Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia temida en el ecosistema Web3. Para los equipos de proyectos, la naturaleza del código abierto los hace caminar sobre hielo delgado durante el desarrollo, temiendo que una línea de código incorrecto deje una vulnerabilidad. Para los usuarios individuales, si no entienden el significado de las operaciones, cada interacción o firma en la cadena podría resultar en el robo de activos. Por lo tanto, los problemas de seguridad han sido uno de los puntos críticos en el mundo de las criptomonedas. Debido a las características de la blockchain, los activos robados son prácticamente irrecuperables, por lo que es especialmente importante tener conocimientos de seguridad en el mundo de las criptomonedas.
Recientemente, ha comenzado a activarse un nuevo tipo de técnica de phishing que puede llevar al robo de activos con solo una firma. Esta técnica es extremadamente sigilosa y difícil de prevenir, y cualquier dirección que haya interactuado con Uniswap podría estar en riesgo. Este artículo analizará esta técnica de phishing basada en firmas para evitar que más personas sufran pérdidas.
Desarrollo del evento
Recientemente, un amigo (, Xiao A, ) tuvo sus activos de billetera robados. A diferencia de los métodos de robo comunes, Xiao A no reveló su clave privada, ni interactuó con contratos de sitios de phishing.
En el explorador de blockchain se puede ver que el USDT robado de la billetera de Xiao A fue transferido a través de la función Transfer From. Esto significa que fue otra dirección la que realizó la operación para mover el token, y no una filtración de la clave privada de la billetera.
A través de la consulta de los detalles de la transacción, se encontraron pistas clave:
Una dirección transferirá los activos de Xiao A a otra dirección
Esta operación interactúa con el contrato Permit2 de Uniswap.
Para poder llamar con éxito a la función Transfer From, el llamador necesita tener permiso de monto de Token (approve). La respuesta está en el registro de interacción de la dirección que transfiere los activos. Antes de transferir los activos de A, esa dirección también realizó una operación de Permit, y ambos objetos de interacción son el contrato Permit2 de Uniswap.
Uniswap Permit2 es un nuevo contrato lanzado a finales de 2022, que permite la autorización de tokens para compartir y gestionar entre diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, rentable y segura. A medida que más proyectos se integren, Permit2 podrá estandarizar la aprobación de tokens en todas las aplicaciones, mejorando la experiencia del usuario al reducir los costos de transacción, al mismo tiempo que aumenta la seguridad de los contratos inteligentes.
La aparición de Permit2 podría alterar las reglas del ecosistema Dapp, pero también es una espada de doble filo. Para los usuarios, la firma fuera de la cadena puede hacer que bajen la guardia. La mayoría de las personas no revisarán detenidamente el contenido de la firma ni comprenderán su significado, que es precisamente el aspecto más peligroso.
Solo al interactuar con Uniswap y autorizar el contrato Permit2 después de 2023, se podría enfrentar al riesgo de este Lavado de ojos. Los hackers solo necesitan obtener la firma del usuario para transferir los tokens autorizados por el usuario a través del contrato Permit2.
Análisis detallado del evento
La función Permit permite a los usuarios firmar anticipadamente un "contrato", autorizando a otros a usar una cierta cantidad de tokens en el futuro. La función verifica la validez de la firma, autentica la veracidad de la firma y luego actualiza el registro de autorización.
Después de la verificación, la función _updateApproval actualizará el valor de autorización, logrando la transferencia de permisos. La parte autorizada podrá llamar a la función transferfrom para transferir los tokens a la dirección especificada.
Ver los detalles de la transacción real, se puede ver:
owner es la dirección de la billetera de A
Detalles muestran la dirección del contrato Token autorizado (USDT) y la información sobre la cantidad, etc.
Spender es una dirección de hacker
sigDeadline es el tiempo de validez de la firma
signature es la información de firma de Xiao A
El pequeño A hizo clic en el límite de autorización predeterminado al usar Uniswap, es decir, casi un límite infinito.
Revisión sencilla: A antes autorizó a Uniswap Permit2 un límite ilimitado de USDT, y luego cayó accidentalmente en la trampa de phishing diseñada por un hacker utilizando firmas de Permit2. Después de obtener la firma, el hacker realizó operaciones de Permit y Transfer From en el contrato de Permit2, transfiriendo los activos de A. Actualmente, el contrato de Permit2 de Uniswap se ha convertido en un caldo de cultivo para phishing, y este método de phishing comenzó a ser activo hace aproximadamente dos meses.
¿Cómo prevenir?
Considerando que el contrato Permit2 podría volverse más común en el futuro, las medidas efectivas de prevención incluyen:
Entender e identificar el contenido de la firma: aprender a reconocer el formato de la firma de permiso, que incluye información clave como Owner, Spender, value, nonce y deadline.
Separación de la billetera de activos y la billetera de interacción: se recomienda almacenar grandes cantidades de activos en una billetera fría, mientras que la billetera de interacción debe contener solo una pequeña cantidad de fondos, lo que puede reducir significativamente las pérdidas.
Limitar la cantidad de autorización o cancelar la autorización: Al intercambiar en Uniswap, solo autorice la cantidad necesaria para la interacción. Si ya ha autorizado una cantidad excesiva, puede utilizar un complemento de seguridad para cancelar la autorización.
Identificar si el token soporta la función permit: Prestar atención a si el token que posees soporta esta función, si es así, debes ser especialmente cauteloso y verificar estrictamente cada firma desconocida.
Elaborar un plan de rescate de activos completo: si has sido víctima de un Lavado de ojos pero aún tienes tokens en otras plataformas, debes extraer y transferir con precaución a una dirección segura, considerando el uso de transferencias MEV o buscar la asistencia de un equipo de seguridad profesional.
Es probable que aumenten las estafas basadas en Permit2 en el futuro. Este método de phishing por firma es extremadamente sutil y difícil de prevenir; a medida que se amplía el alcance de Permit2, también aumentará el número de direcciones en riesgo de exposición. Espero que los lectores puedan difundir esta información para evitar que más personas sufran pérdidas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
15 me gusta
Recompensa
15
5
Republicar
Compartir
Comentar
0/400
SerLiquidated
· 08-18 16:07
Una vez firmado, se acabó. ¿Quién te pidió que fueras codicioso?
Ver originalesResponder0
ParallelChainMaxi
· 08-17 08:57
又开始 estar atrapado 了是吧
Ver originalesResponder0
FlyingLeek
· 08-16 14:56
Ahora la gente tiene muchas artimañas para engañar.
Ver originalesResponder0
SolidityNewbie
· 08-16 14:54
Una vez que se firma, todo se acaba. ¿Quién puede soportarlo~?
Ver originalesResponder0
0xSunnyDay
· 08-16 14:33
¡Vaya! Así que ahora no se puede dar la firma a la ligera.
Nuevo Lavado de ojos de phishing con la firma de Uniswap Permit2 ¿Cómo prevenir el robo de activos?
Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia temida en el ecosistema Web3. Para los equipos de proyectos, la naturaleza del código abierto los hace caminar sobre hielo delgado durante el desarrollo, temiendo que una línea de código incorrecto deje una vulnerabilidad. Para los usuarios individuales, si no entienden el significado de las operaciones, cada interacción o firma en la cadena podría resultar en el robo de activos. Por lo tanto, los problemas de seguridad han sido uno de los puntos críticos en el mundo de las criptomonedas. Debido a las características de la blockchain, los activos robados son prácticamente irrecuperables, por lo que es especialmente importante tener conocimientos de seguridad en el mundo de las criptomonedas.
Recientemente, ha comenzado a activarse un nuevo tipo de técnica de phishing que puede llevar al robo de activos con solo una firma. Esta técnica es extremadamente sigilosa y difícil de prevenir, y cualquier dirección que haya interactuado con Uniswap podría estar en riesgo. Este artículo analizará esta técnica de phishing basada en firmas para evitar que más personas sufran pérdidas.
Desarrollo del evento
Recientemente, un amigo (, Xiao A, ) tuvo sus activos de billetera robados. A diferencia de los métodos de robo comunes, Xiao A no reveló su clave privada, ni interactuó con contratos de sitios de phishing.
En el explorador de blockchain se puede ver que el USDT robado de la billetera de Xiao A fue transferido a través de la función Transfer From. Esto significa que fue otra dirección la que realizó la operación para mover el token, y no una filtración de la clave privada de la billetera.
A través de la consulta de los detalles de la transacción, se encontraron pistas clave:
Para poder llamar con éxito a la función Transfer From, el llamador necesita tener permiso de monto de Token (approve). La respuesta está en el registro de interacción de la dirección que transfiere los activos. Antes de transferir los activos de A, esa dirección también realizó una operación de Permit, y ambos objetos de interacción son el contrato Permit2 de Uniswap.
Uniswap Permit2 es un nuevo contrato lanzado a finales de 2022, que permite la autorización de tokens para compartir y gestionar entre diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, rentable y segura. A medida que más proyectos se integren, Permit2 podrá estandarizar la aprobación de tokens en todas las aplicaciones, mejorando la experiencia del usuario al reducir los costos de transacción, al mismo tiempo que aumenta la seguridad de los contratos inteligentes.
La aparición de Permit2 podría alterar las reglas del ecosistema Dapp, pero también es una espada de doble filo. Para los usuarios, la firma fuera de la cadena puede hacer que bajen la guardia. La mayoría de las personas no revisarán detenidamente el contenido de la firma ni comprenderán su significado, que es precisamente el aspecto más peligroso.
Solo al interactuar con Uniswap y autorizar el contrato Permit2 después de 2023, se podría enfrentar al riesgo de este Lavado de ojos. Los hackers solo necesitan obtener la firma del usuario para transferir los tokens autorizados por el usuario a través del contrato Permit2.
Análisis detallado del evento
La función Permit permite a los usuarios firmar anticipadamente un "contrato", autorizando a otros a usar una cierta cantidad de tokens en el futuro. La función verifica la validez de la firma, autentica la veracidad de la firma y luego actualiza el registro de autorización.
Después de la verificación, la función _updateApproval actualizará el valor de autorización, logrando la transferencia de permisos. La parte autorizada podrá llamar a la función transferfrom para transferir los tokens a la dirección especificada.
Ver los detalles de la transacción real, se puede ver:
El pequeño A hizo clic en el límite de autorización predeterminado al usar Uniswap, es decir, casi un límite infinito.
Revisión sencilla: A antes autorizó a Uniswap Permit2 un límite ilimitado de USDT, y luego cayó accidentalmente en la trampa de phishing diseñada por un hacker utilizando firmas de Permit2. Después de obtener la firma, el hacker realizó operaciones de Permit y Transfer From en el contrato de Permit2, transfiriendo los activos de A. Actualmente, el contrato de Permit2 de Uniswap se ha convertido en un caldo de cultivo para phishing, y este método de phishing comenzó a ser activo hace aproximadamente dos meses.
¿Cómo prevenir?
Considerando que el contrato Permit2 podría volverse más común en el futuro, las medidas efectivas de prevención incluyen:
Separación de la billetera de activos y la billetera de interacción: se recomienda almacenar grandes cantidades de activos en una billetera fría, mientras que la billetera de interacción debe contener solo una pequeña cantidad de fondos, lo que puede reducir significativamente las pérdidas.
Limitar la cantidad de autorización o cancelar la autorización: Al intercambiar en Uniswap, solo autorice la cantidad necesaria para la interacción. Si ya ha autorizado una cantidad excesiva, puede utilizar un complemento de seguridad para cancelar la autorización.
Identificar si el token soporta la función permit: Prestar atención a si el token que posees soporta esta función, si es así, debes ser especialmente cauteloso y verificar estrictamente cada firma desconocida.
Elaborar un plan de rescate de activos completo: si has sido víctima de un Lavado de ojos pero aún tienes tokens en otras plataformas, debes extraer y transferir con precaución a una dirección segura, considerando el uso de transferencias MEV o buscar la asistencia de un equipo de seguridad profesional.
Es probable que aumenten las estafas basadas en Permit2 en el futuro. Este método de phishing por firma es extremadamente sutil y difícil de prevenir; a medida que se amplía el alcance de Permit2, también aumentará el número de direcciones en riesgo de exposición. Espero que los lectores puedan difundir esta información para evitar que más personas sufran pérdidas.