Dévoiler le piège de phishing par signature de Uniswap Permit2
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les développeurs de projets, la caractéristique du code source ouvert les rend prudents lors du développement, craignant qu'une ligne de code erronée ne laisse une vulnérabilité. Pour les utilisateurs individuels, si l'on ne comprend pas la signification des opérations, chaque interaction ou signature sur la chaîne peut conduire au vol d'actifs. Ainsi, la question de la sécurité est l'un des points sensibles du monde de la cryptographie. En raison des caractéristiques de la blockchain, les actifs volés sont presque impossibles à récupérer, il est donc particulièrement important d'avoir des connaissances en matière de sécurité dans le monde de la cryptographie.
Récemment, une nouvelle méthode de phishing a commencé à se répandre, où il suffit de signer pour que des actifs puissent être volés. Cette méthode est extrêmement discrète et difficile à prévenir, et toutes les adresses ayant interagi avec Uniswap pourraient être à risque. Cet article analysera cette méthode de phishing par signature afin d'éviter que d'autres subissent des pertes.
Déroulement de l'événement
Récemment, un ami ( Xiao A ) a eu ses actifs de portefeuille volés. Contrairement aux méthodes de vol courantes, Xiao A n'a pas divulgué sa clé privée et n'a pas interagi avec des contrats de site de phishing.
Dans l'explorateur de blockchain, on peut voir que le USDT volé du portefeuille de Xiao A a été transféré via la fonction Transfer From. Cela signifie qu'une autre adresse a effectué l'opération pour déplacer le Token, et non une fuite de la clé privée du portefeuille.
En examinant les détails de la transaction, une piste clé a été trouvée :
Une adresse transfère les actifs de Xiao A à une autre adresse
Cette opération interagit avec le contrat Permit2 d'Uniswap.
Pour réussir à appeler la fonction Transfer From, l'appelant doit avoir l'autorisation de montant de Token (approve). La réponse se trouve dans les enregistrements d'interaction de l'adresse de transfert d'actifs. Avant de transférer les actifs de A, cette adresse a également effectué une opération Permit, et les deux opérations ont pour objet d'interaction le contrat Permit2 d'Uniswap.
Uniswap Permit2 est un nouveau contrat lancé à la fin de 2022, permettant l'autorisation de tokens pour le partage et la gestion entre différentes applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée. Avec l'intégration de plus en plus de projets, Permit2 peut standardiser l'approbation des tokens dans toutes les applications, améliorant l'expérience utilisateur en réduisant les coûts de transaction tout en augmentant la sécurité des contrats intelligents.
L'apparition de Permit2 pourrait modifier les règles de l'écosystème Dapp, mais c'est aussi une arme à double tranchant. Pour les utilisateurs, la signature hors chaîne est la plus susceptible de les rendre négligents. La plupart des gens ne vérifieront pas attentivement le contenu de la signature et ne comprendront pas sa signification, c'est justement là que réside le plus grand danger.
Il est possible de faire face au risque de ce piège à poissons si vous interagissez avec Uniswap et autorisez le contrat Permit2 après 2023. Les hackers n'ont besoin que d'obtenir la signature de l'utilisateur pour transférer les tokens autorisés par l'utilisateur via le contrat Permit2.
Analyse détaillée de l'événement
La fonction Permit permet aux utilisateurs de signer à l'avance un "contrat", autorisant d'autres à utiliser un certain nombre de jetons à l'avenir. La fonction vérifie la validité de la signature, authentifie son authenticité, puis met à jour les enregistrements d'autorisation.
Après validation, la fonction _updateApproval mettra à jour la valeur d'autorisation, permettant le transfert de droits. La partie autorisée pourra ensuite appeler la fonction transferfrom pour transférer des jetons à l'adresse spécifiée.
Voir les détails réels de la transaction, on peut voir :
owner est l'adresse du portefeuille de petit A
Détails affichent l'adresse du contrat Token autorisé (USDT) et des informations telles que le montant.
Spender est l'adresse du hacker
sigDeadline est le temps de validité de la signature
signature est les informations de signature de Xiao A
Petit A a précédemment cliqué sur le montant d'autorisation par défaut lors de son utilisation d'Uniswap, c'est-à-dire sur un montant presque illimité.
Récapitulatif simple : A précédemment autorisé Uniswap Permit2 à avoir un montant illimité de USDT, puis est tombé par inadvertance dans un piège de phishing conçu par des hackers avec une signature Permit2. Après avoir obtenu la signature, les hackers ont effectué des opérations de Permit et Transfer From dans le contrat Permit2, transférant ainsi les actifs de A. Actuellement, le contrat Permit2 d'Uniswap est devenu un terrain fertile pour le phishing, cette méthode de phishing ayant commencé à être active il y a environ deux mois.
Comment se prémunir ?
Considérant que le contrat Permit2 pourrait devenir plus courant à l'avenir, les mesures de prévention efficaces comprennent :
Comprendre et identifier le contenu de la signature : apprendre à reconnaître le format de signature Permit, qui contient des informations clés telles que Owner, Spender, value, nonce et deadline.
Séparer le portefeuille d'actifs du portefeuille d'interaction : il est conseillé de conserver une grande quantité d'actifs dans un portefeuille froid, le portefeuille d'interaction ne devant contenir qu'une petite somme, ce qui peut réduire considérablement les pertes.
Limiter le montant autorisé ou annuler l'autorisation : Lors de l'échange sur Uniswap, n'autorisez que le montant nécessaire pour l'interaction. Si trop de montant a été autorisé, vous pouvez utiliser un plugin de sécurité pour annuler l'autorisation.
Identifier si le jeton prend en charge la fonction permit : faites attention à savoir si le jeton que vous détenez prend en charge cette fonction, et si c'est le cas, soyez particulièrement prudent et vérifiez rigoureusement chaque signature inconnue.
Élaborer un plan complet de sauvetage des actifs : si vous êtes victime d'un骗局 mais que vous avez encore des jetons sur d'autres plateformes, il est nécessaire de retirer et de transférer prudemment vers une adresse sécurisée, vous pouvez envisager d'utiliser le transfert MEV ou de demander l'aide d'une équipe de sécurité professionnelle.
À l'avenir, la pêche basée sur Permit2 pourrait augmenter. Ce type de phishing par signature est extrêmement insidieux et difficile à prévenir. À mesure que l'application de Permit2 s'élargit, le nombre d'adresses exposées au risque augmentera également. J'espère que les lecteurs pourront diffuser cette information pour éviter que d'autres subissent des pertes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
5
Reposter
Partager
Commentaire
0/400
SerLiquidated
· 08-18 16:07
Une fois que c'est signé, c'est fini. Qui t'a demandé d'être avide ?
Voir l'originalRépondre0
ParallelChainMaxi
· 08-17 08:57
Encore une fois, tu es piégé, n'est-ce pas ?
Voir l'originalRépondre0
FlyingLeek
· 08-16 14:56
Maintenant, il y a vraiment beaucoup de ruses pour tromper les gens.
Voir l'originalRépondre0
SolidityNewbie
· 08-16 14:54
Une fois que la signature est faite, c'est fini. Qui peut y résister~
Voir l'originalRépondre0
0xSunnyDay
· 08-16 14:33
Oh merde, donc maintenant on ne peut plus donner sa signature à la légère.
Le nouveau eyewash de phishing par signature Uniswap Permit2 : comment prévenir le vol d'actifs
Dévoiler le piège de phishing par signature de Uniswap Permit2
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les développeurs de projets, la caractéristique du code source ouvert les rend prudents lors du développement, craignant qu'une ligne de code erronée ne laisse une vulnérabilité. Pour les utilisateurs individuels, si l'on ne comprend pas la signification des opérations, chaque interaction ou signature sur la chaîne peut conduire au vol d'actifs. Ainsi, la question de la sécurité est l'un des points sensibles du monde de la cryptographie. En raison des caractéristiques de la blockchain, les actifs volés sont presque impossibles à récupérer, il est donc particulièrement important d'avoir des connaissances en matière de sécurité dans le monde de la cryptographie.
Récemment, une nouvelle méthode de phishing a commencé à se répandre, où il suffit de signer pour que des actifs puissent être volés. Cette méthode est extrêmement discrète et difficile à prévenir, et toutes les adresses ayant interagi avec Uniswap pourraient être à risque. Cet article analysera cette méthode de phishing par signature afin d'éviter que d'autres subissent des pertes.
Déroulement de l'événement
Récemment, un ami ( Xiao A ) a eu ses actifs de portefeuille volés. Contrairement aux méthodes de vol courantes, Xiao A n'a pas divulgué sa clé privée et n'a pas interagi avec des contrats de site de phishing.
Dans l'explorateur de blockchain, on peut voir que le USDT volé du portefeuille de Xiao A a été transféré via la fonction Transfer From. Cela signifie qu'une autre adresse a effectué l'opération pour déplacer le Token, et non une fuite de la clé privée du portefeuille.
En examinant les détails de la transaction, une piste clé a été trouvée :
Pour réussir à appeler la fonction Transfer From, l'appelant doit avoir l'autorisation de montant de Token (approve). La réponse se trouve dans les enregistrements d'interaction de l'adresse de transfert d'actifs. Avant de transférer les actifs de A, cette adresse a également effectué une opération Permit, et les deux opérations ont pour objet d'interaction le contrat Permit2 d'Uniswap.
Uniswap Permit2 est un nouveau contrat lancé à la fin de 2022, permettant l'autorisation de tokens pour le partage et la gestion entre différentes applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée. Avec l'intégration de plus en plus de projets, Permit2 peut standardiser l'approbation des tokens dans toutes les applications, améliorant l'expérience utilisateur en réduisant les coûts de transaction tout en augmentant la sécurité des contrats intelligents.
L'apparition de Permit2 pourrait modifier les règles de l'écosystème Dapp, mais c'est aussi une arme à double tranchant. Pour les utilisateurs, la signature hors chaîne est la plus susceptible de les rendre négligents. La plupart des gens ne vérifieront pas attentivement le contenu de la signature et ne comprendront pas sa signification, c'est justement là que réside le plus grand danger.
Il est possible de faire face au risque de ce piège à poissons si vous interagissez avec Uniswap et autorisez le contrat Permit2 après 2023. Les hackers n'ont besoin que d'obtenir la signature de l'utilisateur pour transférer les tokens autorisés par l'utilisateur via le contrat Permit2.
Analyse détaillée de l'événement
La fonction Permit permet aux utilisateurs de signer à l'avance un "contrat", autorisant d'autres à utiliser un certain nombre de jetons à l'avenir. La fonction vérifie la validité de la signature, authentifie son authenticité, puis met à jour les enregistrements d'autorisation.
Après validation, la fonction _updateApproval mettra à jour la valeur d'autorisation, permettant le transfert de droits. La partie autorisée pourra ensuite appeler la fonction transferfrom pour transférer des jetons à l'adresse spécifiée.
Voir les détails réels de la transaction, on peut voir :
Petit A a précédemment cliqué sur le montant d'autorisation par défaut lors de son utilisation d'Uniswap, c'est-à-dire sur un montant presque illimité.
Récapitulatif simple : A précédemment autorisé Uniswap Permit2 à avoir un montant illimité de USDT, puis est tombé par inadvertance dans un piège de phishing conçu par des hackers avec une signature Permit2. Après avoir obtenu la signature, les hackers ont effectué des opérations de Permit et Transfer From dans le contrat Permit2, transférant ainsi les actifs de A. Actuellement, le contrat Permit2 d'Uniswap est devenu un terrain fertile pour le phishing, cette méthode de phishing ayant commencé à être active il y a environ deux mois.
Comment se prémunir ?
Considérant que le contrat Permit2 pourrait devenir plus courant à l'avenir, les mesures de prévention efficaces comprennent :
Séparer le portefeuille d'actifs du portefeuille d'interaction : il est conseillé de conserver une grande quantité d'actifs dans un portefeuille froid, le portefeuille d'interaction ne devant contenir qu'une petite somme, ce qui peut réduire considérablement les pertes.
Limiter le montant autorisé ou annuler l'autorisation : Lors de l'échange sur Uniswap, n'autorisez que le montant nécessaire pour l'interaction. Si trop de montant a été autorisé, vous pouvez utiliser un plugin de sécurité pour annuler l'autorisation.
Identifier si le jeton prend en charge la fonction permit : faites attention à savoir si le jeton que vous détenez prend en charge cette fonction, et si c'est le cas, soyez particulièrement prudent et vérifiez rigoureusement chaque signature inconnue.
Élaborer un plan complet de sauvetage des actifs : si vous êtes victime d'un骗局 mais que vous avez encore des jetons sur d'autres plateformes, il est nécessaire de retirer et de transférer prudemment vers une adresse sécurisée, vous pouvez envisager d'utiliser le transfert MEV ou de demander l'aide d'une équipe de sécurité professionnelle.
À l'avenir, la pêche basée sur Permit2 pourrait augmenter. Ce type de phishing par signature est extrêmement insidieux et difficile à prévenir. À mesure que l'application de Permit2 s'élargit, le nombre d'adresses exposées au risque augmentera également. J'espère que les lecteurs pourront diffuser cette information pour éviter que d'autres subissent des pertes.