Assinatura foi roubada? Revelando o esquema de phishing da assinatura do Uniswap Permit2
Os hackers são uma presença temida no ecossistema Web3. Para as equipas de projeto, a característica de código aberto faz com que se sintam em cima de uma lâmina, temendo cometer um erro ao escrever uma linha de código que possa deixar uma vulnerabilidade. Uma vez que um incidente de segurança ocorra, as consequências podem ser difíceis de suportar.
Para os utilizadores individuais, se não entenderem o significado das operações que estão a realizar, cada interação ou assinatura na cadeia pode resultar no roubo de ativos. Por isso, a questão da segurança tem sido uma das mais difíceis no mundo das criptomoedas. Devido às características da blockchain, uma vez que os ativos são roubados, é quase impossível recuperá-los, tornando o conhecimento sobre segurança especialmente importante no mundo das criptomoedas.
Recentemente, um pesquisador descobriu um novo método de phishing ativo nos últimos dois meses. Este método resulta no roubo de ativos apenas com uma assinatura, sendo extremamente discreto e difícil de prevenir. Pior ainda, endereços que já interagiram com um determinado DEX podem estar em risco. Este artigo irá explicar este método de phishing por assinatura, a fim de evitar que mais usuários sofram perdas de ativos.
A situação começou com o roubo de ativos de um amigo, (, chamado Xiao A, ). Ao contrário dos casos de roubo comuns, Xiao A não revelou a sua chave privada, nem interagiu com contratos suspeitos. Através do explorador de blockchain, pode-se ver que o USDT na carteira de Xiao A foi transferido através da função Transfer From. Isso significa que foi um outro endereço que operou para retirar o Token, e não uma revelação da chave privada da carteira.
Detalhes da transação mostram:
Um endereço transferiu os ativos de A para outro endereço
Esta operação interage com o contrato Permit2 de um DEX.
A questão chave é como este endereço obteve permissão para os ativos de A? Por que está relacionado a algum DEX?
Para chamar a função Transfer From, o chamador precisa ter a autorização de limite do Token (approve). Antes de transferir os ativos do pequeno A para esse endereço, foi realizada uma operação de Permit, e os objetos de interação das duas operações são ambos o contrato Permit2 de um DEX.
O contrato Permit2 de um DEX é um novo contrato inteligente lançado por essa exchange no final de 2022. Ele permite a autorização de tokens para serem compartilhados e geridos em diferentes aplicações, visando criar uma experiência de usuário mais unificada, econômica e segura. No futuro, à medida que mais projetos integrarem o Permit2, espera-se que ele padronize a autorização de tokens em todas as aplicações, reduzindo assim os custos de transação e melhorando a experiência do usuário.
Nos métodos tradicionais de interação, o usuário precisa autorizar separadamente cada interação de ativos com o DApp. O Permit2 atua como um intermediário entre o usuário e o DApp, permitindo que o usuário autorize apenas o contrato Permit2 com os Tokens, e todos os DApps que integram esse contrato podem compartilhar esse limite de autorização. Isso reduz significativamente o custo de interação do usuário e melhora a experiência.
No entanto, o Permit2 também é uma espada de dois gumes. Ele transforma as operações do usuário em assinaturas off-chain, com todas as operações on-chain realizadas por um intermediário. O benefício disso é que, mesmo que a carteira do usuário não tenha ETH, ele pode usar outros Tokens para pagar as taxas de Gas ou ser reembolsado pelo intermediário. Mas a assinatura off-chain é precisamente a parte que os usuários mais tendem a ignorar.
Para ativar este golpe de phishing com a assinatura do Permit2, a condição chave é que a carteira precisa ter autorização de Token para o contrato Permit2 de algum DEX. Atualmente, qualquer operação de Swap em um DApp integrado com o Permit2 ou nesse DEX requer essa autorização. O que é ainda mais preocupante é que, independentemente do valor a ser trocado, o contrato Permit2 irá, por padrão, permitir que o usuário autorize o saldo total desse Token.
Isto significa que, desde que tenhas interagido com este DEX após 2023 e autorizado o contrato Permit2, poderás estar exposto ao risco deste golpe de phishing. Os hackers utilizam a função Permit para transferir a quantidade de Token que autorizaste ao contrato Permit2 para outros endereços através da tua assinatura. Uma vez que obtêm a tua assinatura, podem transferir os ativos da tua carteira.
Atualmente, observa-se que o contrato Permit2 de um certo DEX se tornou um "paraíso" para os golpistas; este tipo de phishing com assinatura Permit2 parece ter começado a ganhar destaque há cerca de dois meses. Nos registros de interação do contrato, a maioria são endereços de phishing marcados, com muitas pessoas caindo na armadilha.
Considerando que o contrato Permit2 pode se tornar mais comum no futuro, é provável que mais projetos o integrem para compartilhamento de autorizações. Abaixo estão algumas sugestões eficazes de prevenção:
Aprenda a reconhecer o formato da assinatura do Permit. Geralmente inclui informações chave como Owner, Spender, value, nonce e deadline. Usar plugins de segurança pode ajudar na identificação.
Separar o uso de ativos e carteiras de interação. Armazenar grandes ativos em uma carteira fria, enquanto a carteira de interação do dia a dia deve conter apenas uma pequena quantidade de fundos, o que pode reduzir significativamente as perdas por phishing.
Autorize com cautela o valor do contrato Permit2. Ao realizar uma troca, autorize apenas o montante necessário. Embora a necessidade de reautorizar a cada interação aumente os custos, isso pode evitar a exposição a phishing de assinaturas Permit2. As autorizações podem ser canceladas através de plugins de segurança.
Verifique se o token suporta a função permit. Preste atenção se os tokens que possui suportam esta função; se suportarem, deve ter um cuidado extra e verificar rigorosamente cada assinatura desconhecida.
Elaborar um plano de resgate de ativos completo. Se você for vítima de um golpe mas ainda tiver tokens em outras plataformas, deve retirar e transferir com cautela. Pode considerar usar a transferência MEV ou procurar a assistência de uma equipe de segurança profissional, a fim de evitar que hackers interceptem novamente.
No futuro, a pesca baseada no Permit2 pode aumentar. Este método de phishing por assinatura é extremamente discreto e difícil de prevenir. À medida que a aplicação do Permit2 se expande, o número de endereços expostos ao risco também aumentará. Esperamos que os leitores possam divulgar estas informações para ajudar mais pessoas a evitar perdas.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
5
Repostar
Compartilhar
Comentário
0/400
LeverageAddict
· 23h atrás
Outra vez roubaram a assinatura. Que chato!
Ver originalResponder0
wagmi_eventually
· 23h atrás
Não assine, a armadilha está de volta...
Ver originalResponder0
rug_connoisseur
· 23h atrás
Pense bem antes de assinar, não seja ganancioso por pequenos benefícios.
Ver originalResponder0
DaoGovernanceOfficer
· 23h atrás
*sigh* mais uma exploração que princípios básicos de design de protocolo poderiam ter prevenido...
Cuidado com o novo phishing de assinatura Permit2, proteja a segurança do ativo dos usuários DEX.
Assinatura foi roubada? Revelando o esquema de phishing da assinatura do Uniswap Permit2
Os hackers são uma presença temida no ecossistema Web3. Para as equipas de projeto, a característica de código aberto faz com que se sintam em cima de uma lâmina, temendo cometer um erro ao escrever uma linha de código que possa deixar uma vulnerabilidade. Uma vez que um incidente de segurança ocorra, as consequências podem ser difíceis de suportar.
Para os utilizadores individuais, se não entenderem o significado das operações que estão a realizar, cada interação ou assinatura na cadeia pode resultar no roubo de ativos. Por isso, a questão da segurança tem sido uma das mais difíceis no mundo das criptomoedas. Devido às características da blockchain, uma vez que os ativos são roubados, é quase impossível recuperá-los, tornando o conhecimento sobre segurança especialmente importante no mundo das criptomoedas.
Recentemente, um pesquisador descobriu um novo método de phishing ativo nos últimos dois meses. Este método resulta no roubo de ativos apenas com uma assinatura, sendo extremamente discreto e difícil de prevenir. Pior ainda, endereços que já interagiram com um determinado DEX podem estar em risco. Este artigo irá explicar este método de phishing por assinatura, a fim de evitar que mais usuários sofram perdas de ativos.
A situação começou com o roubo de ativos de um amigo, (, chamado Xiao A, ). Ao contrário dos casos de roubo comuns, Xiao A não revelou a sua chave privada, nem interagiu com contratos suspeitos. Através do explorador de blockchain, pode-se ver que o USDT na carteira de Xiao A foi transferido através da função Transfer From. Isso significa que foi um outro endereço que operou para retirar o Token, e não uma revelação da chave privada da carteira.
Detalhes da transação mostram:
A questão chave é como este endereço obteve permissão para os ativos de A? Por que está relacionado a algum DEX?
Para chamar a função Transfer From, o chamador precisa ter a autorização de limite do Token (approve). Antes de transferir os ativos do pequeno A para esse endereço, foi realizada uma operação de Permit, e os objetos de interação das duas operações são ambos o contrato Permit2 de um DEX.
O contrato Permit2 de um DEX é um novo contrato inteligente lançado por essa exchange no final de 2022. Ele permite a autorização de tokens para serem compartilhados e geridos em diferentes aplicações, visando criar uma experiência de usuário mais unificada, econômica e segura. No futuro, à medida que mais projetos integrarem o Permit2, espera-se que ele padronize a autorização de tokens em todas as aplicações, reduzindo assim os custos de transação e melhorando a experiência do usuário.
Nos métodos tradicionais de interação, o usuário precisa autorizar separadamente cada interação de ativos com o DApp. O Permit2 atua como um intermediário entre o usuário e o DApp, permitindo que o usuário autorize apenas o contrato Permit2 com os Tokens, e todos os DApps que integram esse contrato podem compartilhar esse limite de autorização. Isso reduz significativamente o custo de interação do usuário e melhora a experiência.
No entanto, o Permit2 também é uma espada de dois gumes. Ele transforma as operações do usuário em assinaturas off-chain, com todas as operações on-chain realizadas por um intermediário. O benefício disso é que, mesmo que a carteira do usuário não tenha ETH, ele pode usar outros Tokens para pagar as taxas de Gas ou ser reembolsado pelo intermediário. Mas a assinatura off-chain é precisamente a parte que os usuários mais tendem a ignorar.
Para ativar este golpe de phishing com a assinatura do Permit2, a condição chave é que a carteira precisa ter autorização de Token para o contrato Permit2 de algum DEX. Atualmente, qualquer operação de Swap em um DApp integrado com o Permit2 ou nesse DEX requer essa autorização. O que é ainda mais preocupante é que, independentemente do valor a ser trocado, o contrato Permit2 irá, por padrão, permitir que o usuário autorize o saldo total desse Token.
Isto significa que, desde que tenhas interagido com este DEX após 2023 e autorizado o contrato Permit2, poderás estar exposto ao risco deste golpe de phishing. Os hackers utilizam a função Permit para transferir a quantidade de Token que autorizaste ao contrato Permit2 para outros endereços através da tua assinatura. Uma vez que obtêm a tua assinatura, podem transferir os ativos da tua carteira.
Atualmente, observa-se que o contrato Permit2 de um certo DEX se tornou um "paraíso" para os golpistas; este tipo de phishing com assinatura Permit2 parece ter começado a ganhar destaque há cerca de dois meses. Nos registros de interação do contrato, a maioria são endereços de phishing marcados, com muitas pessoas caindo na armadilha.
Considerando que o contrato Permit2 pode se tornar mais comum no futuro, é provável que mais projetos o integrem para compartilhamento de autorizações. Abaixo estão algumas sugestões eficazes de prevenção:
Separar o uso de ativos e carteiras de interação. Armazenar grandes ativos em uma carteira fria, enquanto a carteira de interação do dia a dia deve conter apenas uma pequena quantidade de fundos, o que pode reduzir significativamente as perdas por phishing.
Autorize com cautela o valor do contrato Permit2. Ao realizar uma troca, autorize apenas o montante necessário. Embora a necessidade de reautorizar a cada interação aumente os custos, isso pode evitar a exposição a phishing de assinaturas Permit2. As autorizações podem ser canceladas através de plugins de segurança.
Verifique se o token suporta a função permit. Preste atenção se os tokens que possui suportam esta função; se suportarem, deve ter um cuidado extra e verificar rigorosamente cada assinatura desconhecida.
Elaborar um plano de resgate de ativos completo. Se você for vítima de um golpe mas ainda tiver tokens em outras plataformas, deve retirar e transferir com cautela. Pode considerar usar a transferência MEV ou procurar a assistência de uma equipe de segurança profissional, a fim de evitar que hackers interceptem novamente.
No futuro, a pesca baseada no Permit2 pode aumentar. Este método de phishing por assinatura é extremamente discreto e difícil de prevenir. À medida que a aplicação do Permit2 se expande, o número de endereços expostos ao risco também aumentará. Esperamos que os leitores possam divulgar estas informações para ajudar mais pessoas a evitar perdas.