サインが盗まれた？Uniswap Permit2サインフィッシング目薬の真相

ハッカーはWeb3エコシステムの中で恐れられる存在です。プロジェクト側にとって、オープンソースコードの特性は、開発時に非常に慎重になる原因となり、一行のコードを間違えることで脆弱性が生じることを恐れています。一度でもセキュリティ事故が発生すると、その結果は耐え難いものになります。

個人ユーザーにとって、自分が行っている操作の意味を理解していない場合、毎回のオンチェーンインタラクションや署名が資産の盗難につながる可能性があります。したがって、安全性の問題は暗号の世界で最も厄介な問題の一つです。ブロックチェーンの特性により、一度資産が盗まれるとほぼ回収不可能であるため、暗号の世界では安全知識を持つことが特に重要です。

最近、ある研究者が過去2ヶ月間に活発化した新しいフィッシング手法を発見しました。この方法は署名を行うだけで資産が盗まれる可能性があり、非常に巧妙で防ぐのが難しいです。さらに悪いことに、あるDEXと相互作用したアドレスはすべてリスクにさらされる可能性があります。この記事では、この署名フィッシング手法について解説し、できるだけ多くのユーザーが資産損失を被らないようにします。

事は友人(の資産が盗まれた事件から始まりました。一般的な盗難のケースとは異なり、小Aは秘密鍵を漏らしておらず、疑わしい契約とも相互作用していません。ブロックチェーンブラウザを通じて見ると、小AのウォレットにあるUSDTはTransfer From関数を介して移転されています。これは、別のアドレスが操作を行ってTokenを移動させたことを意味し、ウォレットの秘密鍵が漏えいしたわけではありません。

取引の詳細が表示されます:

• あるアドレスが小Aの資産を別のアドレスに移動しました
• この操作は、あるDEXのPermit2コントラクトと相互作用しています。

! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(

重要な問題は、このアドレスがどのように小Aの資産の権限を取得したのか？なぜあるDEXと関係があるのか？

Transfer From関数を呼び出すには、呼び出し元がそのTokenの限度額権限)approve(を持っている必要があります。そのアドレスから小Aの資産を移動させる前に、Permit操作も行われ、2つの操作の相互対象はあるDEXのPermit2コントラクトです。

! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(

あるDEXのPermit2契約は、取引所が2022年末に導入した新しいスマート契約です。これは、トークンの権限を異なるアプリケーションで共有および管理することを可能にし、より統一された、コスト効率の高い、安全なユーザー体験を生み出すことを目的としています。今後、より多くのプロジェクトがPermit2を統合するにつれて、すべてのアプリケーションでの標準化されたトークン承認を実現し、取引コストを削減し、ユーザー体験を改善することが期待されています。

従来のインタラクション方式では、ユーザーがDAppと資産をやり取りするたびに個別に承認する必要があります。しかし、Permit2はユーザーとDAppの間の仲介者として機能し、ユーザーはTokenをPermit2契約にのみ承認すれば、すべてのその契約を統合したDAppがこの承認限度を共有できます。これにより、ユーザーのインタラクションコストが大幅に削減され、体験が向上します。

! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(

しかし、Permit2は両刃の剣でもあります。ユーザーの操作をオフチェーン署名に変え、すべてのオンチェーン操作は仲介役によって行われます。これによる利点は、ユーザーのウォレットにETHがなくても、他のトークンでガス代を支払ったり、仲介役が払い戻したりできることです。しかし、オフチェーン署名はユーザーが最も見落としやすい部分なのです。

このPermit2署名フィッシング目薬を引き起こすための重要な前提条件は、ウォレットが特定のDEXのPermit2コントラクトに対してトークンの承認を持っている必要があることです。現在、Permit2と統合されたDAppまたはそのDEX上でスワップを行うためには、このような承認が必要です。さらに懸念されるのは、スワップする金額がいくらであっても、Permit2コントラクトはユーザーにそのトークンの全残高を自動的に承認させるということです。

! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(

これは、2023年以降にそのDEXとインタラクションを行い、Permit2コントラクトに権限を与えた場合、このフィッシング目薬のリスクにさらされる可能性があることを意味します。ハッカーはPermit関数を利用して、あなたの署名を通じてあなたがPermit2コントラクトに与えたトークンの限度を他のアドレスに移転します。一度あなたの署名が得られれば、あなたのウォレット内の資産を移転することができます。

! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(

現在観察されているのは、あるDEXのPermit2契約がフィッシャーの"楽園"になっていることです。このPermit2署名フィッシングは、約二ヶ月前から活発になり始めたようです。契約のインタラクション記録の大部分は、マークされたフィッシングアドレスであり、次々と人々が騙されています。

Permit2コントラクトが将来的にさらに普及し、より多くのプロジェクトがそれを統合して権限を共有する可能性を考慮すると、以下は有効な防止策の提案です:

1. Permit署名形式を識別することを学びます。通常、Owner、Spender、value、nonce、deadlineなどの重要な情報が含まれています。安全なプラグインを使用することで識別を助けることができます。

! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(

2. 資産とインタラクティブウォレットを分離して使用します。大額の資産はコールドウォレットに保管し、日常のインタラクティブウォレットには少量の資金のみを保管することで、フィッシングによる損失を大幅に減少させることができます。

3. Permit2コントラクトの額を慎重に承認してください。スワップを行うときは、必要な金額のみを承認します。毎回のインタラクションで再承認が必要になるとコストが増加しますが、Permit2署名フィッシングを避けることができます。承認済みのものは安全プラグインを通じてキャンセルできます。

4. トークンがpermit機能をサポートしているかを確認します。自分が保有しているトークンがこの機能をサポートしているかに注目し、サポートされている場合は特に慎重に行動し、未知の署名を厳密にチェックする必要があります。

5. 完璧な資産救済計画を策定する。詐欺に遭った場合でも、他のプラットフォームにトークンが存在するなら、慎重に引き出して移転する必要がある。MEV移転を利用するか、専門のセキュリティチームの支援を求めて、ハッカーに再度捕らえられるのを避けることを考慮しても良い。

未来Permit2に基づくフィッシングが増える可能性があります。この署名フィッシングの手法は非常に巧妙で、防ぐのが難しいです。Permit2の適用範囲が広がるにつれて、リスクにさらされるアドレスも増加します。読者の皆さんがこの情報を広めて、多くの人々が損失を避ける手助けをできることを願っています。