Mengungkap Penipuan Phishing Tanda Tangan Permit2 Uniswap
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pihak proyek, sifat kode sumber terbuka membuat mereka merasa seperti berjalan di atas es tipis saat mengembangkan, takut satu baris kode yang salah akan meninggalkan celah. Bagi pengguna individu, jika tidak memahami arti dari tindakan yang dilakukan, setiap interaksi atau tanda tangan di blockchain bisa mengakibatkan pencurian aset. Oleh karena itu, masalah keamanan selalu menjadi salah satu titik sakit di dunia kripto. Karena sifat blockchain, aset yang dicuri hampir tidak bisa dipulihkan, jadi memiliki pengetahuan keamanan sangat penting di dunia kripto.
Baru-baru ini, metode phishing baru mulai aktif, yang hanya memerlukan tanda tangan yang dapat menyebabkan aset dicuri. Metode ini sangat tersembunyi dan sulit untuk dicegah, alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan menganalisis metode phishing tanda tangan ini untuk menghindari lebih banyak orang menderita kerugian.
Kronologi Peristiwa
Baru-baru ini, seorang teman ( Xiao A ) mengalami pencurian aset dompet. Berbeda dengan cara pencurian yang umum, Xiao A tidak membocorkan kunci pribadi dan juga tidak berinteraksi dengan kontrak situs phishing.
Di penjelajah blockchain, dapat dilihat bahwa USDT yang dicuri dari dompet A kecil dipindahkan melalui fungsi Transfer From. Ini berarti alamat lain yang melakukan operasi untuk mengalihkan Token, bukan kebocoran kunci privat dompet.
Dengan memeriksa detail transaksi, ditemukan petunjuk kunci:
Sebuah alamat memindahkan aset kecil A ke alamat lain
Operasi ini berinteraksi dengan kontrak Permit2 dari Uniswap
Untuk berhasil memanggil fungsi Transfer From, pemanggil perlu memiliki hak batas Token (approve). Jawabannya ada dalam catatan interaksi alamat yang melakukan transfer aset tersebut. Sebelum mentransfer aset kecil A, alamat tersebut juga melakukan operasi Permit, dan kedua objek interaksi tersebut adalah kontrak Permit2 dari Uniswap.
Uniswap Permit2 adalah kontrak baru yang diluncurkan pada akhir 2022, yang memungkinkan otorisasi token untuk berbagi dan mengelola antar aplikasi, bertujuan untuk menciptakan pengalaman pengguna yang lebih terintegrasi, lebih hemat biaya, dan lebih aman. Dengan semakin banyak proyek yang terintegrasi, Permit2 dapat mewujudkan standar persetujuan Token di semua aplikasi, meningkatkan pengalaman pengguna dengan mengurangi biaya transaksi, sekaligus meningkatkan keamanan kontrak pintar.
Munculnya Permit2 mungkin mengubah aturan ekosistem Dapp, tetapi juga merupakan pedang bermata dua. Bagi pengguna, tanda tangan off-chain paling mudah membuat mereka lengah. Kebanyakan orang tidak akan memeriksa dengan cermat konten tanda tangan, dan tidak memahami artinya, inilah yang paling berbahaya.
Asalkan berinteraksi dengan Uniswap dan memberikan izin kepada kontrak Permit2 setelah tahun 2023, Anda mungkin menghadapi risiko penipuan ini. Hacker hanya perlu mendapatkan tanda tangan pengguna untuk dapat mentransfer Token yang diizinkan pengguna melalui kontrak Permit2.
Analisis Detail Peristiwa
Fungsi Permit memungkinkan pengguna untuk menandatangani "kontrak" sebelumnya, memberikan izin kepada orang lain untuk menggunakan sejumlah token di masa depan. Fungsi ini akan memeriksa masa berlaku tanda tangan, memverifikasi keaslian tanda tangan, dan kemudian memperbarui catatan otorisasi.
Setelah verifikasi berhasil, fungsi _updateApproval akan memperbarui nilai otorisasi, mewujudkan transfer hak. Pihak yang diberi otorisasi kemudian dapat memanggil fungsi transferfrom untuk memindahkan token ke alamat yang ditentukan.
Lihat detail transaksi sebenarnya, dapat dilihat:
owner adalah alamat dompet kecil A
Details menunjukkan alamat kontrak Token yang diberi otorisasi (USDT) dan informasi jumlah lainnya
Spender adalah alamat hacker
sigDeadline adalah waktu berlaku tanda tangan
signature adalah informasi tanda tangan dari A kecil
Kecil A sebelumnya menggunakan Uniswap dan mengklik batas otorisasi default, yaitu batas yang hampir tidak terbatas.
Ringkasan sederhana: A sebelumnya memberikan otorisasi kepada Uniswap Permit2 untuk batas tanpa batas USDT, kemudian secara tidak sengaja terjebak dalam perangkap phishing yang dirancang oleh peretas menggunakan tanda tangan Permit2. Setelah mendapatkan tanda tangan, peretas melakukan operasi Permit dan Transfer From dalam kontrak Permit2, memindahkan aset A. Saat ini, kontrak Permit2 Uniswap telah menjadi sarang phishing, metode phishing ini mulai aktif sekitar dua bulan yang lalu.
Bagaimana cara mencegah?
Mengingat kontrak Permit2 mungkin akan lebih umum di masa depan, langkah-langkah pencegahan yang efektif meliputi:
Memahami dan mengenali konten tanda tangan: Pelajari cara mengenali format tanda tangan Permit, yang mencakup Owner, Spender, value, nonce, dan deadline serta informasi kunci lainnya.
Pemisahan dompet aset dan dompet interaksi: disarankan untuk menyimpan sebagian besar aset di dompet dingin, dan dompet interaksi hanya menyimpan sejumlah kecil dana, yang dapat secara signifikan mengurangi kerugian.
Batasi jumlah otorisasi atau batalkan otorisasi: Saat melakukan Swap di Uniswap, hanya otorisasi jumlah interaksi yang diperlukan. Jika sudah memberikan otorisasi terlalu banyak, Anda dapat menggunakan plugin keamanan untuk membatalkan otorisasi.
Mengidentifikasi apakah token mendukung fungsi permit: Perhatikan apakah token yang dimiliki mendukung fungsi ini, jika mendukung maka perlu lebih berhati-hati, periksa secara ketat setiap tanda tangan yang tidak dikenal.
Menyusun rencana penyelamatan aset yang lengkap: Jika tertipu tetapi masih memiliki token di platform lain, perlu berhati-hati saat menarik dan memindahkannya ke alamat yang aman, dapat mempertimbangkan penggunaan MEV untuk pemindahan atau mencari bantuan dari tim keamanan profesional.
Mungkin akan ada lebih banyak penipuan berbasis Permit2 di masa depan. Metode penipuan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah. Seiring dengan semakin luasnya penggunaan Permit2, alamat yang terpapar pada risiko juga akan meningkat. Kami berharap pembaca dapat menyebarkan informasi ini untuk menghindari lebih banyak orang mengalami kerugian.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
15 Suka
Hadiah
15
5
Posting ulang
Bagikan
Komentar
0/400
SerLiquidated
· 08-18 16:07
Setelah ditandatangani, itu hilang. Siapa suruh kamu serakah?
Lihat AsliBalas0
ParallelChainMaxi
· 08-17 08:57
Sekarang sudah terjebak lagi, ya?
Lihat AsliBalas0
FlyingLeek
· 08-16 14:56
Sekarang orang memiliki banyak trik untuk menipu.
Lihat AsliBalas0
SolidityNewbie
· 08-16 14:54
Tanda tangan sudah dilakukan, selesai sudah. Siapa yang bisa menahan ini~
Lihat AsliBalas0
0xSunnyDay
· 08-16 14:33
Wah, jadi sekarang tanda tangan tidak bisa sembarangan diberikan.
Uniswap Permit2 tanda tangan phishing baru eyewash Bagaimana mencegah pencurian aset
Mengungkap Penipuan Phishing Tanda Tangan Permit2 Uniswap
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pihak proyek, sifat kode sumber terbuka membuat mereka merasa seperti berjalan di atas es tipis saat mengembangkan, takut satu baris kode yang salah akan meninggalkan celah. Bagi pengguna individu, jika tidak memahami arti dari tindakan yang dilakukan, setiap interaksi atau tanda tangan di blockchain bisa mengakibatkan pencurian aset. Oleh karena itu, masalah keamanan selalu menjadi salah satu titik sakit di dunia kripto. Karena sifat blockchain, aset yang dicuri hampir tidak bisa dipulihkan, jadi memiliki pengetahuan keamanan sangat penting di dunia kripto.
Baru-baru ini, metode phishing baru mulai aktif, yang hanya memerlukan tanda tangan yang dapat menyebabkan aset dicuri. Metode ini sangat tersembunyi dan sulit untuk dicegah, alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan menganalisis metode phishing tanda tangan ini untuk menghindari lebih banyak orang menderita kerugian.
Kronologi Peristiwa
Baru-baru ini, seorang teman ( Xiao A ) mengalami pencurian aset dompet. Berbeda dengan cara pencurian yang umum, Xiao A tidak membocorkan kunci pribadi dan juga tidak berinteraksi dengan kontrak situs phishing.
Di penjelajah blockchain, dapat dilihat bahwa USDT yang dicuri dari dompet A kecil dipindahkan melalui fungsi Transfer From. Ini berarti alamat lain yang melakukan operasi untuk mengalihkan Token, bukan kebocoran kunci privat dompet.
Dengan memeriksa detail transaksi, ditemukan petunjuk kunci:
Untuk berhasil memanggil fungsi Transfer From, pemanggil perlu memiliki hak batas Token (approve). Jawabannya ada dalam catatan interaksi alamat yang melakukan transfer aset tersebut. Sebelum mentransfer aset kecil A, alamat tersebut juga melakukan operasi Permit, dan kedua objek interaksi tersebut adalah kontrak Permit2 dari Uniswap.
Uniswap Permit2 adalah kontrak baru yang diluncurkan pada akhir 2022, yang memungkinkan otorisasi token untuk berbagi dan mengelola antar aplikasi, bertujuan untuk menciptakan pengalaman pengguna yang lebih terintegrasi, lebih hemat biaya, dan lebih aman. Dengan semakin banyak proyek yang terintegrasi, Permit2 dapat mewujudkan standar persetujuan Token di semua aplikasi, meningkatkan pengalaman pengguna dengan mengurangi biaya transaksi, sekaligus meningkatkan keamanan kontrak pintar.
Munculnya Permit2 mungkin mengubah aturan ekosistem Dapp, tetapi juga merupakan pedang bermata dua. Bagi pengguna, tanda tangan off-chain paling mudah membuat mereka lengah. Kebanyakan orang tidak akan memeriksa dengan cermat konten tanda tangan, dan tidak memahami artinya, inilah yang paling berbahaya.
Asalkan berinteraksi dengan Uniswap dan memberikan izin kepada kontrak Permit2 setelah tahun 2023, Anda mungkin menghadapi risiko penipuan ini. Hacker hanya perlu mendapatkan tanda tangan pengguna untuk dapat mentransfer Token yang diizinkan pengguna melalui kontrak Permit2.
Analisis Detail Peristiwa
Fungsi Permit memungkinkan pengguna untuk menandatangani "kontrak" sebelumnya, memberikan izin kepada orang lain untuk menggunakan sejumlah token di masa depan. Fungsi ini akan memeriksa masa berlaku tanda tangan, memverifikasi keaslian tanda tangan, dan kemudian memperbarui catatan otorisasi.
Setelah verifikasi berhasil, fungsi _updateApproval akan memperbarui nilai otorisasi, mewujudkan transfer hak. Pihak yang diberi otorisasi kemudian dapat memanggil fungsi transferfrom untuk memindahkan token ke alamat yang ditentukan.
Lihat detail transaksi sebenarnya, dapat dilihat:
Kecil A sebelumnya menggunakan Uniswap dan mengklik batas otorisasi default, yaitu batas yang hampir tidak terbatas.
Ringkasan sederhana: A sebelumnya memberikan otorisasi kepada Uniswap Permit2 untuk batas tanpa batas USDT, kemudian secara tidak sengaja terjebak dalam perangkap phishing yang dirancang oleh peretas menggunakan tanda tangan Permit2. Setelah mendapatkan tanda tangan, peretas melakukan operasi Permit dan Transfer From dalam kontrak Permit2, memindahkan aset A. Saat ini, kontrak Permit2 Uniswap telah menjadi sarang phishing, metode phishing ini mulai aktif sekitar dua bulan yang lalu.
Bagaimana cara mencegah?
Mengingat kontrak Permit2 mungkin akan lebih umum di masa depan, langkah-langkah pencegahan yang efektif meliputi:
Pemisahan dompet aset dan dompet interaksi: disarankan untuk menyimpan sebagian besar aset di dompet dingin, dan dompet interaksi hanya menyimpan sejumlah kecil dana, yang dapat secara signifikan mengurangi kerugian.
Batasi jumlah otorisasi atau batalkan otorisasi: Saat melakukan Swap di Uniswap, hanya otorisasi jumlah interaksi yang diperlukan. Jika sudah memberikan otorisasi terlalu banyak, Anda dapat menggunakan plugin keamanan untuk membatalkan otorisasi.
Mengidentifikasi apakah token mendukung fungsi permit: Perhatikan apakah token yang dimiliki mendukung fungsi ini, jika mendukung maka perlu lebih berhati-hati, periksa secara ketat setiap tanda tangan yang tidak dikenal.
Menyusun rencana penyelamatan aset yang lengkap: Jika tertipu tetapi masih memiliki token di platform lain, perlu berhati-hati saat menarik dan memindahkannya ke alamat yang aman, dapat mempertimbangkan penggunaan MEV untuk pemindahan atau mencari bantuan dari tim keamanan profesional.
Mungkin akan ada lebih banyak penipuan berbasis Permit2 di masa depan. Metode penipuan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah. Seiring dengan semakin luasnya penggunaan Permit2, alamat yang terpapar pada risiko juga akan meningkat. Kami berharap pembaca dapat menyebarkan informasi ini untuk menghindari lebih banyak orang mengalami kerugian.