Підпис був вкрадений? Розкриття шахрайства з підписами Uniswap Permit2
Хакери є страхітливим явищем у екосистемі Web3. Для проектів, відкритий код є характеристикою, яка змушує їх працювати з обережністю, боячись написати навіть один рядок коду, який залишить вразливість. Як тільки стається інцидент з безпекою, наслідки важко витримати.
Для особистих користувачів, якщо вони не розуміють значення операцій, які вони виконують, кожна взаємодія в ланцюгу або підпис може призвести до крадіжки активів. Тому питання безпеки завжди було одним з найбільш складних у криптовалютному світі. Через особливості блокчейну, як тільки активи були вкрадені, їх майже неможливо повернути, тому наявність знань про безпеку в криптовалютному світі є особливо важливою.
Нещодавно один дослідник виявив новий метод фішингу, який активно використовується протягом останніх двох місяців. Цей метод вимагає лише підпису, що призводить до крадіжки активів, і є надзвичайно непомітним та важким для запобігання. Ще гірше, що адреси, які раніше взаємодіяли з певним DEX, також можуть бути під загрозою. У цій статті буде розглянуто цей метод підписного фішингу, щоб якомога більше користувачів уникнули втрати активів.
Справа почалася з того, що активи мого друга ( маленького А ) були вкрадені. На відміну від звичайних випадків крадіжки, маленький А не розголошував приватний ключ і не взаємодіяв з підозрілими контрактами. Через блокчейн-браузер можна побачити, що USDT у гаманці маленького А були переміщені за допомогою функції Transfer From. Це означає, що інша адреса виконала операцію, щоб забрати токени, а не витік приватного ключа гаманця.
Деталі угоди показують:
Одна адреса перевела активи маленького А на іншу адресу
Ця операція взаємодіє з контрактом Permit2 певного DEX.
Ключове питання полягає в тому, як ця адреса отримала доступ до активів маленького А? Чому це пов'язано з якимось DEX?
Щоб викликати функцію Transfer From, попередньою умовою є те, що викликаюча сторона повинна мати дозвіл на суму токенів (approve). Перед тим як перевести активи малюка А з цієї адреси, також була виконана операція Permit, об'єктами взаємодії для обох операцій є контракт Permit2 певного DEX.
Контракт Permit2 певного DEX - це новий смарт-контракт, який ця біржа запустила наприкінці 2022 року. Він дозволяє авторизацію токенів для обміну та управління між різними застосунками, спрямований на створення більш єдиного, економічно вигідного та безпечного досвіду для користувачів. У майбутньому, з інтеграцією більшої кількості проектів з Permit2, очікується стандартизація затвердження токенів у всіх застосунках, що призведе до зниження витрат на транзакції та покращення досвіду користувачів.
У традиційних способах взаємодії користувач кожного разу повинен окремо надавати дозвіл на взаємодію з активами в DApp. Permit2 виступає посередником між користувачем та DApp, користувачеві потрібно лише надати токен дозволу контракту Permit2, всі DApp, які інтегрують цей контракт, можуть ділитися цим дозволом. Це значно знижує витрати користувачів на взаємодію та покращує досвід.
Однак, Permit2 також є двосічним мечем. Він перетворює дії користувачів на підписання поза ланцюгом, всі дії в ланцюзі виконуються проміжною особою. Перевагою цього є те, що навіть якщо гаманець користувача не має ETH, він може використовувати інші токени для оплати комісії за газ або бути відшкодованим проміжною особою. Проте підписання поза ланцюгом є саме тим етапом, який користувачі найчастіше ігнорують.
Щоб активувати цей підпис Permit2, ключовою умовою є те, що гаманцю потрібно надати токен для дозволу контракту Permit2 якогось DEX. На даний момент, щоб здійснити обмін (Swap) на DApp, інтегрованому з Permit2, або на цьому DEX, потрібно надати таке дозволення. Ще більш тривожним є те, що незалежно від суми, яку потрібно обміняти, контракт Permit2 за замовчуванням дозволяє користувачу надати весь баланс цього токена.
Це означає, що, якщо ви взаємодіяли з цим DEX після 2023 року та надали дозвіл контракту Permit2, ви можете бути під ризиком цього замилювання очей. Хакери використовують функцію Permit, щоб за допомогою вашого підпису перевести ліміт токенів, який ви надали контракту Permit2, на інші адреси. Як тільки вони отримають ваш підпис, вони можуть перевести активи з вашого гаманця.
Наразі спостерігається, що контракт Permit2 певного DEX став "райом" для шахраїв, і це фішинг підписів Permit2, здається, почало активно працювати лише два місяці тому. У записах взаємодії з контрактом більшість адрес, які були позначені, є фішинговими, і постійно хтось потрапляє в пастку.
З огляду на те, що контракт Permit2 може стати більш поширеним у майбутньому, більше проектів може інтегрувати його для авторизації та обміну, нижче наведені деякі ефективні рекомендації щодо запобігання:
Навчіться розпізнавати формат підпису Permit. Зазвичай містить ключову інформацію, таку як Owner, Spender, value, nonce та deadline. Використання безпечних плагінів може допомогти в розпізнаванні.
Роздільне використання активів та інтерактивного гаманця. Зберігайте великі активи в холодному гаманці, а в повсякденному інтерактивному гаманці зберігайте лише невелику суму коштів, що може значно зменшити втрати від фішингу.
Обережно надавайте дозволи на суму контракту Permit2. Під час обміну надавайте дозвіл лише на необхідну суму. Хоча повторна авторизація кожного разу збільшить витрати, це допоможе уникнути фішингу підписів Permit2. Надавши дозвіл, ви можете скасувати його через безпечний плагін.
Досліджуйте, чи підтримує токен функцію permit. Зверніть увагу на те, чи підтримує токен, що ви тримаєте, цю функцію; якщо так, будьте особливо обережні, ретельно перевіряючи кожен невідомий підпис.
Розробити вдосконалений план порятунку активів. Якщо ви стали жертвою шахрайства, але токени все ще є на інших платформах, потрібно обережно їх виводити та переносити. Можна розглянути використання MEV для перенесення або звернутися за допомогою до професійної безпекової команди, щоб уникнути повторного перехоплення хакерами.
В майбутньому кількість фішингів на основі Permit2 може зростати. Цей спосіб підписного фішингу є надзвичайно прихованим і важким для запобігання. З розширенням сфери застосування Permit2 кількість адрес, які піддаються ризику, також зросте. Сподіваюся, що читачі зможуть поширити цю інформацію, щоб допомогти більшій кількості людей уникнути втрат.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
5
Репост
Поділіться
Прокоментувати
0/400
LeverageAddict
· 08-08 15:56
Знову вкрали підпис, хаха
Переглянути оригіналвідповісти на0
wagmi_eventually
· 08-08 15:54
Не підписуйся, пастка знову прийшла...
Переглянути оригіналвідповісти на0
rug_connoisseur
· 08-08 15:51
Перед підписанням добре подумайте, не жадніть на дрібниці.
Переглянути оригіналвідповісти на0
DaoGovernanceOfficer
· 08-08 15:45
*с sigh* ще одна вразливість, яку могли б запобігти основні принципи проєктування протоколу...
Переглянути оригіналвідповісти на0
HallucinationGrower
· 08-08 15:39
Не підписуйте, від одного погляду голова йде обертом.
Обережно, новий вид фішингу підписів Permit2. Захистіть безпеку активів користувачів DEX.
Підпис був вкрадений? Розкриття шахрайства з підписами Uniswap Permit2
Хакери є страхітливим явищем у екосистемі Web3. Для проектів, відкритий код є характеристикою, яка змушує їх працювати з обережністю, боячись написати навіть один рядок коду, який залишить вразливість. Як тільки стається інцидент з безпекою, наслідки важко витримати.
Для особистих користувачів, якщо вони не розуміють значення операцій, які вони виконують, кожна взаємодія в ланцюгу або підпис може призвести до крадіжки активів. Тому питання безпеки завжди було одним з найбільш складних у криптовалютному світі. Через особливості блокчейну, як тільки активи були вкрадені, їх майже неможливо повернути, тому наявність знань про безпеку в криптовалютному світі є особливо важливою.
Нещодавно один дослідник виявив новий метод фішингу, який активно використовується протягом останніх двох місяців. Цей метод вимагає лише підпису, що призводить до крадіжки активів, і є надзвичайно непомітним та важким для запобігання. Ще гірше, що адреси, які раніше взаємодіяли з певним DEX, також можуть бути під загрозою. У цій статті буде розглянуто цей метод підписного фішингу, щоб якомога більше користувачів уникнули втрати активів.
Справа почалася з того, що активи мого друга ( маленького А ) були вкрадені. На відміну від звичайних випадків крадіжки, маленький А не розголошував приватний ключ і не взаємодіяв з підозрілими контрактами. Через блокчейн-браузер можна побачити, що USDT у гаманці маленького А були переміщені за допомогою функції Transfer From. Це означає, що інша адреса виконала операцію, щоб забрати токени, а не витік приватного ключа гаманця.
Деталі угоди показують:
Ключове питання полягає в тому, як ця адреса отримала доступ до активів маленького А? Чому це пов'язано з якимось DEX?
Щоб викликати функцію Transfer From, попередньою умовою є те, що викликаюча сторона повинна мати дозвіл на суму токенів (approve). Перед тим як перевести активи малюка А з цієї адреси, також була виконана операція Permit, об'єктами взаємодії для обох операцій є контракт Permit2 певного DEX.
Контракт Permit2 певного DEX - це новий смарт-контракт, який ця біржа запустила наприкінці 2022 року. Він дозволяє авторизацію токенів для обміну та управління між різними застосунками, спрямований на створення більш єдиного, економічно вигідного та безпечного досвіду для користувачів. У майбутньому, з інтеграцією більшої кількості проектів з Permit2, очікується стандартизація затвердження токенів у всіх застосунках, що призведе до зниження витрат на транзакції та покращення досвіду користувачів.
У традиційних способах взаємодії користувач кожного разу повинен окремо надавати дозвіл на взаємодію з активами в DApp. Permit2 виступає посередником між користувачем та DApp, користувачеві потрібно лише надати токен дозволу контракту Permit2, всі DApp, які інтегрують цей контракт, можуть ділитися цим дозволом. Це значно знижує витрати користувачів на взаємодію та покращує досвід.
Однак, Permit2 також є двосічним мечем. Він перетворює дії користувачів на підписання поза ланцюгом, всі дії в ланцюзі виконуються проміжною особою. Перевагою цього є те, що навіть якщо гаманець користувача не має ETH, він може використовувати інші токени для оплати комісії за газ або бути відшкодованим проміжною особою. Проте підписання поза ланцюгом є саме тим етапом, який користувачі найчастіше ігнорують.
Щоб активувати цей підпис Permit2, ключовою умовою є те, що гаманцю потрібно надати токен для дозволу контракту Permit2 якогось DEX. На даний момент, щоб здійснити обмін (Swap) на DApp, інтегрованому з Permit2, або на цьому DEX, потрібно надати таке дозволення. Ще більш тривожним є те, що незалежно від суми, яку потрібно обміняти, контракт Permit2 за замовчуванням дозволяє користувачу надати весь баланс цього токена.
Це означає, що, якщо ви взаємодіяли з цим DEX після 2023 року та надали дозвіл контракту Permit2, ви можете бути під ризиком цього замилювання очей. Хакери використовують функцію Permit, щоб за допомогою вашого підпису перевести ліміт токенів, який ви надали контракту Permit2, на інші адреси. Як тільки вони отримають ваш підпис, вони можуть перевести активи з вашого гаманця.
Наразі спостерігається, що контракт Permit2 певного DEX став "райом" для шахраїв, і це фішинг підписів Permit2, здається, почало активно працювати лише два місяці тому. У записах взаємодії з контрактом більшість адрес, які були позначені, є фішинговими, і постійно хтось потрапляє в пастку.
З огляду на те, що контракт Permit2 може стати більш поширеним у майбутньому, більше проектів може інтегрувати його для авторизації та обміну, нижче наведені деякі ефективні рекомендації щодо запобігання:
Роздільне використання активів та інтерактивного гаманця. Зберігайте великі активи в холодному гаманці, а в повсякденному інтерактивному гаманці зберігайте лише невелику суму коштів, що може значно зменшити втрати від фішингу.
Обережно надавайте дозволи на суму контракту Permit2. Під час обміну надавайте дозвіл лише на необхідну суму. Хоча повторна авторизація кожного разу збільшить витрати, це допоможе уникнути фішингу підписів Permit2. Надавши дозвіл, ви можете скасувати його через безпечний плагін.
Досліджуйте, чи підтримує токен функцію permit. Зверніть увагу на те, чи підтримує токен, що ви тримаєте, цю функцію; якщо так, будьте особливо обережні, ретельно перевіряючи кожен невідомий підпис.
Розробити вдосконалений план порятунку активів. Якщо ви стали жертвою шахрайства, але токени все ще є на інших платформах, потрібно обережно їх виводити та переносити. Можна розглянути використання MEV для перенесення або звернутися за допомогою до професійної безпекової команди, щоб уникнути повторного перехоплення хакерами.
В майбутньому кількість фішингів на основі Permit2 може зростати. Цей спосіб підписного фішингу є надзвичайно прихованим і важким для запобігання. З розширенням сфери застосування Permit2 кількість адрес, які піддаються ризику, також зросте. Сподіваюся, що читачі зможуть поширити цю інформацію, щоб допомогти більшій кількості людей уникнути втрат.