يعتبر القراصنة وجودًا مروعًا في نظام Web3 البيئي. بالنسبة لمطوري المشاريع، فإن خاصية الكود المفتوح تجعلهم يشعرون وكأنهم يسيرون على حافة جرف أثناء التطوير، خوفًا من أن يؤدي سطر واحد من الكود الخاطئ إلى ثغرة. بالنسبة للمستخدمين الأفراد، إذا لم يكونوا على دراية بمعنى العمليات، فإن كل تفاعل أو توقيع على السلسلة قد يؤدي إلى سرقة الأصول. لذلك، كانت مشكلة الأمان دائمًا واحدة من نقاط الألم في عالم التشفير. نظرًا لخصائص blockchain، فإن الأصول المسروقة تكاد تكون مستحيلة الاسترداد، لذا فإن امتلاك المعرفة الأمنية في عالم التشفير مهم بشكل خاص.
في الآونة الأخيرة، بدأت طريقة جديدة للاحتيال تتزايد، حيث يكفي التوقيع قد يؤدي إلى سرقة الأصول. هذه الطريقة خفية للغاية وصعبة الحماية، وقد تواجه العناوين التي تفاعلت مع Uniswap مخاطر. ستقوم هذه المقالة بتحليل طريقة الاحتيال بالتوقيع، لتجنب تعرض المزيد من الأشخاص للخسائر.
سير الأحداث
مؤخراً، تمت سرقة أصول محفظة صديقي ( الصغير A ). على عكس طرق السرقة الشائعة، لم يكشف الصغير A عن مفتاحه الخاص، ولم يتفاعل مع مواقع التصيد.
يمكن رؤية أن USDT المسروق من محفظة A الصغيرة تم نقله من خلال دالة Transfer From في متصفح blockchain. وهذا يعني أن عنوانًا آخر هو الذي قام بعملية نقل الرموز، وليس تسرب مفتاح المحفظة الخاص.
من خلال استعلام تفاصيل المعاملة، تم العثور على أدلة رئيسية:
عنوان ينقل أصول A الصغيرة إلى عنوان آخر
هذه العملية تتفاعل مع عقد Permit2 الخاص بـ Uniswap
لتحقيق النجاح في استدعاء دالة Transfer From، يحتاج المستدعي إلى الحصول على إذن مبلغ Token (approve). الجواب موجود في سجل التفاعل بعنوان نقل الأصول. قبل نقل أصول الشخص A، قام هذا العنوان أيضًا بإجراء عملية Permit، وكان كائن التفاعل في هذين العمليتين هو عقد Permit2 الخاص بـ Uniswap.
Uniswap Permit2 هو عقد جديد تم إطلاقه في نهاية عام 2022، يسمح بتفويض الرموز لمشاركة وإدارة عبر تطبيقات مختلفة، بهدف خلق تجربة مستخدم أكثر توحيدًا وفعالية من حيث التكلفة وأمانًا. مع دمج المزيد من المشاريع، يمكن لـ Permit2 تحقيق توحيد الموافقات على الرموز في جميع التطبيقات، من خلال خفض تكاليف المعاملات وتحسين تجربة المستخدم، في الوقت نفسه زيادة أمان العقود الذكية.
قد تؤدي ظهور Permit2 إلى تغيير قواعد بيئة Dapp، لكنها أيضًا سلاح ذو حدين. بالنسبة للمستخدمين، فإن التوقيع خارج السلسلة هو الأكثر سهولة في إرخاء الحذر. معظم الناس لن يتحققوا بدقة من محتوى التوقيع، ولا يفهمون معناه، وهذه هي النقطة الأكثر خطورة.
طالما أنك تتفاعل مع Uniswap بعد عام 2023 وتمنح الإذن لعقد Permit2، فقد تواجه خطر هذا التضليل. يحتاج القراصنة فقط إلى الحصول على توقيع المستخدم، ويمكنهم من خلال عقد Permit2 نقل الرموز المصرح بها من قبل المستخدم.
تحليل تفصيلي للحدث
تسمح دالة Permit للمستخدمين بتمكين توقيع "عقد" مسبقًا، مما يسمح للآخرين باستخدام عدد معين من الرموز في المستقبل. ستتحقق الدالة من صلاحية التوقيع، وتتحقق من صحة التوقيع، ثم تقوم بتحديث سجل التفويض.
بعد التحقق من صحة العملية، ستقوم دالة _updateApproval بتحديث قيمة التفويض، مما يتيح نقل الصلاحيات. يمكن للجهة المصرح لها بعد ذلك استدعاء دالة transferfrom لنقل الرموز إلى العنوان المحدد.
بالنظر إلى تفاصيل المعاملة الفعلية ، يمكنك أن ترى:
owner هو عنوان محفظة A الصغيرة
تفاصيل تظهر عنوان عقد التوكن المصرح به (USDT) ومعلومات مثل المبلغ وغيرها
كان صغير A قد ضغط على الحد الافتراضي للتفويض أثناء استخدامه Uniswap، أي تقريبًا حد غير محدود.
مراجعة بسيطة: قام الشخص A سابقًا بتفويض Uniswap Permit2 بمبلغ غير محدود من USDT، ثم وقع عن غير قصد في فخ تصيد توقيع Permit2 الذي صممه الهاكر. بعد حصول الهاكر على التوقيع، قام بتنفيذ عمليات Permit وTransfer From في عقد Permit2، مما أدى إلى نقل أصول الشخص A. حاليًا، أصبح عقد Permit2 الخاص بـ Uniswap مرتعًا لعمليات التصيد، وقد بدأت هذه الطريقة في التصيد في الظهور بشكل نشط منذ حوالي شهرين.
كيف تحمي نفسك؟
نظرًا لأن عقد Permit2 قد يصبح أكثر شيوعًا في المستقبل، تشمل الوسائل الفعالة للوقاية ما يلي:
فهم وتحديد محتوى التوقيع: تعلم كيفية التعرف على تنسيق توقيع Permit، والذي يتضمن المعلومات الأساسية مثل Owner و Spender و value و nonce و deadline.
فصل محفظة الأصول عن محفظة التفاعل: يُنصح بتخزين الأصول الكبيرة في محفظة باردة، بينما تحتفظ محفظة التفاعل بمبلغ صغير من الأموال، مما يمكن أن يقلل بشكل كبير من الخسائر.
تحديد حد التفويض أو إلغاء التفويض: عند التبادل على Uniswap، قم بتفويض المبلغ المطلوب فقط للتفاعل. إذا تم تفويض مبلغ زائد، يمكنك استخدام ملحق الأمان لإلغاء التفويض.
تحديد ما إذا كانت الرموز تدعم وظيفة الإذن: انتبه إلى ما إذا كانت الرموز التي تمتلكها تدعم هذه الوظيفة، إذا كانت تدعم، يجب أن تكون حذرًا بشكل خاص، تحقق بدقة من كل توقيع غير معروف.
وضع خطة شاملة لإنقاذ الأصول: إذا تم التضليل ولكن لا يزال لديك رموز على منصات أخرى، يجب سحبها ونقلها إلى عنوان آمن بحذر، ويمكن النظر في استخدام نقل MEV أو طلب المساعدة من فريق أمان محترف.
من المحتمل أن تزداد عمليات الاحتيال القائمة على Permit2 في المستقبل. هذه الطريقة في الاحتيال بالتوقيع خفية للغاية وصعبة الحماية، ومع توسع نطاق تطبيق Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المعلومات لتجنب تعرض المزيد من الأشخاص للخسائر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 15
أعجبني
15
5
إعادة النشر
مشاركة
تعليق
0/400
SerLiquidated
· 08-18 16:07
انتهى الأمر بعد التوقيع، من الذي دعاك إلى الطمع؟
شاهد النسخة الأصليةرد0
ParallelChainMaxi
· 08-17 08:57
又开始 يُحاصر了是吧
شاهد النسخة الأصليةرد0
FlyingLeek
· 08-16 14:56
الآن هناك الكثير من الحيل لخداع الناس
شاهد النسخة الأصليةرد0
SolidityNewbie
· 08-16 14:54
التوقيع عندما يتم توقيعه يكون النهاية، من يستطيع تحمل ذلك؟~
شاهد النسخة الأصليةرد0
0xSunnyDay
· 08-16 14:33
يا إلهي، لذلك لم يعد من الممكن إعطاء التوقيعات بشكل عشوائي الآن.
Uniswap Permit2 توقيع تصيد جديد لتضليل كيف يمكن الوقاية من سرقة الأصول
كشف تضليل توقيع Permit2 من Uniswap
يعتبر القراصنة وجودًا مروعًا في نظام Web3 البيئي. بالنسبة لمطوري المشاريع، فإن خاصية الكود المفتوح تجعلهم يشعرون وكأنهم يسيرون على حافة جرف أثناء التطوير، خوفًا من أن يؤدي سطر واحد من الكود الخاطئ إلى ثغرة. بالنسبة للمستخدمين الأفراد، إذا لم يكونوا على دراية بمعنى العمليات، فإن كل تفاعل أو توقيع على السلسلة قد يؤدي إلى سرقة الأصول. لذلك، كانت مشكلة الأمان دائمًا واحدة من نقاط الألم في عالم التشفير. نظرًا لخصائص blockchain، فإن الأصول المسروقة تكاد تكون مستحيلة الاسترداد، لذا فإن امتلاك المعرفة الأمنية في عالم التشفير مهم بشكل خاص.
في الآونة الأخيرة، بدأت طريقة جديدة للاحتيال تتزايد، حيث يكفي التوقيع قد يؤدي إلى سرقة الأصول. هذه الطريقة خفية للغاية وصعبة الحماية، وقد تواجه العناوين التي تفاعلت مع Uniswap مخاطر. ستقوم هذه المقالة بتحليل طريقة الاحتيال بالتوقيع، لتجنب تعرض المزيد من الأشخاص للخسائر.
سير الأحداث
مؤخراً، تمت سرقة أصول محفظة صديقي ( الصغير A ). على عكس طرق السرقة الشائعة، لم يكشف الصغير A عن مفتاحه الخاص، ولم يتفاعل مع مواقع التصيد.
يمكن رؤية أن USDT المسروق من محفظة A الصغيرة تم نقله من خلال دالة Transfer From في متصفح blockchain. وهذا يعني أن عنوانًا آخر هو الذي قام بعملية نقل الرموز، وليس تسرب مفتاح المحفظة الخاص.
من خلال استعلام تفاصيل المعاملة، تم العثور على أدلة رئيسية:
لتحقيق النجاح في استدعاء دالة Transfer From، يحتاج المستدعي إلى الحصول على إذن مبلغ Token (approve). الجواب موجود في سجل التفاعل بعنوان نقل الأصول. قبل نقل أصول الشخص A، قام هذا العنوان أيضًا بإجراء عملية Permit، وكان كائن التفاعل في هذين العمليتين هو عقد Permit2 الخاص بـ Uniswap.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp)
Uniswap Permit2 هو عقد جديد تم إطلاقه في نهاية عام 2022، يسمح بتفويض الرموز لمشاركة وإدارة عبر تطبيقات مختلفة، بهدف خلق تجربة مستخدم أكثر توحيدًا وفعالية من حيث التكلفة وأمانًا. مع دمج المزيد من المشاريع، يمكن لـ Permit2 تحقيق توحيد الموافقات على الرموز في جميع التطبيقات، من خلال خفض تكاليف المعاملات وتحسين تجربة المستخدم، في الوقت نفسه زيادة أمان العقود الذكية.
قد تؤدي ظهور Permit2 إلى تغيير قواعد بيئة Dapp، لكنها أيضًا سلاح ذو حدين. بالنسبة للمستخدمين، فإن التوقيع خارج السلسلة هو الأكثر سهولة في إرخاء الحذر. معظم الناس لن يتحققوا بدقة من محتوى التوقيع، ولا يفهمون معناه، وهذه هي النقطة الأكثر خطورة.
طالما أنك تتفاعل مع Uniswap بعد عام 2023 وتمنح الإذن لعقد Permit2، فقد تواجه خطر هذا التضليل. يحتاج القراصنة فقط إلى الحصول على توقيع المستخدم، ويمكنهم من خلال عقد Permit2 نقل الرموز المصرح بها من قبل المستخدم.
تحليل تفصيلي للحدث
تسمح دالة Permit للمستخدمين بتمكين توقيع "عقد" مسبقًا، مما يسمح للآخرين باستخدام عدد معين من الرموز في المستقبل. ستتحقق الدالة من صلاحية التوقيع، وتتحقق من صحة التوقيع، ثم تقوم بتحديث سجل التفويض.
بعد التحقق من صحة العملية، ستقوم دالة _updateApproval بتحديث قيمة التفويض، مما يتيح نقل الصلاحيات. يمكن للجهة المصرح لها بعد ذلك استدعاء دالة transferfrom لنقل الرموز إلى العنوان المحدد.
بالنظر إلى تفاصيل المعاملة الفعلية ، يمكنك أن ترى:
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp)
كان صغير A قد ضغط على الحد الافتراضي للتفويض أثناء استخدامه Uniswap، أي تقريبًا حد غير محدود.
مراجعة بسيطة: قام الشخص A سابقًا بتفويض Uniswap Permit2 بمبلغ غير محدود من USDT، ثم وقع عن غير قصد في فخ تصيد توقيع Permit2 الذي صممه الهاكر. بعد حصول الهاكر على التوقيع، قام بتنفيذ عمليات Permit وTransfer From في عقد Permit2، مما أدى إلى نقل أصول الشخص A. حاليًا، أصبح عقد Permit2 الخاص بـ Uniswap مرتعًا لعمليات التصيد، وقد بدأت هذه الطريقة في التصيد في الظهور بشكل نشط منذ حوالي شهرين.
كيف تحمي نفسك؟
نظرًا لأن عقد Permit2 قد يصبح أكثر شيوعًا في المستقبل، تشمل الوسائل الفعالة للوقاية ما يلي:
فصل محفظة الأصول عن محفظة التفاعل: يُنصح بتخزين الأصول الكبيرة في محفظة باردة، بينما تحتفظ محفظة التفاعل بمبلغ صغير من الأموال، مما يمكن أن يقلل بشكل كبير من الخسائر.
تحديد حد التفويض أو إلغاء التفويض: عند التبادل على Uniswap، قم بتفويض المبلغ المطلوب فقط للتفاعل. إذا تم تفويض مبلغ زائد، يمكنك استخدام ملحق الأمان لإلغاء التفويض.
تحديد ما إذا كانت الرموز تدعم وظيفة الإذن: انتبه إلى ما إذا كانت الرموز التي تمتلكها تدعم هذه الوظيفة، إذا كانت تدعم، يجب أن تكون حذرًا بشكل خاص، تحقق بدقة من كل توقيع غير معروف.
وضع خطة شاملة لإنقاذ الأصول: إذا تم التضليل ولكن لا يزال لديك رموز على منصات أخرى، يجب سحبها ونقلها إلى عنوان آمن بحذر، ويمكن النظر في استخدام نقل MEV أو طلب المساعدة من فريق أمان محترف.
من المحتمل أن تزداد عمليات الاحتيال القائمة على Permit2 في المستقبل. هذه الطريقة في الاحتيال بالتوقيع خفية للغاية وصعبة الحماية، ومع توسع نطاق تطبيق Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المعلومات لتجنب تعرض المزيد من الأشخاص للخسائر.