Відкриття таємниць риболовлі на підписах Uniswap Permit2
Хакери є жахливим існуванням в екосистемі Web3. Для проектів відкритий код є рисою, що змушує їх не на жарт переживати під час розробки, побоюючись, що одна помилка в коді залишить вразливість. Для особистих користувачів, якщо вони не розуміють значення дій, що відбуваються, кожна взаємодія з мережею або підпис може призвести до крадіжки активів. Тому питання безпеки завжди було одним з найскладніших у світі криптовалют. Через особливості блокчейну, як тільки активи вкрадені, їх практично неможливо повернути, тому знання про безпеку в криптовалютному світі надзвичайно важливе.
Нещодавно дослідники виявили новий метод фішингу, який активізувався приблизно два місяці тому. Достатньо підписати транзакцію, і ваші кошти можуть бути вкрадені. Метод надзвичайно прихований і важко запобігти йому, а адреси, які раніше взаємодіяли з певним DEX, можуть опинитися під ризиком. У цій статті буде проаналізовано цей метод фішингу через підпис, щоб уникнути подальших втрат активів для користувачів.
Хід подій
Нещодавно один користувач (, тимчасово названий малий А, втратив свої активи в гаманці. На відміну від звичних способів крадіжки, малий А не розкривав приватний ключ і не взаємодіяв з контрактами фішингових сайтів.
За допомогою блокчейн-браузера можна побачити, що вкрадені USDT з гаманця малого A були переміщені через функцію Transfer From. Це означає, що цей викрадений актив був переміщений з іншої адреси, а не через витік приватного ключа гаманця.
Деталі交易显示:
Адреса з закінченням fd51 перевела активи маленького A на адресу з закінченням a0c8
Ця операція взаємодіє з контрактом Permit2 певного DEX.
Ключове питання: як адреса з останніми двома цифрами fd51 отримала доступ до цих активів? Чому це пов'язано з якимось DEX?
Подальше розслідування виявило, що перед переміщенням активів малюка А, ця адреса також виконала операцію Permit, і об'єктами взаємодії цих двох операцій є контракт Permit2 певного DEX.
![Підписано і вкрадено? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Контракт Permit2 є новим контрактом, який був запущений певною DEX наприкінці 2022 року. Він дозволяє токенам надавати дозволи на спільне використання та управління в різних додатках, з метою створення більш єдиного, економічного та безпечного користувацького досвіду. Зі зростанням кількості проектів, що інтегрують Permit2, очікується, що він реалізує стандартизацію затвердження токенів у всіх додатках, покращуючи досвід користувачів шляхом зниження витрат на транзакції та підвищуючи безпеку смарт-контрактів.
Запуск Permit2 може змінити правила гри в усій екосистемі DApp. У традиційному підході користувачам потрібно було окремо надавати доступ для кожної взаємодії з активами в DApp. З Permit2 користувачам потрібно лише надати токен дозволу контракту Permit2, всі DApp, які інтегрували Permit2, можуть ділитися цим дозволом, що значно знижує витрати на взаємодію користувачів і забезпечує кращий досвід.
Однак, Permit2 також є подвійним мечем. Він перетворює дії користувачів з on-chain взаємодії на off-chain підписи, всі on-chain операції виконуються проміжними особами ), такими як контракт Permit2 і інтегровані проекти (. Це приносить переваги, оскільки навіть якщо у гаманці користувача немає ETH, він може сплачувати Gas іншими токенами або отримувати компенсацію від проміжних осіб. Але off-chain підпис також є етапом, який користувачі найчастіше ігнорують, більшість людей не перевіряють уважно зміст підпису, що є найбільш небезпечним моментом.
) методи риболовлі знову з'явилися
Щоб відтворити цю методику фішингу з підписом Permit2, спочатку необхідно, щоб рибальський гаманець мав токен, наданий дозволом для контракту Permit2 на певній DEX. Наразі, щоб здійснити обмін на DApp, інтегрованому з Permit2 або на певній DEX, необхідно надати дозвіл контракту Permit2.
Ще більш страшно те, що незалежно від суми Swap, контракт Permit2 певного DEX за замовчуванням дозволяє користувачеві авторизувати весь баланс цього токена. Хоча гаманець пропонує можливість ввести власну суму, більшість людей просто вибирають максимальне або значення за замовчуванням, а значення за замовчуванням для Permit2 - це безмежний ліміт.
Це означає, що, якщо ви взаємодіяли з якимось DEX після 2023 року та надали дозвіл контракту Permit2, ви можете бути піддані ризику цього замилювання очей.
Основна суть полягає в функції Permit. Кажучи простіше, вона використовує гаманець користувача для передачі ліміту токенів, уповноваженого контракту Permit2, на інші адреси. Хакер, отримавши підпис користувача, може отримати доступ до токенів у гаманці користувача і перевести активи.
![Підписався і був обкрадений? Розкриття шахрайства з підписами Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
) заходи запобігання
Враховуючи, що контракт Permit2 може стати більш поширеним у майбутньому, більше проектів інтегрують його для авторизації спільного доступу, ефективні заходи запобігання включають:
Розуміння та ідентифікація вмісту підпису: Підпис Permit зазвичай містить такі ключові відомості, як Owner, Spender, value, nonce та deadline. Використання безпечних плагінів допомагає в ідентифікації.
Розділення активів та інтерактивного гаманця: рекомендується зберігати значну кількість активів у холодному гаманці, а в щоденному інтерактивному гаманці залишати лише невелику кількість коштів, що може суттєво зменшити втрати у разі фішингу.
Обмеження суми авторизації або скасування авторизації: при обміні на DEX, авторизуйте лише суму, необхідну для взаємодії. Хоча повторна авторизація кожного разу збільшує витрати, це може уникнути ризику фішингу підписів Permit2. Вже авторизовані можна скасувати за допомогою безпечного плагіна.
Визначте, чи підтримує токен функцію permit: зверніть увагу на те, чи підтримує токен, яким ви володієте, цю функцію, якщо підтримує, необхідно бути особливо обережним, ретельно перевіряючи кожен незнайомий підпис.
Розробити вдосконалений план порятунку активів: якщо після обману залишилися токени на інших платформах, потрібно обережно їх знімати та переміщати на безпечну адресу. Можливо, знадобиться використати MEV для переказу або звернутися по допомогу до професійної команди безпеки, щоб уникнути перехоплення хакерами.
В майбутньому риболовля на основі Permit2 може стати все більш поширеною. Цей метод підписування риболовлі надзвичайно прихований і важкий для запобігання, і з розширенням застосування Permit2 також зросте кількість адрес, які піддаються ризику. Сподіваюсь, що читачі зможуть поширити цю інформацію серед більшої кількості людей, щоб уникнути більше втрат.
![Підпис було вкрадено? Розкриття схеми шахрайства з підписами Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
![Підписавшись, ви стали жертвою? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
![Підписка буде вкрадена? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
![Підписався і був обкрадений? Розкриття риболовлі на підпис Uniswap Permit2 замилювання очей])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
![Підпис просто вкрали? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(
![Підписка була вкрадена? Розкриття фішингу підписів Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(
![Підписка була вкрадена? Розкриття схемі замилювання очей з підписом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-c2d0bc61729aaca413737ac667eaf7d5.webp(
![Підписано і вкрадено? Розкрито шахрайство з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f72c38a16e315ce33b8cc5567854f5c6.webp(
![Підпис був вкрадений? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-4fdf03afb062f8f5d531cca3cd6330cc.webp(
![Підпис підкрадається? Розкриття схеми шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-dc94f3781aa7b30ba08a99ee827ca2e3.webp(
![Підпис буде вкрадено? Розкриття шахрайства з підписом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-47d14fc32e8b79f43a5a64146a1b355a.webp(
![Підписано і вкрадено? Розкриття рибальства підпису Uniswap Permit2 замилювання очей])https://img-cdn.gateio.im/webp-social/moments-1ce5ef8966b9fc2d1101ba341faad70d.webp(
![Підпис було вкрадено? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3c5d855a6c3bc51a57a4a17fe28b2657.webp(
![Підписався і був обкрадений? Розкриття замилювання очей підпису Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-c1e00cf62c806e99c4188dfa650090ce.webp(
![Підписався, і мене обікрали? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-b80025f211f7c0ef6371b6bd1a309ebc.webp(
![Підпис був вкрадений? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1b868982a90873ccc2af4ad8c5e4f1ff.webp(
![Підпис і справді вкрали? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd.webp(
![Підписався і був обманутий? Розкриття фішингу підписів Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3213312ac0a792dabb27109da5084835.webp(
![Підпис став викраденим? Розкриття схеми шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-fad2e7cbe2aaf3d695362fca4640ff4f.webp(
![Підписався і був вкрадений? Розкриття замилювання очей підпису Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0030f2fe9e740084b05db9e08c389be7.webp(
![Підписка була вкрадена? Розкриття замилювання очей підпису Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-9e636d675ee5c6c6e57ed6022fce956a.webp(
![Підписався і тебе обікрали? Розкриття замилювання очей підпису Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-8961f519f6452dbcd4876e0135b0cb64.webp(
![Підписавшись, вас обдурять? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1a57d7d1db3a8e31c46432f068871722.webp(
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
22 лайків
Нагородити
22
7
Поділіться
Прокоментувати
0/400
OnchainGossiper
· 07-20 15:31
Таки жахливо, мабуть. У криптосвіті можна випадково остигнути.
Переглянути оригіналвідповісти на0
UnluckyValidator
· 07-20 13:12
Послухай мою пораду, підпис не слід робити надто випадковим.
Переглянути оригіналвідповісти на0
SelfMadeRuggee
· 07-17 16:13
Хакер знову показує нові трюки… Фьйо
Переглянути оригіналвідповісти на0
LiquidationAlert
· 07-17 16:11
Погрався з гаманець і він зник.
Переглянути оригіналвідповісти на0
DisillusiionOracle
· 07-17 16:06
Підпишеш і все... Світ контрактів занадто страшний
Переглянути оригіналвідповісти на0
LiquidationWatcher
· 07-17 16:03
Чорна і глибока вода
Переглянути оригіналвідповісти на0
RugPullAlertBot
· 07-17 16:02
Знову заклали міни, будьте обережні, щоб не потрапити в пастку.
Підписування Permit2 фішингове замилювання очей: користувачам певного DEX слід бути обережними щодо ризику крадіжки активів
Відкриття таємниць риболовлі на підписах Uniswap Permit2
Хакери є жахливим існуванням в екосистемі Web3. Для проектів відкритий код є рисою, що змушує їх не на жарт переживати під час розробки, побоюючись, що одна помилка в коді залишить вразливість. Для особистих користувачів, якщо вони не розуміють значення дій, що відбуваються, кожна взаємодія з мережею або підпис може призвести до крадіжки активів. Тому питання безпеки завжди було одним з найскладніших у світі криптовалют. Через особливості блокчейну, як тільки активи вкрадені, їх практично неможливо повернути, тому знання про безпеку в криптовалютному світі надзвичайно важливе.
Нещодавно дослідники виявили новий метод фішингу, який активізувався приблизно два місяці тому. Достатньо підписати транзакцію, і ваші кошти можуть бути вкрадені. Метод надзвичайно прихований і важко запобігти йому, а адреси, які раніше взаємодіяли з певним DEX, можуть опинитися під ризиком. У цій статті буде проаналізовано цей метод фішингу через підпис, щоб уникнути подальших втрат активів для користувачів.
Хід подій
Нещодавно один користувач (, тимчасово названий малий А, втратив свої активи в гаманці. На відміну від звичних способів крадіжки, малий А не розкривав приватний ключ і не взаємодіяв з контрактами фішингових сайтів.
За допомогою блокчейн-браузера можна побачити, що вкрадені USDT з гаманця малого A були переміщені через функцію Transfer From. Це означає, що цей викрадений актив був переміщений з іншої адреси, а не через витік приватного ключа гаманця.
Деталі交易显示:
Ключове питання: як адреса з останніми двома цифрами fd51 отримала доступ до цих активів? Чому це пов'язано з якимось DEX?
Подальше розслідування виявило, що перед переміщенням активів малюка А, ця адреса також виконала операцію Permit, і об'єктами взаємодії цих двох операцій є контракт Permit2 певного DEX.
![Підписано і вкрадено? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Контракт Permit2 є новим контрактом, який був запущений певною DEX наприкінці 2022 року. Він дозволяє токенам надавати дозволи на спільне використання та управління в різних додатках, з метою створення більш єдиного, економічного та безпечного користувацького досвіду. Зі зростанням кількості проектів, що інтегрують Permit2, очікується, що він реалізує стандартизацію затвердження токенів у всіх додатках, покращуючи досвід користувачів шляхом зниження витрат на транзакції та підвищуючи безпеку смарт-контрактів.
Запуск Permit2 може змінити правила гри в усій екосистемі DApp. У традиційному підході користувачам потрібно було окремо надавати доступ для кожної взаємодії з активами в DApp. З Permit2 користувачам потрібно лише надати токен дозволу контракту Permit2, всі DApp, які інтегрували Permit2, можуть ділитися цим дозволом, що значно знижує витрати на взаємодію користувачів і забезпечує кращий досвід.
Однак, Permit2 також є подвійним мечем. Він перетворює дії користувачів з on-chain взаємодії на off-chain підписи, всі on-chain операції виконуються проміжними особами ), такими як контракт Permit2 і інтегровані проекти (. Це приносить переваги, оскільки навіть якщо у гаманці користувача немає ETH, він може сплачувати Gas іншими токенами або отримувати компенсацію від проміжних осіб. Але off-chain підпис також є етапом, який користувачі найчастіше ігнорують, більшість людей не перевіряють уважно зміст підпису, що є найбільш небезпечним моментом.
) методи риболовлі знову з'явилися
Щоб відтворити цю методику фішингу з підписом Permit2, спочатку необхідно, щоб рибальський гаманець мав токен, наданий дозволом для контракту Permit2 на певній DEX. Наразі, щоб здійснити обмін на DApp, інтегрованому з Permit2 або на певній DEX, необхідно надати дозвіл контракту Permit2.
Ще більш страшно те, що незалежно від суми Swap, контракт Permit2 певного DEX за замовчуванням дозволяє користувачеві авторизувати весь баланс цього токена. Хоча гаманець пропонує можливість ввести власну суму, більшість людей просто вибирають максимальне або значення за замовчуванням, а значення за замовчуванням для Permit2 - це безмежний ліміт.
Це означає, що, якщо ви взаємодіяли з якимось DEX після 2023 року та надали дозвіл контракту Permit2, ви можете бути піддані ризику цього замилювання очей.
Основна суть полягає в функції Permit. Кажучи простіше, вона використовує гаманець користувача для передачі ліміту токенів, уповноваженого контракту Permit2, на інші адреси. Хакер, отримавши підпис користувача, може отримати доступ до токенів у гаманці користувача і перевести активи.
![Підписався і був обкрадений? Розкриття шахрайства з підписами Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
) заходи запобігання
Враховуючи, що контракт Permit2 може стати більш поширеним у майбутньому, більше проектів інтегрують його для авторизації спільного доступу, ефективні заходи запобігання включають:
Розуміння та ідентифікація вмісту підпису: Підпис Permit зазвичай містить такі ключові відомості, як Owner, Spender, value, nonce та deadline. Використання безпечних плагінів допомагає в ідентифікації.
Розділення активів та інтерактивного гаманця: рекомендується зберігати значну кількість активів у холодному гаманці, а в щоденному інтерактивному гаманці залишати лише невелику кількість коштів, що може суттєво зменшити втрати у разі фішингу.
Обмеження суми авторизації або скасування авторизації: при обміні на DEX, авторизуйте лише суму, необхідну для взаємодії. Хоча повторна авторизація кожного разу збільшує витрати, це може уникнути ризику фішингу підписів Permit2. Вже авторизовані можна скасувати за допомогою безпечного плагіна.
Визначте, чи підтримує токен функцію permit: зверніть увагу на те, чи підтримує токен, яким ви володієте, цю функцію, якщо підтримує, необхідно бути особливо обережним, ретельно перевіряючи кожен незнайомий підпис.
Розробити вдосконалений план порятунку активів: якщо після обману залишилися токени на інших платформах, потрібно обережно їх знімати та переміщати на безпечну адресу. Можливо, знадобиться використати MEV для переказу або звернутися по допомогу до професійної команди безпеки, щоб уникнути перехоплення хакерами.
В майбутньому риболовля на основі Permit2 може стати все більш поширеною. Цей метод підписування риболовлі надзвичайно прихований і важкий для запобігання, і з розширенням застосування Permit2 також зросте кількість адрес, які піддаються ризику. Сподіваюсь, що читачі зможуть поширити цю інформацію серед більшої кількості людей, щоб уникнути більше втрат.
![Підпис було вкрадено? Розкриття схеми шахрайства з підписами Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
![Підписавшись, ви стали жертвою? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
![Підписка буде вкрадена? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
![Підписався і був обкрадений? Розкриття риболовлі на підпис Uniswap Permit2 замилювання очей])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
![Підпис просто вкрали? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(
![Підписка була вкрадена? Розкриття фішингу підписів Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(
![Підписка була вкрадена? Розкриття схемі замилювання очей з підписом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-c2d0bc61729aaca413737ac667eaf7d5.webp(
![Підписано і вкрадено? Розкрито шахрайство з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f72c38a16e315ce33b8cc5567854f5c6.webp(
![Підпис був вкрадений? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-4fdf03afb062f8f5d531cca3cd6330cc.webp(
![Підпис підкрадається? Розкриття схеми шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-dc94f3781aa7b30ba08a99ee827ca2e3.webp(
![Підпис буде вкрадено? Розкриття шахрайства з підписом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-47d14fc32e8b79f43a5a64146a1b355a.webp(
![Підписано і вкрадено? Розкриття рибальства підпису Uniswap Permit2 замилювання очей])https://img-cdn.gateio.im/webp-social/moments-1ce5ef8966b9fc2d1101ba341faad70d.webp(
![Підпис було вкрадено? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3c5d855a6c3bc51a57a4a17fe28b2657.webp(
![Підписався і був обкрадений? Розкриття замилювання очей підпису Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-c1e00cf62c806e99c4188dfa650090ce.webp(
![Підписався, і мене обікрали? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-b80025f211f7c0ef6371b6bd1a309ebc.webp(
![Підпис був вкрадений? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1b868982a90873ccc2af4ad8c5e4f1ff.webp(
![Підпис і справді вкрали? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd.webp(
![Підписався і був обманутий? Розкриття фішингу підписів Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3213312ac0a792dabb27109da5084835.webp(
![Підпис став викраденим? Розкриття схеми шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-fad2e7cbe2aaf3d695362fca4640ff4f.webp(
![Підписався і був вкрадений? Розкриття замилювання очей підпису Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0030f2fe9e740084b05db9e08c389be7.webp(
![Підписка була вкрадена? Розкриття замилювання очей підпису Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-9e636d675ee5c6c6e57ed6022fce956a.webp(
![Підписався і тебе обікрали? Розкриття замилювання очей підпису Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-8961f519f6452dbcd4876e0135b0cb64.webp(
![Підписавшись, вас обдурять? Розкриття шахрайства з підписами Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1a57d7d1db3a8e31c46432f068871722.webp(