Uniswap Permit2 İmza Balonunu Açığa Çıkarma

Hackerlar, Web3 ekosisteminde korkulan bir varlıktır. Proje ekipleri için, kodun açık kaynak olma özelliği, geliştirme sırasında bir ip gibi üzerinde yürümek anlamına gelir; bir hata yapmak, bir güvenlik açığı bırakmaktan korkarlar. Bireysel kullanıcılar için, eğer yürütülen işlemlerin anlamını anlamazlarsa, her zincir üstü etkileşim veya imza, varlıkların çalınmasına neden olabilir. Bu nedenle güvenlik sorunu, kripto dünyasında en zorlu sorunlardan biri olmaya devam etmektedir. Blok zincirinin özellikleri nedeniyle, bir varlık çalındığında neredeyse geri alınamaz, bu yüzden kripto dünyasında güvenlik bilgisine sahip olmak son derece önemlidir.

Son zamanlarda, araştırmacılar son iki ayda aktif hale gelen yeni bir oltalama yöntemi keşfettiler. Sadece imza atarak dolandırılma riski taşıyorsunuz. Yöntem son derece gizli ve önlenmesi zor; ayrıca, belirli bir DEX ile etkileşimde bulunmuş adresler de risk altında olabilir. Bu yazıda, bu imza oltalama yöntemini analiz edeceğiz, böylece daha fazla kullanıcının varlık kaybı yaşamasını önleyebiliriz.

olay süreci

Son zamanlarda, bir kullanıcı ( kısaca küçük A)'in cüzdan varlıkları çalındı. Yaygın olarak görülen hırsızlık yöntemlerinden farklı olarak, küçük A ne özel anahtarını ifşa etti ne de bir kimlik avı sitesinin sözleşmesiyle etkileşime girdi.

Blockchain tarayıcısı aracılığıyla, A cüzdanının çalınan USDT'sinin Transfer From fonksiyonu ile transfer edildiği görülebilir. Bu, çalınan varlığın başka bir adres tarafından transfer edildiği anlamına gelir, cüzdanın özel anahtarının sızdırılmasından ziyade.

İşlem ayrıntıları gösteriyor:

• fd51 son haneli bir adres, küçük A'nın varlıklarını a0c8 son haneli bir adrese transfer etti.
• Bu işlem, belirli bir DEX'in Permit2 sözleşmesiyle etkileşimde bulunur.

Ana soru şudur: Sonu fd51 ile biten adres bu varlığın yetkisini nasıl elde etti? Neden bir DEX ile ilgili?

Daha fazla araştırma, küçük A'nın varlıklarını transfer etmeden önce, bu adresin bir Permit işlemi gerçekleştirdiğini ve bu iki işlemin etkileşim nesnesinin de bir DEX'in Permit2 sözleşmesi olduğunu ortaya koydu.

Permit2 sözleşmesi, belirli bir DEX'in 2022'nin sonunda tanıttığı yeni bir sözleşmedir. Bu sözleşme, token yetkilendirmesinin farklı uygulamalarda paylaşılmasına ve yönetilmesine olanak tanır ve daha birleşik, maliyet etkin ve güvenli bir kullanıcı deneyimi yaratmayı hedefler. Daha fazla projenin Permit2 ile entegrasyonuyla, tüm uygulamalarda standart Token onayı sağlama umuduyla, işlem maliyetlerini düşürerek kullanıcı deneyimini iyileştirmesi ve akıllı sözleşmelerin güvenliğini artırması beklenmektedir.

Permit2'nin piyasaya sürülmesi, tüm DApp ekosisteminin oyun kurallarını değiştirebilir. Geleneksel yöntemle, kullanıcıların DApp ile her varlık etkileşiminde ayrı ayrı yetki vermesi gerekir. Ancak Permit2 ile kullanıcılar yalnızca Token'ı Permit2 sözleşmesine yetki vermelidir, böylece Permit2'yi entegre eden tüm DApp bu yetki miktarını paylaşabilir, bu da kullanıcı etkileşim maliyetlerini büyük ölçüde düşürür ve daha iyi bir deneyim sunar.

Ancak, Permit2 de bir iki ucu keskin kılıçtır. Kullanıcı işlemlerini zincir üzerindeki etkileşimden zincir dışı imzalamaya dönüştürür, tüm zincir üzerindeki işlemler aracı rolü ( gibi Permit2 sözleşmesi ve entegre projeler ) tarafından gerçekleştirilir. Bunun getirdiği fayda, kullanıcı cüzdanında ETH olmasa bile diğer Token'larla Gas ödenebilmesi veya aracı tarafından tazmin edilmesidir. Ancak zincir dışı imza, kullanıcıların en kolay göz ardı edebileceği aşamadır, çoğu insan imza içeriğini dikkatlice kontrol etmez, bu da en tehlikeli nokta.

balık avlama yöntemi yeniden ortaya çıktı

Bu Permit2 imza oltalama yöntemini yeniden üretmek için, öncelikle oltalama cüzdanının bir Token'ı belirli bir DEX'in Permit2 sözleşmesine yetkilendirilmiş olması gerekir. Şu anda Permit2 ile entegre bir DApp veya belirli bir DEX'te Swap yapmak için, Permit2 sözleşmesine yetki verilmesi gerekmektedir.

Daha da korkutucu olanı, Swap miktarı ne olursa olsun, belirli bir DEX'in Permit2 sözleşmesi, kullanıcıların bu Token'ın tüm bakiyesini yetkilendirmesini varsayılan olarak ayarlamaktadır. Cüzdan, özel giriş miktarını belirtmek için bir uyarı verecek, ancak çoğu kişi doğrudan maksimum veya varsayılan değeri seçecektir ve Permit2'nin varsayılan değeri sınırsız limitidir.

Bu, 2023'ten sonra herhangi bir DEX ile etkileşimde bulunduysanız ve Permit2 sözleşmesine yetki verdiyseniz, bu oltalama eyewash'ının riski altında olabileceğiniz anlamına gelir.

Temel, Permit fonksiyonundadır. Kısacası, kullanıcı cüzdanını kullanarak Permit2 sözleşmesine verilen Token limitinin diğer adreslere aktarılmasını sağlar. Hacker, kullanıcı imzasını alır almaz, kullanıcı cüzdanındaki Token'ların yetkisini ele geçirip varlıkları transfer edebilir.

önlemler

Permit2 sözleşmesinin gelecekte daha fazla yaygınlaşabileceğini ve daha fazla projenin yetkilendirme paylaşımı için bunu entegre edeceğini göz önünde bulundurarak, etkili önleyici tedbirler şunları içerir:

1. İmza içeriğini anlama ve tanıma: Permit imzası genellikle Owner, Spender, value, nonce ve deadline gibi anahtar bilgileri içerir. Güvenli eklentilerin kullanılması tanımayı kolaylaştırır.

2. Varlık cüzdanı ile etkileşim cüzdanının ayrılması: Büyük miktardaki varlıkların soğuk cüzdanda saklanması önerilir, günlük etkileşim cüzdanında sadece az miktarda para bulundurmak, oltalama durumlarında kayıpları önemli ölçüde azaltabilir.

3. Yetki limitini kısıtla veya yetkiyi iptal et: DEX'te Swap yaparken, yalnızca etkileşim için gereken miktarı yetkilendir. Her seferinde yeniden yetkilendirmenin maliyetleri artıracağı doğru, ancak Permit2 imza oltalama riskini önleyebilir. Yetkilendirilmiş olanlar güvenli eklentiyi kullanarak iptal edebilir.

4. Tokenlerin permit işlevini destekleyip desteklemediğini tanıyın: sahip olduğunuz tokenlerin bu işlevi destekleyip desteklemediğine dikkat edin, eğer destekliyorsa ekstra dikkatli olun, her bilinmeyen imzayı titizlikle kontrol edin.

5. Tamamlayıcı bir varlık kurtarma planı oluşturun: Eğer dolandırıldıysanız ve diğer platformlarda hala token'larınız varsa, bunları dikkatlice çekin ve güvenli bir adrese transfer edin. MEV transferi kullanmanız veya profesyonel bir güvenlik ekibinden yardım almanız gerekebilir, hackerların yakalamasını önlemek için.

Gelecekte Permit2 tabanlı oltalama giderek artabilir. Bu tür imza oltalama yöntemi son derece gizli ve önlenmesi zor; Permit2'nin uygulama alanı genişledikçe, maruz kalan adreslerin riski de artacaktır. Okuyucuların bu bilgileri daha fazla kişiye yaymasını umuyoruz, böylece daha fazla insanın kayıplar yaşamasını önleyebiliriz.