Раскрытие мошенничества с подделкой подписей Uniswap Permit2

Хакеры являются устрашающим фактором в экосистеме Web3. Для разработчиков открытый исходный код заставляет их чувствовать себя как на тонком льду, опасаясь оставить уязвимости, которые могут привести к инцидентам безопасности. Для индивидуальных пользователей каждое взаимодействие в блокчейне или подпись могут подвергнуть их активы риску кражи. Поэтому вопросы безопасности всегда были одной из болевых точек криптомира. Необратимый характер блокчейна также означает, что украденные активы практически невозможно вернуть, что еще больше подчеркивает важность знаний о безопасности.

В последнее время исследователь безопасности блокчейна обнаружил новый метод фишинга, который может привести к краже активов всего лишь с одной подписью. Этот метод очень скрытен и труден для предотвращения, и адреса, которые когда-либо использовались в Uniswap, могут быть подвержены риску. В этой статье будет подробно разобран этот метод фишинга на основе подписи, чтобы помочь всем избежать больших потерь активов.

Ход событий

Недавно один пользователь (, известный как маленький A, обратился за помощью после кражи активов из его кошелька. В отличие от обычных способов кражи, маленький A не раскрыл свой приватный ключ и не взаимодействовал с подозрительными контрактами. После расследования было установлено, что USDT маленького A был переведен с помощью функции Transfer From, что означает, что активы были переведены третьим адресом, а не в результате утечки приватного ключа.

Дальнейший запрос деталей сделки выявил ключевые улики:

• Адрес с окончанием fd51 перевел активы маленького A на адрес с окончанием a0c8
• Эта операция взаимодействует с контрактом Permit2 Uniswap.

Проблема в том, как адрес с окончанием fd51 получил права на управление активами маленького A? Почему это связано с Uniswap?

Ответ находится в взаимодействиях по адресу с окончанием fd51. Перед переводом активов маленького A этот адрес также выполнил операцию Permit, объектом взаимодействия также является контракт Permit2 от Uniswap.

![Подписываешься и тебя крадут? Раскрытие мошенничества с фишингом подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(

Uniswap Permit2 — это новый контракт, введенный в конце 2022 года, предназначенный для реализации унифицированного управления авторизацией между приложениями, улучшения пользовательского опыта и снижения交易成本. Его основа заключается в том, чтобы преобразовать действия пользователя из цепочечного взаимодействия в оффлайн-подпись, которую выполняет промежуточная роль ), такая как контракт Permit2 (.

Хотя это решение может снизить затраты на взаимодействие пользователей, оно также приносит новые риски. Подпись вне цепочки - это этап, который пользователи чаще всего игнорируют, и многие люди не проверяют внимательно содержание подписи.

Ключевым условием для воспроизведения этого метода рыбалки является то, что кошелек, который будет ловиться, должен иметь токены, разрешенные для контракта Permit2 Uniswap. В настоящее время для выполнения свопа на Dapp, интегрированном с Permit2, или на Uniswap требуется такое разрешение.

Более важно отметить, что контракт Permit2 Uniswap по умолчанию позволяет пользователям авторизовать весь баланс токена. Хотя кошелек предложит ввести произвольную сумму, большинство людей, возможно, выберут максимальную или значение по умолчанию, а значение по умолчанию для Permit2 - это неограниченный лимит.

Это означает, что если вы взаимодействовали с Uniswap и предоставили разрешение контракту Permit2 после 2023 года, вы можете подвергнуться риску этого промывания глаз.

Хакеры используют функцию Permit, чтобы перенаправить лимиты токенов, предоставленных пользователем контракту Permit2, на другие адреса с помощью подписи пользователя. Как только хакеры получают подпись, они могут управлять правами токенов в кошельке пользователя и перемещать активы.

![Подписали и стали жертвой? Раскрываем мошенничество с фишингом подписей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(

Как предотвратить?

Учитывая, что контракт Uniswap Permit2 может стать более распространенным, больше проектов может интегрировать его для авторизационного обмена, вот несколько эффективных мер предосторожности:

1. Понимание и распознавание содержания подписи: научитесь распознавать формат подписи Permit, используйте безопасные плагины для помощи в распознавании.

2. Разделение кошелька активов и интерактивного кошелька: храните крупные активы в холодном кошельке, а в повседневном интерактивном кошельке оставляйте только небольшую сумму.

3. Ограничение суммы авторизации или отмена авторизации: при обмене на Uniswap авторизуйте только необходимую сумму или используйте безопасный плагин для отмены существующей авторизации.

4. Определите, поддерживает ли токен функцию permit: обратите внимание на то, поддерживает ли токен, который вы держите, эту функцию, и будьте особенно осторожны с торговлей токенами, которые ее поддерживают.

5. Разработка усовершенствованного плана спасения активов: если после кражи токены остаются на других платформах, необходимо осторожно разработать план извлечения и перемещения, возможно, стоит рассмотреть использование MEV для перемещения или обратиться за помощью к профессиональной команде безопасности.

С расширением применения Permit2, основанные на нем методы фишинга могут становиться все более разнообразными. Этот способ фишинга с использованием подписей крайне скрытен и труден для предотвращения, и количество адресов, подвергающихся риску, будет постоянно расти. Надеюсь, что эта статья поможет большему числу людей понять и предотвратить этот новый вид промывания глаз, защитив свои цифровые активы.

![Подписка была украдена? Раскрываем мошенничество с рыболовством на подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(