# Uniswap Permit2 Signature フィッシング詐欺の謎を解くハッカーはWeb3エコシステムにおいて恐れられる存在です。プロジェクト側にとって、オープンソースコードの特性は、開発時に非常に慎重になる必要があり、1行の間違ったコードが脆弱性を残すことを恐れています。個人ユーザーにとっては、操作の意味を理解していない場合、毎回のチェーン上のインタラクションや署名が資産の盗難につながる可能性があります。したがって、安全性の問題は暗号の世界における重要な課題の一つです。ブロックチェーンの特性上、盗まれた資産はほぼ回収不可能であるため、暗号の世界で安全に関する知識を持つことが特に重要です。最近、新しいフィッシング手法が活発になっており、署名をするだけで資産が盗まれる可能性があります。この手法は非常に巧妙で防ぐのが難しく、Uniswapとやり取りしたアドレスはすべてリスクにさらされる可能性があります。この記事では、この署名フィッシング手法を分析し、より多くの人々が損失を被るのを避けるためのものです。## 何が起こったのか最近、友人(小A)のウォレット資産が盗まれました。一般的な盗難方法とは異なり、小Aはプライベートキーを漏らしておらず、フィッシングサイトとの契約にも関与していません。ブロックチェーンブラウザでは、小Aウォレットから盗まれたUSDTがTransfer From関数を通じて移動されたことが見えます。これは、別のアドレスがトークンを移動させたことを意味しており、ウォレットの秘密鍵が漏洩したわけではありません。取引の詳細を調べることで、重要な手がかりが見つかりました:- あるアドレスが小Aの資産を別のアドレスに移動します- この操作はUniswapのPermit2コントラクトと相互作用していますTransfer From関数を成功裏に呼び出すには、呼び出し元がTokenの額面権限(approve)を持っている必要があります。答えは、その資産を移転するアドレスのインタラクション記録にあります。小Aの資産を移転する前に、そのアドレスはPermit操作を行っており、これら2つの操作のインタラクション対象はどちらもUniswapのPermit2契約です。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0cc586809f131d9dfab81df33fd1835e)Uniswap Permit2は2022年末に導入された新しい契約であり、トークンの承認を異なるアプリ間で共有および管理することを可能にし、より統一され、コスト効率が高く、安全なユーザーエクスペリエンスを創出することを目的としています。より多くのプロジェクトが統合されるにつれて、Permit2はすべてのアプリにおいて標準化されたトークン承認を実現し、取引コストの削減を通じてユーザーエクスペリエンスを改善し、同時にスマートコントラクトの安全性を向上させます。Permit2の登場はDappエコシステムのルールを変える可能性がありますが、それは両刃の剣でもあります。ユーザーにとって、オフチェーン署名は最も警戒心を緩める要因です。ほとんどの人は署名内容を注意深く確認せず、その意味を理解していないため、これが最も危険な点です。2023年以降にUniswapとインタラクションし、Permit2コントラクトに権限を与えるだけで、このフィッシング目薬のリスクに直面する可能性があります。ハッカーはユーザーのサインを取得するだけで、Permit2コントラクトを通じてユーザーが承認したトークンを移転できるのです。## イベント詳細分析Permit関数は、ユーザーが"契約"に事前に署名し、他の人に将来特定の数量のトークンを使用することを許可することを可能にします。この関数は、署名の有効期限を確認し、署名の真偽を検証してから、権限の記録を更新します。検証が完了すると、_updateApproval関数が承認値を更新し、権限の移転を実現します。承認を受けた側は、その後、transferfrom関数を呼び出してトークンを指定されたアドレスに移転できます。実際の取引詳細を確認すると、次のことがわかります:- ownerは小Aのウォレットアドレスです- Detailsは、承認されたToken契約アドレス(USDT)および金額などの情報を表示します。- Spenderはハッカーのアドレスです- sigDeadline は署名の有効期間です- signature:Aの署名情報を示します! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-bb348691082594ecc577f91d7f9dc800)小Aは以前Uniswapを使用した際、デフォルトの承認額、つまりほぼ無限の額をクリックしました。簡単な振り返り: 小Aは以前にUniswap Permit2に無制限のUSDTの権限を与えましたが、その後、不注意でハッカーが設計したPermit2の署名フィッシングトラップに引っかかりました。ハッカーは署名を取得した後、Permit2コントラクト内でPermitおよびTransfer From操作を実行し、小Aの資産を移転しました。現在、UniswapのPermit2コントラクトはフィッシングの温床となっており、このフィッシング手法は約2ヶ月前から活発になっています。## どのように防ぐか?Permit2契約が今後より普及する可能性を考慮し、有効な防止手段には次のものが含まれます:1. 署名の内容を理解して特定する: 所有者、支出者、価値、ノンス、期限などの重要な情報を含む、許可証の署名形式を認識する方法を学びます。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-30520c8399a6ee69aa22424476c5870c)2. 資産ウォレットとインタラクティブウォレットの分離: 大量の資産はコールドウォレットに保管し、インタラクティブウォレットには少量の資金のみを保留することをお勧めします。これにより損失を大幅に減少させることができます。3. 認可額の制限または認可の取り消し: Uniswapでスワップする際には、必要なインタラクション額のみを認可します。すでに過剰な額が認可されている場合は、安全プラグインを使用して認可を取り消すことができます。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-730db044a34a8dc242f04cf8ae4d394c)4. トークンがpermit機能をサポートしているかを確認する: 所持しているトークンがこの機能をサポートしているかに注意し、サポートしている場合は特に慎重になり、未知の署名を厳密にチェックする必要があります。5. 完璧な資産救済計画を策定する: もし詐欺に遭ったが他のプラットフォームにトークンが残っている場合は、慎重に引き出し、安全なアドレスに移動する必要があり、MEV転送を検討するか、専門のセキュリティチームの支援を求めることができます。今後、Permit2に基づくフィッシングが増加する可能性があります。この署名フィッシング方式は非常に巧妙で防ぎにくく、Permit2の適用範囲が広がるにつれて、リスクにさらされるアドレスも増加します。この情報を広め、より多くの人が被害を受けないように願っています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-610abe28375ce9ad0e08e0ff1f483c1d)
Uniswap Permit2 Signature フィッシング 新しい詐欺 資産の盗難を防ぐ方法
Uniswap Permit2 Signature フィッシング詐欺の謎を解く
ハッカーはWeb3エコシステムにおいて恐れられる存在です。プロジェクト側にとって、オープンソースコードの特性は、開発時に非常に慎重になる必要があり、1行の間違ったコードが脆弱性を残すことを恐れています。個人ユーザーにとっては、操作の意味を理解していない場合、毎回のチェーン上のインタラクションや署名が資産の盗難につながる可能性があります。したがって、安全性の問題は暗号の世界における重要な課題の一つです。ブロックチェーンの特性上、盗まれた資産はほぼ回収不可能であるため、暗号の世界で安全に関する知識を持つことが特に重要です。
最近、新しいフィッシング手法が活発になっており、署名をするだけで資産が盗まれる可能性があります。この手法は非常に巧妙で防ぐのが難しく、Uniswapとやり取りしたアドレスはすべてリスクにさらされる可能性があります。この記事では、この署名フィッシング手法を分析し、より多くの人々が損失を被るのを避けるためのものです。
何が起こったのか
最近、友人(小A)のウォレット資産が盗まれました。一般的な盗難方法とは異なり、小Aはプライベートキーを漏らしておらず、フィッシングサイトとの契約にも関与していません。
ブロックチェーンブラウザでは、小Aウォレットから盗まれたUSDTがTransfer From関数を通じて移動されたことが見えます。これは、別のアドレスがトークンを移動させたことを意味しており、ウォレットの秘密鍵が漏洩したわけではありません。
取引の詳細を調べることで、重要な手がかりが見つかりました:
Transfer From関数を成功裏に呼び出すには、呼び出し元がTokenの額面権限(approve)を持っている必要があります。答えは、その資産を移転するアドレスのインタラクション記録にあります。小Aの資産を移転する前に、そのアドレスはPermit操作を行っており、これら2つの操作のインタラクション対象はどちらもUniswapのPermit2契約です。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Uniswap Permit2は2022年末に導入された新しい契約であり、トークンの承認を異なるアプリ間で共有および管理することを可能にし、より統一され、コスト効率が高く、安全なユーザーエクスペリエンスを創出することを目的としています。より多くのプロジェクトが統合されるにつれて、Permit2はすべてのアプリにおいて標準化されたトークン承認を実現し、取引コストの削減を通じてユーザーエクスペリエンスを改善し、同時にスマートコントラクトの安全性を向上させます。
Permit2の登場はDappエコシステムのルールを変える可能性がありますが、それは両刃の剣でもあります。ユーザーにとって、オフチェーン署名は最も警戒心を緩める要因です。ほとんどの人は署名内容を注意深く確認せず、その意味を理解していないため、これが最も危険な点です。
2023年以降にUniswapとインタラクションし、Permit2コントラクトに権限を与えるだけで、このフィッシング目薬のリスクに直面する可能性があります。ハッカーはユーザーのサインを取得するだけで、Permit2コントラクトを通じてユーザーが承認したトークンを移転できるのです。
イベント詳細分析
Permit関数は、ユーザーが"契約"に事前に署名し、他の人に将来特定の数量のトークンを使用することを許可することを可能にします。この関数は、署名の有効期限を確認し、署名の真偽を検証してから、権限の記録を更新します。
検証が完了すると、_updateApproval関数が承認値を更新し、権限の移転を実現します。承認を受けた側は、その後、transferfrom関数を呼び出してトークンを指定されたアドレスに移転できます。
実際の取引詳細を確認すると、次のことがわかります:
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
小Aは以前Uniswapを使用した際、デフォルトの承認額、つまりほぼ無限の額をクリックしました。
簡単な振り返り: 小Aは以前にUniswap Permit2に無制限のUSDTの権限を与えましたが、その後、不注意でハッカーが設計したPermit2の署名フィッシングトラップに引っかかりました。ハッカーは署名を取得した後、Permit2コントラクト内でPermitおよびTransfer From操作を実行し、小Aの資産を移転しました。現在、UniswapのPermit2コントラクトはフィッシングの温床となっており、このフィッシング手法は約2ヶ月前から活発になっています。
どのように防ぐか?
Permit2契約が今後より普及する可能性を考慮し、有効な防止手段には次のものが含まれます:
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
資産ウォレットとインタラクティブウォレットの分離: 大量の資産はコールドウォレットに保管し、インタラクティブウォレットには少量の資金のみを保留することをお勧めします。これにより損失を大幅に減少させることができます。
認可額の制限または認可の取り消し: Uniswapでスワップする際には、必要なインタラクション額のみを認可します。すでに過剰な額が認可されている場合は、安全プラグインを使用して認可を取り消すことができます。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
トークンがpermit機能をサポートしているかを確認する: 所持しているトークンがこの機能をサポートしているかに注意し、サポートしている場合は特に慎重になり、未知の署名を厳密にチェックする必要があります。
完璧な資産救済計画を策定する: もし詐欺に遭ったが他のプラットフォームにトークンが残っている場合は、慎重に引き出し、安全なアドレスに移動する必要があり、MEV転送を検討するか、専門のセキュリティチームの支援を求めることができます。
今後、Permit2に基づくフィッシングが増加する可能性があります。この署名フィッシング方式は非常に巧妙で防ぎにくく、Permit2の適用範囲が広がるにつれて、リスクにさらされるアドレスも増加します。この情報を広め、より多くの人が被害を受けないように願っています。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く