İmza çalındı mı? Uniswap Permit2 imza oltalama eyewash'ını açığa çıkarıyoruz
Hackerlar, Web3 ekosisteminde korkulan varlıklardır. Proje sahipleri için, açık kaynak kodunun özelliği, geliştirme sırasında ince bir zemin üzerinde yürüyormuş gibi hissetmelerine yol açar, bir satır kodu yanlış yazmaktan ve açık bırakmaktan korkarlar. Bir güvenlik kazası meydana geldiğinde, sonuçlar katlanılmaz hale gelir.
Bireysel kullanıcılar için, eğer yaptıkları işlemlerin anlamını anlamıyorlarsa, her bir zincir üzerindeki etkileşim veya imza varlıkların çalınmasına neden olabilir. Bu nedenle güvenlik sorunu, kripto dünyasının en zorlu sorunlarından biri olmuştur. Blockchain'in özellikleri nedeniyle, bir kez varlık çalındığında neredeyse geri alınamaz, bu yüzden kripto dünyasında güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda, bir araştırmacı son iki ayda aktif olan yeni bir oltalama yöntemini keşfetti. Bu yöntem sadece imza atmayı gerektiriyor ve bu da varlıkların çalınmasına yol açıyor; yöntem son derece gizli ve önlenmesi zor. Daha da kötüsü, bir DEX ile etkileşime geçmiş olan adresler risk altında olabilir. Bu yazıda, bu imza oltalama yöntemini açıklayarak daha fazla kullanıcının varlık kaybı yaşamasını önlemeye çalışacağız.
Olay, bir arkadaşım ( küçük A )'nin varlıklarının çalınmasıyla başladı. Yaygın hırsızlık durumlarından farklı olarak, küçük A özel anahtarını sızdırmamış ve şüpheli sözleşmelerle etkileşime geçmemiştir. Blockchain tarayıcısı aracılığıyla görülebilir ki, küçük A cüzdanındaki USDT, Transfer From fonksiyonu aracılığıyla aktarılmıştır. Bu, başka bir adresin Token'ı taşımak için işlem yaptığı, cüzdanın özel anahtarının sızdırıldığı anlamına gelmez.
İşlem detayları gösteriyor:
Bir adres, küçük A'nın varlıklarını başka bir adrese aktardı.
Bu işlem, belirli bir DEX'in Permit2 sözleşmesi ile etkileşimde bulunmaktır.
Ana sorun, bu adresin küçük A varlıklarına nasıl erişim hakkı kazandığıdır? Neden bir DEX ile bağlantılı?
Transfer From fonksiyonunu çağırmak için, çağıran tarafın bu Token'in limit yetkisine sahip olması gerekir (approve). Bu adresten küçük A varlıklarını almadan önce, bir Permit işlemi gerçekleştirilmiştir; her iki işlemin etkileşim nesnesi de bir DEX'in Permit2 sözleşmesidir.
Bir DEX'in Permit2 akdi, bu borsanın 2022'nin sonunda tanıttığı yeni bir akıllı sözleşmedir. Farklı uygulamalarda token yetkilendirmesine ve yönetimine olanak tanır ve daha birleştirilmiş, daha maliyet etkin ve daha güvenli bir kullanıcı deneyimi yaratmayı hedefler. Gelecekte daha fazla projenin Permit2'yi entegre etmesiyle, tüm uygulamalarda standart Token onaylarının sağlanması ve böylece işlem maliyetlerinin düşürülmesi ve kullanıcı deneyiminin iyileştirilmesi beklenmektedir.
Geleneksel etkileşim yöntemlerinde, kullanıcı DApp ile her varlık etkileşiminde ayrı ayrı yetkilendirme yapmak zorundadır. Permit2, kullanıcı ile DApp arasında bir aracı görevi görerek, kullanıcının yalnızca Token'ı Permit2 sözleşmesine yetkilendirmesi yeterlidir; bu sözleşmeyi entegre eden tüm DApp'ler bu yetki miktarını paylaşabilir. Bu, kullanıcıların etkileşim maliyetlerini büyük ölçüde azaltır ve deneyimi artırır.
Ancak, Permit2 de bir iki taraflı kılıçtır. Kullanıcı işlemlerini zincir dışı imzaya dönüştürür, tüm zincir üzerindeki işlemler ara karakter tarafından gerçekleştirilir. Bunun sağladığı fayda, kullanıcı cüzdanında ETH yoksa bile diğer Token'ları kullanarak Gas ücretini ödeyebilmesi veya ara karakter tarafından geri ödenebilmesidir. Ancak zincir dışı imza, kullanıcıların en kolay göz ardı edebileceği aşamadır.
Bu Permit2 imza oltalama eyewash'ını tetiklemek için, ana ön koşul cüzdanın bir DEX'in Permit2 sözleşmesine Token yetkisi vermesidir. Şu anda Permit2 ile entegre olan DApp veya bu DEX üzerinde Swap yapmak için bu tür bir yetkilendirme gerekmektedir. Daha endişe verici olan ise, Swap yapılacak miktar ne olursa olsun, Permit2 sözleşmesi kullanıcıyı bu Token'ın tüm bakiyesini yetkilendirmeye varsayılan olarak zorlamaktadır.
Bu, 2023'ten sonra bu DEX ile etkileşimde bulunmuş ve Permit2 akdine yetki vermiş olmanız durumunda, bu oltalama eyewash'ına maruz kalabileceğiniz anlamına geliyor. Hacker'lar, Permit fonksiyonunu kullanarak, imzanızla Permit2 akdine yetki verdiğiniz Token limitinizi başka bir adrese transfer edebilirler. İmzanızı aldıktan sonra, cüzdanınızdaki varlıkları transfer edebilirler.
Şu anda gözlemlenen, belirli bir DEX'in Permit2 sözleşmesinin dolandırıcılar için bir "cennet" haline geldiği, bu Permit2 imza dolandırıcılığının iki ay önce aktif olmaya başladığı görünüyor. Sözleşme etkileşim kayıtlarının çoğu, sürekli olarak tuzağa düşen insanlar tarafından işaretlenmiş dolandırıcılık adresleriyle doludur.
Permit2 sözleşmesinin gelecekte daha yaygın hale gelebileceği ve daha fazla projenin yetkilendirme paylaşımı için onu entegre edebileceği göz önüne alındığında, aşağıda bazı etkili önleme önerileri bulunmaktadır:
Permit imza formatını tanımayı öğrenin. Genellikle Owner, Spender, value, nonce ve deadline gibi anahtar bilgileri içerir. Güvenli eklentiler kullanmak tanımaya yardımcı olabilir.
Varlıklar ve etkileşim cüzdanları ayrı kullanılır. Büyük miktardaki varlıklar soğuk cüzdanda saklanmalı, günlük etkileşim cüzdanında sadece az miktarda para bulundurulmalıdır, bu da oltalama kayıplarını büyük ölçüde azaltabilir.
Permit2 sözleşme limitlerini dikkatlice yetkilendirin. Swap yaparken, yalnızca gerekli miktarı yetkilendirin. Her etkileşimde yeniden yetkilendirmenin maliyeti artıracağı doğru olsa da, Permit2 imza oltalamasına maruz kalmayı önleyebilir. Yetkilendirilenler güvenli eklenti aracılığıyla iptal edilebilir.
Tokenlerin permit işlevini destekleyip desteklemediğini öğrenin. Sahip olduğunuz tokenlerin bu işlevi destekleyip desteklemediğine dikkat edin, eğer destekliyorsa ekstra dikkatli olmalı ve her bilinmeyen imzayı dikkatlice kontrol etmelisiniz.
Tamamlayıcı bir varlık kurtarma planı geliştirin. Dolandırıcılığa uğrarsanız ancak hala diğer platformlarda tokenler varsa, dikkatli bir şekilde çekim yapmalı ve transfer etmelisiniz. MEV transferi kullanmayı veya profesyonel bir güvenlik ekibinden yardım almayı düşünebilirsiniz, böylece hackerların tekrar ele geçirmesini önleyebilirsiniz.
Gelecekte Permit2'ye dayalı oltalama saldırılarının artması muhtemel. Bu tür imza oltalama yöntemleri son derece gizli ve önlenmesi zor. Permit2'nin uygulama alanı genişledikçe, riske maruz kalan adresler de artacaktır. Okuyucuların bu bilgileri yayması ve daha fazla kişinin kayıptan korunmasına yardımcı olması umudundayım.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
10 Likes
Reward
10
5
Repost
Share
Comment
0/400
LeverageAddict
· 20h ago
Yine bir imza çalındı, ha ha.
View OriginalReply0
wagmi_eventually
· 20h ago
Başka bir şey imzalama, tuzak yine geldi...
View OriginalReply0
rug_connoisseur
· 20h ago
İmza atmadan önce iyi düşün, küçük kazançlara kapılma.
View OriginalReply0
DaoGovernanceOfficer
· 20h ago
*of* yine temel protokol tasarım prensiplerinin önleyebileceği bir istismar...
Yeni Permit2 imza oltasına dikkat edin, DEX kullanıcılarının varlık güvenliğini koruyun
İmza çalındı mı? Uniswap Permit2 imza oltalama eyewash'ını açığa çıkarıyoruz
Hackerlar, Web3 ekosisteminde korkulan varlıklardır. Proje sahipleri için, açık kaynak kodunun özelliği, geliştirme sırasında ince bir zemin üzerinde yürüyormuş gibi hissetmelerine yol açar, bir satır kodu yanlış yazmaktan ve açık bırakmaktan korkarlar. Bir güvenlik kazası meydana geldiğinde, sonuçlar katlanılmaz hale gelir.
Bireysel kullanıcılar için, eğer yaptıkları işlemlerin anlamını anlamıyorlarsa, her bir zincir üzerindeki etkileşim veya imza varlıkların çalınmasına neden olabilir. Bu nedenle güvenlik sorunu, kripto dünyasının en zorlu sorunlarından biri olmuştur. Blockchain'in özellikleri nedeniyle, bir kez varlık çalındığında neredeyse geri alınamaz, bu yüzden kripto dünyasında güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda, bir araştırmacı son iki ayda aktif olan yeni bir oltalama yöntemini keşfetti. Bu yöntem sadece imza atmayı gerektiriyor ve bu da varlıkların çalınmasına yol açıyor; yöntem son derece gizli ve önlenmesi zor. Daha da kötüsü, bir DEX ile etkileşime geçmiş olan adresler risk altında olabilir. Bu yazıda, bu imza oltalama yöntemini açıklayarak daha fazla kullanıcının varlık kaybı yaşamasını önlemeye çalışacağız.
Olay, bir arkadaşım ( küçük A )'nin varlıklarının çalınmasıyla başladı. Yaygın hırsızlık durumlarından farklı olarak, küçük A özel anahtarını sızdırmamış ve şüpheli sözleşmelerle etkileşime geçmemiştir. Blockchain tarayıcısı aracılığıyla görülebilir ki, küçük A cüzdanındaki USDT, Transfer From fonksiyonu aracılığıyla aktarılmıştır. Bu, başka bir adresin Token'ı taşımak için işlem yaptığı, cüzdanın özel anahtarının sızdırıldığı anlamına gelmez.
İşlem detayları gösteriyor:
Ana sorun, bu adresin küçük A varlıklarına nasıl erişim hakkı kazandığıdır? Neden bir DEX ile bağlantılı?
Transfer From fonksiyonunu çağırmak için, çağıran tarafın bu Token'in limit yetkisine sahip olması gerekir (approve). Bu adresten küçük A varlıklarını almadan önce, bir Permit işlemi gerçekleştirilmiştir; her iki işlemin etkileşim nesnesi de bir DEX'in Permit2 sözleşmesidir.
Bir DEX'in Permit2 akdi, bu borsanın 2022'nin sonunda tanıttığı yeni bir akıllı sözleşmedir. Farklı uygulamalarda token yetkilendirmesine ve yönetimine olanak tanır ve daha birleştirilmiş, daha maliyet etkin ve daha güvenli bir kullanıcı deneyimi yaratmayı hedefler. Gelecekte daha fazla projenin Permit2'yi entegre etmesiyle, tüm uygulamalarda standart Token onaylarının sağlanması ve böylece işlem maliyetlerinin düşürülmesi ve kullanıcı deneyiminin iyileştirilmesi beklenmektedir.
Geleneksel etkileşim yöntemlerinde, kullanıcı DApp ile her varlık etkileşiminde ayrı ayrı yetkilendirme yapmak zorundadır. Permit2, kullanıcı ile DApp arasında bir aracı görevi görerek, kullanıcının yalnızca Token'ı Permit2 sözleşmesine yetkilendirmesi yeterlidir; bu sözleşmeyi entegre eden tüm DApp'ler bu yetki miktarını paylaşabilir. Bu, kullanıcıların etkileşim maliyetlerini büyük ölçüde azaltır ve deneyimi artırır.
Ancak, Permit2 de bir iki taraflı kılıçtır. Kullanıcı işlemlerini zincir dışı imzaya dönüştürür, tüm zincir üzerindeki işlemler ara karakter tarafından gerçekleştirilir. Bunun sağladığı fayda, kullanıcı cüzdanında ETH yoksa bile diğer Token'ları kullanarak Gas ücretini ödeyebilmesi veya ara karakter tarafından geri ödenebilmesidir. Ancak zincir dışı imza, kullanıcıların en kolay göz ardı edebileceği aşamadır.
Bu Permit2 imza oltalama eyewash'ını tetiklemek için, ana ön koşul cüzdanın bir DEX'in Permit2 sözleşmesine Token yetkisi vermesidir. Şu anda Permit2 ile entegre olan DApp veya bu DEX üzerinde Swap yapmak için bu tür bir yetkilendirme gerekmektedir. Daha endişe verici olan ise, Swap yapılacak miktar ne olursa olsun, Permit2 sözleşmesi kullanıcıyı bu Token'ın tüm bakiyesini yetkilendirmeye varsayılan olarak zorlamaktadır.
Bu, 2023'ten sonra bu DEX ile etkileşimde bulunmuş ve Permit2 akdine yetki vermiş olmanız durumunda, bu oltalama eyewash'ına maruz kalabileceğiniz anlamına geliyor. Hacker'lar, Permit fonksiyonunu kullanarak, imzanızla Permit2 akdine yetki verdiğiniz Token limitinizi başka bir adrese transfer edebilirler. İmzanızı aldıktan sonra, cüzdanınızdaki varlıkları transfer edebilirler.
Şu anda gözlemlenen, belirli bir DEX'in Permit2 sözleşmesinin dolandırıcılar için bir "cennet" haline geldiği, bu Permit2 imza dolandırıcılığının iki ay önce aktif olmaya başladığı görünüyor. Sözleşme etkileşim kayıtlarının çoğu, sürekli olarak tuzağa düşen insanlar tarafından işaretlenmiş dolandırıcılık adresleriyle doludur.
Permit2 sözleşmesinin gelecekte daha yaygın hale gelebileceği ve daha fazla projenin yetkilendirme paylaşımı için onu entegre edebileceği göz önüne alındığında, aşağıda bazı etkili önleme önerileri bulunmaktadır:
Varlıklar ve etkileşim cüzdanları ayrı kullanılır. Büyük miktardaki varlıklar soğuk cüzdanda saklanmalı, günlük etkileşim cüzdanında sadece az miktarda para bulundurulmalıdır, bu da oltalama kayıplarını büyük ölçüde azaltabilir.
Permit2 sözleşme limitlerini dikkatlice yetkilendirin. Swap yaparken, yalnızca gerekli miktarı yetkilendirin. Her etkileşimde yeniden yetkilendirmenin maliyeti artıracağı doğru olsa da, Permit2 imza oltalamasına maruz kalmayı önleyebilir. Yetkilendirilenler güvenli eklenti aracılığıyla iptal edilebilir.
Tokenlerin permit işlevini destekleyip desteklemediğini öğrenin. Sahip olduğunuz tokenlerin bu işlevi destekleyip desteklemediğine dikkat edin, eğer destekliyorsa ekstra dikkatli olmalı ve her bilinmeyen imzayı dikkatlice kontrol etmelisiniz.
Tamamlayıcı bir varlık kurtarma planı geliştirin. Dolandırıcılığa uğrarsanız ancak hala diğer platformlarda tokenler varsa, dikkatli bir şekilde çekim yapmalı ve transfer etmelisiniz. MEV transferi kullanmayı veya profesyonel bir güvenlik ekibinden yardım almayı düşünebilirsiniz, böylece hackerların tekrar ele geçirmesini önleyebilirsiniz.
Gelecekte Permit2'ye dayalı oltalama saldırılarının artması muhtemel. Bu tür imza oltalama yöntemleri son derece gizli ve önlenmesi zor. Permit2'nin uygulama alanı genişledikçe, riske maruz kalan adresler de artacaktır. Okuyucuların bu bilgileri yayması ve daha fazla kişinin kayıptan korunmasına yardımcı olması umudundayım.