Подпись была украдена? Раскрываем мошенничество с фишингом подписей Uniswap Permit2
Хакеры являются устрашающим существом в экосистеме Web3. Для команд проектов открытый исходный код создает условия, при которых они словно ходят по тонкому льду, боясь написать ошибочную строку кода, оставляющую уязвимость. Как только происходит инцидент с безопасностью, последствия трудно нести.
Для личных пользователей, если они не понимают значение своих действий, каждое взаимодействие с цепочкой или подпись может привести к краже активов. Поэтому проблема безопасности всегда была одной из самых сложных в мире криптовалют. Из-за особенностей блокчейна, как только активы украдены, их почти невозможно вернуть, поэтому наличие знаний о безопасности в мире криптовалют особенно важно.
Недавно исследователь обнаружил новый вид фишинга, который активно используется уже два месяца. Этот метод требует лишь подписи, чтобы привести к краже активов, и он крайне скрытен и труден для предотвращения. Худшее в том, что адреса, которые когда-либо взаимодействовали с определенной DEX, могут оказаться под угрозой. В этой статье будет представлено объяснение этого метода подписного фишинга, чтобы максимально избежать потерь активов для большего числа пользователей.
События начались с кражи активов у друга ( маленький А ). В отличие от обычных случаев кражи, маленький А не раскрыл свой приватный ключ и не взаимодействовал с подозрительным контрактом. Через блокчейн-браузер можно увидеть, что USDT из кошелька маленького А был перемещен с помощью функции Transfer From. Это означает, что другой адрес выполнил операцию по перемещению токенов, а не произошло раскрытие приватного ключа кошелька.
Детали сделки показывают:
Один адрес перевел активы маленького А на другой адрес
Эта операция взаимодействует с контрактом Permit2 некоторой DEX.
Ключевой вопрос в том, как этот адрес получил доступ к активам маленького А? Почему это связано с каким-то DEX?
Чтобы вызвать функцию Transfer From, вызывающая сторона должна иметь право на использование лимита токена (approve). Перед тем как перевести активы маленького A с этого адреса, также была выполнена операция Permit, а взаимодействующими объектами двух операций является контракт Permit2 какого-то DEX.
Контракт Permit2 на некоторой DEX является новым смарт-контрактом, выпущенным этой биржей в конце 2022 года. Он позволяет авторизовать токены для совместного использования и управления в разных приложениях, нацеливаясь на создание более унифицированного, экономически эффективного и безопасного пользовательского опыта. В будущем, с интеграцией Permit2 в большее количество проектов, он может стать стандартом для утверждения токенов во всех приложениях, что в свою очередь снизит транзакционные расходы и улучшит пользовательский опыт.
В традиционных способах взаимодействия пользователю необходимо каждый раз отдельно авторизовывать свои активы при взаимодействии с DApp. Однако Permit2 выступает в роли посредника между пользователем и DApp, и пользователю нужно лишь авторизовать токены для контракта Permit2, после чего все DApp, интегрированные с этим контрактом, могут делить этот лимит авторизации. Это значительно снижает затраты пользователя на взаимодействие и улучшает опыт.
Однако Permit2 также является двусторонним мечом. Он превращает действия пользователей в оффлайн-подписи, все операции в сети выполняются промежуточным лицом. Преимущество этого заключается в том, что даже если у пользователя нет ETH в кошельке, он может использовать другие токены для оплаты комиссии за газ или вернуть ее от промежуточного лица. Но именно оффлайн-подпись является той частью, которую пользователи чаще всего игнорируют.
Чтобы активировать этот фишинг с подписанием Permit2, ключевое условие заключается в том, что кошелек должен иметь токен, разрешенный для контракта Permit2 определенной DEX. В настоящее время для обмена на DApp, интегрированный с Permit2, или на этой DEX требуется такое разрешение. Более того, независимо от суммы, которую нужно обменять, контракт Permit2 по умолчанию позволяет пользователю разрешить весь баланс токена.
Это означает, что если вы взаимодействовали с этим DEX после 2023 года и предоставили разрешение контракту Permit2, вы можете быть подвержены риску этого промывания глаз. Хакеры используют функцию Permit, чтобы перевести лимит токенов, который вы разрешили контракту Permit2, на другие адреса с помощью вашей подписи. Как только они получат вашу подпись, они смогут перевести активы из вашего кошелька.
В настоящее время наблюдается, что контракт Permit2 определенного DEX стал "раем" для мошенников, и, похоже, этот вид фишинга с подписями Permit2 начал активно развиваться всего два месяца назад. В записях взаимодействия с контрактом большая часть адресов помечена как фишинговые, и продолжают попадаться новые жертвы.
Учитывая, что контракт Permit2 может стать более распространенным в будущем, и больше проектов могут интегрировать его для авторизации и обмена, вот несколько эффективных рекомендаций по предотвращению:
Научитесь распознавать формат подписи Permit. Обычно он содержит такие ключевые данные, как Owner, Spender, value, nonce и deadline. Использование безопасного плагина может помочь в распознавании.
Разделите использование активов и интерактивного кошелька. Храните крупные активы в холодном кошельке, а в повседневном интерактивном кошельке храните только небольшую сумму средств, что может значительно снизить потери от фишинга.
Осторожно предоставляйте лимиты контракта Permit2. При выполнении Swap разрешайте только необходимую сумму. Хотя повторная авторизация при каждом взаимодействии увеличивает затраты, это поможет избежать фишинга с подделкой подписи Permit2. Разрешенные лимиты можно отменить с помощью безопасного плагина.
Узнайте, поддерживает ли токен функцию permit. Обратите внимание на то, поддерживает ли токен, который вы держите, эту функцию; если поддерживает, будьте особенно осторожны и тщательно проверяйте каждую неизвестную подпись.
Разработать полноценный план спасения активов. Если вы столкнулись с мошенничеством, но токены все еще находятся на других платформах, необходимо осторожно их выводить и переносить. Можно рассмотреть возможность использования MEV-перемещения или обратиться за помощью к профессиональной команде безопасности, чтобы избежать повторного захвата хакерами.
В будущем количество фишинга на основе Permit2 может возрасти. Этот способ фишинга с использованием подписей крайне скрытен и труден для предотвращения. С расширением применения Permit2 также увеличится количество адресов, подвергающихся риску. Надеюсь, читатели смогут распространить эту информацию, чтобы помочь большему числу людей избежать потерь.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
5
Репост
Поделиться
комментарий
0/400
LeverageAddict
· 21ч назад
Снова украли подпись, ха-ха
Посмотреть ОригиналОтветить0
wagmi_eventually
· 21ч назад
别签了 ловушка又来了...
Посмотреть ОригиналОтветить0
rug_connoisseur
· 21ч назад
Перед подписанием подумай хорошенько, не жадничай.
Посмотреть ОригиналОтветить0
DaoGovernanceOfficer
· 21ч назад
*вздох* еще одна уязвимость, которую могли бы предотвратить основные принципы проектирования Протоколов...
Посмотреть ОригиналОтветить0
HallucinationGrower
· 21ч назад
Не подписывайтесь, от одного взгляда голова кружится.
Будьте осторожны с новым фишингом на подписи Permit2. Защитите безопасность активов пользователей DEX.
Подпись была украдена? Раскрываем мошенничество с фишингом подписей Uniswap Permit2
Хакеры являются устрашающим существом в экосистеме Web3. Для команд проектов открытый исходный код создает условия, при которых они словно ходят по тонкому льду, боясь написать ошибочную строку кода, оставляющую уязвимость. Как только происходит инцидент с безопасностью, последствия трудно нести.
Для личных пользователей, если они не понимают значение своих действий, каждое взаимодействие с цепочкой или подпись может привести к краже активов. Поэтому проблема безопасности всегда была одной из самых сложных в мире криптовалют. Из-за особенностей блокчейна, как только активы украдены, их почти невозможно вернуть, поэтому наличие знаний о безопасности в мире криптовалют особенно важно.
Недавно исследователь обнаружил новый вид фишинга, который активно используется уже два месяца. Этот метод требует лишь подписи, чтобы привести к краже активов, и он крайне скрытен и труден для предотвращения. Худшее в том, что адреса, которые когда-либо взаимодействовали с определенной DEX, могут оказаться под угрозой. В этой статье будет представлено объяснение этого метода подписного фишинга, чтобы максимально избежать потерь активов для большего числа пользователей.
События начались с кражи активов у друга ( маленький А ). В отличие от обычных случаев кражи, маленький А не раскрыл свой приватный ключ и не взаимодействовал с подозрительным контрактом. Через блокчейн-браузер можно увидеть, что USDT из кошелька маленького А был перемещен с помощью функции Transfer From. Это означает, что другой адрес выполнил операцию по перемещению токенов, а не произошло раскрытие приватного ключа кошелька.
Детали сделки показывают:
Ключевой вопрос в том, как этот адрес получил доступ к активам маленького А? Почему это связано с каким-то DEX?
Чтобы вызвать функцию Transfer From, вызывающая сторона должна иметь право на использование лимита токена (approve). Перед тем как перевести активы маленького A с этого адреса, также была выполнена операция Permit, а взаимодействующими объектами двух операций является контракт Permit2 какого-то DEX.
Контракт Permit2 на некоторой DEX является новым смарт-контрактом, выпущенным этой биржей в конце 2022 года. Он позволяет авторизовать токены для совместного использования и управления в разных приложениях, нацеливаясь на создание более унифицированного, экономически эффективного и безопасного пользовательского опыта. В будущем, с интеграцией Permit2 в большее количество проектов, он может стать стандартом для утверждения токенов во всех приложениях, что в свою очередь снизит транзакционные расходы и улучшит пользовательский опыт.
В традиционных способах взаимодействия пользователю необходимо каждый раз отдельно авторизовывать свои активы при взаимодействии с DApp. Однако Permit2 выступает в роли посредника между пользователем и DApp, и пользователю нужно лишь авторизовать токены для контракта Permit2, после чего все DApp, интегрированные с этим контрактом, могут делить этот лимит авторизации. Это значительно снижает затраты пользователя на взаимодействие и улучшает опыт.
Однако Permit2 также является двусторонним мечом. Он превращает действия пользователей в оффлайн-подписи, все операции в сети выполняются промежуточным лицом. Преимущество этого заключается в том, что даже если у пользователя нет ETH в кошельке, он может использовать другие токены для оплаты комиссии за газ или вернуть ее от промежуточного лица. Но именно оффлайн-подпись является той частью, которую пользователи чаще всего игнорируют.
Чтобы активировать этот фишинг с подписанием Permit2, ключевое условие заключается в том, что кошелек должен иметь токен, разрешенный для контракта Permit2 определенной DEX. В настоящее время для обмена на DApp, интегрированный с Permit2, или на этой DEX требуется такое разрешение. Более того, независимо от суммы, которую нужно обменять, контракт Permit2 по умолчанию позволяет пользователю разрешить весь баланс токена.
Это означает, что если вы взаимодействовали с этим DEX после 2023 года и предоставили разрешение контракту Permit2, вы можете быть подвержены риску этого промывания глаз. Хакеры используют функцию Permit, чтобы перевести лимит токенов, который вы разрешили контракту Permit2, на другие адреса с помощью вашей подписи. Как только они получат вашу подпись, они смогут перевести активы из вашего кошелька.
В настоящее время наблюдается, что контракт Permit2 определенного DEX стал "раем" для мошенников, и, похоже, этот вид фишинга с подписями Permit2 начал активно развиваться всего два месяца назад. В записях взаимодействия с контрактом большая часть адресов помечена как фишинговые, и продолжают попадаться новые жертвы.
Учитывая, что контракт Permit2 может стать более распространенным в будущем, и больше проектов могут интегрировать его для авторизации и обмена, вот несколько эффективных рекомендаций по предотвращению:
Разделите использование активов и интерактивного кошелька. Храните крупные активы в холодном кошельке, а в повседневном интерактивном кошельке храните только небольшую сумму средств, что может значительно снизить потери от фишинга.
Осторожно предоставляйте лимиты контракта Permit2. При выполнении Swap разрешайте только необходимую сумму. Хотя повторная авторизация при каждом взаимодействии увеличивает затраты, это поможет избежать фишинга с подделкой подписи Permit2. Разрешенные лимиты можно отменить с помощью безопасного плагина.
Узнайте, поддерживает ли токен функцию permit. Обратите внимание на то, поддерживает ли токен, который вы держите, эту функцию; если поддерживает, будьте особенно осторожны и тщательно проверяйте каждую неизвестную подпись.
Разработать полноценный план спасения активов. Если вы столкнулись с мошенничеством, но токены все еще находятся на других платформах, необходимо осторожно их выводить и переносить. Можно рассмотреть возможность использования MEV-перемещения или обратиться за помощью к профессиональной команде безопасности, чтобы избежать повторного захвата хакерами.
В будущем количество фишинга на основе Permit2 может возрасти. Этот способ фишинга с использованием подписей крайне скрытен и труден для предотвращения. С расширением применения Permit2 также увеличится количество адресов, подвергающихся риску. Надеюсь, читатели смогут распространить эту информацию, чтобы помочь большему числу людей избежать потерь.