méthodes d'interaction traditionnelles, les utilisateurs doivent autoriser séparément chaque interaction d'actif avec le DApp. Permit2 agit comme un intermédiaire entre l'utilisateur et le DApp, permettant à l'utilisateur de n'autoriser les tokens qu'au contrat Permit2, ce qui permet à tous les DApp intégrant ce contrat de partager ce quota d'autorisation. Cela réduit considérablement le coût d'interaction pour l'utilisateur et améliore l'expérience.
Cependant, Permit2 est aussi une arme à double tranchant. Il transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations sur chaîne étant effectuées par un acteur intermédiaire. L'avantage est que même si le portefeuille de l'utilisateur n'a pas d'ETH, il peut payer les frais de Gas avec d'autres tokens ou être remboursé par l'acteur intermédiaire. Mais la signature hors chaîne est précisément l'étape que les utilisateurs ont le plus tendance à négliger.
Pour déclencher cette arnaque de phishing de signature Permit2, la condition clé est que le portefeuille doit avoir autorisé un Token au contrat Permit2 de某DEX. Actuellement, il suffit d'effectuer un Swap sur une DApp intégrée à Permit2 ou sur ce DEX pour exiger ce type d'autorisation. Ce qui est encore plus préoccupant, c'est que peu importe le montant à échanger, le contrat Permit2 par défaut autorisera l'utilisateur à utiliser l'intégralité de son solde de ce Token.
Cela signifie que tant que vous avez interagi avec ce DEX après 2023 et que vous avez autorisé le contrat Permit2, vous pourriez être exposé au risque de ce eyewash de phishing. Les hackers exploitent la fonction Permit pour transférer le montant des tokens que vous avez autorisé au contrat Permit2 à d'autres adresses en utilisant votre signature. Une fois qu'ils ont obtenu votre signature, ils peuvent transférer les actifs de votre portefeuille.
Actuellement, il a été observé qu'un contrat Permit2 de certains DEX est devenu un "paradis" pour les phishing. Ce type de phishing par signature Permit2 semble avoir commencé à être actif il y a environ deux mois. Dans les enregistrements d'interaction avec le contrat, la plupart des adresses signalées sont celles de phishing, et de nombreuses personnes continuent de se faire avoir.
Considérant que le contrat Permit2 pourrait devenir plus courant à l'avenir, et que davantage de projets pourraient l'intégrer pour le partage d'autorisation, voici quelques conseils de prévention efficaces :
Apprenez à reconnaître le format de signature de permis. Il contient généralement des informations clés telles que Owner, Spender, value, nonce et deadline. L'utilisation d'un plugin de sécurité peut aider à l'identification.
Séparer l'utilisation des actifs et des portefeuilles d'interaction. Conservez les actifs importants dans un portefeuille froid, le portefeuille d'interaction quotidien ne doit contenir qu'une petite somme d'argent, ce qui peut réduire considérablement les pertes dues au phishing.
Autoriser avec prudence le montant du contrat Permit2. Lors d'un Swap, n'autorisez que le montant nécessaire. Bien que le fait de devoir réautoriser à chaque interaction augmente les coûts, cela peut éviter de subir des phishing de signature Permit2. Les autorisations peuvent être annulées via un plugin sécurisé.
Vérifiez si le jeton prend en charge la fonction de permis. Faites attention à savoir si le jeton que vous détenez prend en charge cette fonction ; s'il le fait, soyez particulièrement prudent et vérifiez soigneusement chaque signature inconnue.
Élaborer un plan de sauvetage des actifs complet. En cas de fraude, mais si des jetons existent encore sur d'autres plateformes, il est nécessaire de les retirer et de les transférer avec prudence. Il peut être envisagé d'utiliser un transfert MEV ou de demander l'aide d'une équipe de sécurité professionnelle pour éviter que des hackers ne les interceptent à nouveau.
À l'avenir, la pêche basée sur Permit2 pourrait devenir de plus en plus fréquente. Cette méthode de pêche par signature est extrêmement discrète et difficile à prévenir. À mesure que l'application de Permit2 s'étend, le nombre d'adresses exposées aux risques augmentera également. J'espère que les lecteurs pourront diffuser ces informations pour aider davantage de personnes à éviter des pertes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
5
Reposter
Partager
Commentaire
0/400
LeverageAddict
· Il y a 13h
Encore une fois, la signature a été volée. Hā rén.
Voir l'originalRépondre0
wagmi_eventually
· Il y a 13h
Ne signez pas, le piège est de retour...
Voir l'originalRépondre0
rug_connoisseur
· Il y a 13h
Réfléchissez bien avant de signer, ne soyez pas tenté par des petits avantages.
Voir l'originalRépondre0
DaoGovernanceOfficer
· Il y a 13h
*soupir* encore une autre exploitation qui aurait pu être évitée par des principes de conception de protocole de base...
Soyez vigilant face aux nouvelles tentatives de phishing par signature Permit2 pour protéger la sécurité des actifs des utilisateurs de DEX.
La signature a été volée ? Dévoilement de l'eyewash de phishing par signature Uniswap Permit2
Les hackers sont une présence redoutée dans l'écosystème Web3. Pour les équipes de projet, la nature open source du code les rend très prudents lors du développement, craignant de laisser une vulnérabilité en écrivant une seule ligne de code incorrecte. En cas d'incident de sécurité, les conséquences peuvent être lourdes.
Pour les utilisateurs individuels, si vous ne comprenez pas la signification des opérations que vous effectuez, chaque interaction ou signature sur la chaîne peut entraîner le vol d'actifs. Par conséquent, la sécurité a toujours été l'un des problèmes les plus délicats dans le monde de la cryptographie. En raison des caractéristiques de la blockchain, une fois que les actifs sont volés, il est presque impossible de les récupérer, il est donc particulièrement important de posséder des connaissances en matière de sécurité dans le monde de la cryptographie.
Récemment, un chercheur a découvert une nouvelle méthode de phishing qui a été active ces deux derniers mois. Cette méthode permet de voler des actifs simplement en signant, et est extrêmement discrète et difficile à prévenir. Pire encore, les adresses qui ont interagi avec un certain DEX pourraient également être à risque. Cet article vise à sensibiliser sur cette méthode de phishing par signature, afin d'éviter que d'autres utilisateurs ne subissent des pertes d'actifs.
L'affaire a commencé avec un ami, ( petit A ), dont les actifs ont été volés. Contrairement aux cas de vol habituels, petit A n'a pas divulgué sa clé privée et n'a pas interagi avec des contrats suspects. Grâce à l'explorateur de blockchain, on peut voir que le USDT dans le portefeuille de petit A a été transféré par la fonction Transfer From. Cela signifie qu'une autre adresse a opéré pour retirer le Token, plutôt qu'une fuite de la clé privée du portefeuille.
Détails de la transaction :
La question clé est de savoir comment cette adresse a obtenu l'autorisation d'accéder aux actifs de petit A ? Pourquoi cela est-il lié à un certain DEX ?
Pour appeler la fonction Transfer From, le prérequis est que l'appelant doit avoir l'autorisation de montant de ce Token (approve). Avant de transférer les actifs de petit A à cette adresse, une opération de Permis a également été effectuée, les deux objets d'interaction étant le contrat Permit2 de un DEX.
Le contrat Permit2 d'un certain DEX est un nouveau contrat intelligent lancé par cette plateforme d'échange à la fin de 2022. Il permet l'autorisation de jetons pour le partage et la gestion au sein de diverses applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée. À l'avenir, avec l'intégration de Permit2 par plus de projets, il devrait permettre la normalisation des approbations de jetons dans toutes les applications, réduisant ainsi les coûts de transaction et améliorant l'expérience utilisateur.
Dans les méthodes d'interaction traditionnelles, les utilisateurs doivent autoriser séparément chaque interaction d'actif avec le DApp. Permit2 agit comme un intermédiaire entre l'utilisateur et le DApp, permettant à l'utilisateur de n'autoriser les tokens qu'au contrat Permit2, ce qui permet à tous les DApp intégrant ce contrat de partager ce quota d'autorisation. Cela réduit considérablement le coût d'interaction pour l'utilisateur et améliore l'expérience.
Cependant, Permit2 est aussi une arme à double tranchant. Il transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations sur chaîne étant effectuées par un acteur intermédiaire. L'avantage est que même si le portefeuille de l'utilisateur n'a pas d'ETH, il peut payer les frais de Gas avec d'autres tokens ou être remboursé par l'acteur intermédiaire. Mais la signature hors chaîne est précisément l'étape que les utilisateurs ont le plus tendance à négliger.
Pour déclencher cette arnaque de phishing de signature Permit2, la condition clé est que le portefeuille doit avoir autorisé un Token au contrat Permit2 de某DEX. Actuellement, il suffit d'effectuer un Swap sur une DApp intégrée à Permit2 ou sur ce DEX pour exiger ce type d'autorisation. Ce qui est encore plus préoccupant, c'est que peu importe le montant à échanger, le contrat Permit2 par défaut autorisera l'utilisateur à utiliser l'intégralité de son solde de ce Token.
Cela signifie que tant que vous avez interagi avec ce DEX après 2023 et que vous avez autorisé le contrat Permit2, vous pourriez être exposé au risque de ce eyewash de phishing. Les hackers exploitent la fonction Permit pour transférer le montant des tokens que vous avez autorisé au contrat Permit2 à d'autres adresses en utilisant votre signature. Une fois qu'ils ont obtenu votre signature, ils peuvent transférer les actifs de votre portefeuille.
Actuellement, il a été observé qu'un contrat Permit2 de certains DEX est devenu un "paradis" pour les phishing. Ce type de phishing par signature Permit2 semble avoir commencé à être actif il y a environ deux mois. Dans les enregistrements d'interaction avec le contrat, la plupart des adresses signalées sont celles de phishing, et de nombreuses personnes continuent de se faire avoir.
Considérant que le contrat Permit2 pourrait devenir plus courant à l'avenir, et que davantage de projets pourraient l'intégrer pour le partage d'autorisation, voici quelques conseils de prévention efficaces :
Séparer l'utilisation des actifs et des portefeuilles d'interaction. Conservez les actifs importants dans un portefeuille froid, le portefeuille d'interaction quotidien ne doit contenir qu'une petite somme d'argent, ce qui peut réduire considérablement les pertes dues au phishing.
Autoriser avec prudence le montant du contrat Permit2. Lors d'un Swap, n'autorisez que le montant nécessaire. Bien que le fait de devoir réautoriser à chaque interaction augmente les coûts, cela peut éviter de subir des phishing de signature Permit2. Les autorisations peuvent être annulées via un plugin sécurisé.
Vérifiez si le jeton prend en charge la fonction de permis. Faites attention à savoir si le jeton que vous détenez prend en charge cette fonction ; s'il le fait, soyez particulièrement prudent et vérifiez soigneusement chaque signature inconnue.
Élaborer un plan de sauvetage des actifs complet. En cas de fraude, mais si des jetons existent encore sur d'autres plateformes, il est nécessaire de les retirer et de les transférer avec prudence. Il peut être envisagé d'utiliser un transfert MEV ou de demander l'aide d'une équipe de sécurité professionnelle pour éviter que des hackers ne les interceptent à nouveau.
À l'avenir, la pêche basée sur Permit2 pourrait devenir de plus en plus fréquente. Cette méthode de pêche par signature est extrêmement discrète et difficile à prévenir. À mesure que l'application de Permit2 s'étend, le nombre d'adresses exposées aux risques augmentera également. J'espère que les lecteurs pourront diffuser ces informations pour aider davantage de personnes à éviter des pertes.