Revelando o golpe de phishing com assinatura Permit2 da Uniswap
Os hackers são uma presença temida no ecossistema Web3. Para as equipes de projeto, a natureza de código aberto faz com que desenvolvam com cautela, temendo que uma única linha de código errada deixe uma vulnerabilidade. Para os usuários individuais, se não entenderem o significado das operações, cada interação ou assinatura na cadeia pode resultar no roubo de ativos. Portanto, a questão da segurança sempre foi um dos pontos críticos no mundo das criptomoedas. Devido às características da blockchain, os ativos roubados são quase impossíveis de recuperar, por isso é especialmente importante ter conhecimentos de segurança no mundo das criptomoedas.
Recentemente, um novo tipo de método de phishing começou a ganhar destaque, onde basta uma assinatura para que os ativos possam ser roubados. Este método é extremamente discreto e difícil de prevenir, e endereços que já interagiram com a Uniswap podem estar em risco. Este artigo irá analisar este método de phishing por assinatura, a fim de evitar que mais pessoas sofram perdas.
Desenvolvimento do evento
Recentemente, um amigo (, o Pequeno A ), teve seus ativos de carteira roubados. Diferente dos métodos comuns de roubo, o Pequeno A não divulgou a chave privada e também não interagiu com contratos de sites de phishing.
No explorador de blockchain, pode-se ver que o USDT roubado da carteira do Pequeno A foi transferido através da função Transfer From. Isso significa que outro endereço executou a operação para mover o Token, e não uma violação da chave privada da carteira.
Através da consulta aos detalhes da transação, foram encontradas pistas chave:
Um endereço transfere os ativos do A para outro endereço
Esta operação interage com o contrato Permit2 da Uniswap.
Para chamar com sucesso a função Transfer From, a parte que faz a chamada precisa ter permissão de limite de Token (approve). A resposta está nos registros de interação do endereço que transferiu os ativos. Antes de transferir os ativos do A, esse endereço também realizou uma operação de Permissão, e ambos os objetos de interação dessas duas operações são o contrato Permit2 da Uniswap.
Uniswap Permit2 é um novo contrato lançado no final de 2022 que permite a autorização de tokens para serem compartilhados e geridos entre diferentes aplicações, com o objetivo de criar uma experiência de usuário mais unificada, mais econômica e mais segura. Com mais projetos a serem integrados, o Permit2 pode alcançar a aprovação de tokens padronizada em todas as aplicações, melhorando a experiência do usuário ao reduzir os custos de transação, ao mesmo tempo que aumenta a segurança dos contratos inteligentes.
A aparição do Permit2 pode mudar as regras do ecossistema Dapp, mas também é uma espada de dois gumes. Para os usuários, a assinatura off-chain é a mais fácil de relaxar a vigilância. A maioria das pessoas não irá verificar cuidadosamente o conteúdo da assinatura, nem entender seu significado, e esse é exatamente o ponto mais perigoso.
Basta interagir com a Uniswap e autorizar o contrato Permit2 após 2023 para potencialmente enfrentar o risco deste lavar os olhos. Os hackers só precisam obter a assinatura do usuário para transferir os Tokens autorizados pelo usuário através do contrato Permit2.
Análise detalhada do evento
A função Permit permite que os usuários assinem antecipadamente um "contrato", autorizando outras pessoas a utilizar uma certa quantidade de tokens no futuro. A função verifica a validade da assinatura, valida a autenticidade da assinatura e, em seguida, atualiza o registro de autorização.
Após a validação, a função _updateApproval atualizará o valor de autorização, permitindo a transferência de permissões. A parte autorizada pode então chamar a função transferfrom para transferir os tokens para o endereço especificado.
Ver detalhes reais de negociação, pode-se ver:
owner é o endereço da carteira do pequeno A
Detalhes mostram o endereço do contrato Token autorizado (USDT) e informações como montante.
Spender é o endereço do hacker
sigDeadline é o tempo de validade da assinatura
signature é a informação de assinatura do pequeno A
O pequeno A anteriormente usou o Uniswap e clicou no limite de autorização padrão, ou seja, um limite quase ilimitado.
Revisão simples: O Pequeno A autorizou anteriormente ao Uniswap Permit2 um limite ilimitado de USDT, e depois caiu inadvertidamente na armadilha de phishing com assinatura do Permit2 projetada por hackers. Após obter a assinatura, os hackers realizaram operações de Permit e Transfer From no contrato Permit2, transferindo os ativos do Pequeno A. Atualmente, o contrato Permit2 do Uniswap se tornou um terreno fértil para phishing, e esse método de phishing começou a ser ativo há cerca de dois meses.
Como se proteger?
Considerando que o contrato Permit2 pode vir a ser mais comum no futuro, as medidas de prevenção eficazes incluem:
Compreender e identificar o conteúdo da assinatura: aprender a reconhecer o formato da assinatura Permit, incluindo informações-chave como Owner, Spender, value, nonce e deadline.
Separação de carteiras de ativos e carteiras de interação: recomenda-se armazenar grandes quantidades de ativos em carteiras frias, mantendo apenas uma pequena quantidade de fundos na carteira de interação, o que pode reduzir significativamente as perdas.
Limitar o montante de autorização ou cancelar a autorização: Ao fazer Swap no Uniswap, autorize apenas o montante necessário para a interação. Se já tiver autorizado um montante excessivo, pode usar um plugin de segurança para cancelar a autorização.
Identificar se o token suporta a funcionalidade permit: Preste atenção se o token que possui suporta essa funcionalidade, se suportar, deve ser especialmente cauteloso e verificar rigorosamente cada assinatura desconhecida.
Elaborar um plano de resgate de ativos: se for enganado mas ainda tiver tokens em outras plataformas, deve retirar e transferir com cuidado para um endereço seguro, podendo considerar a utilização de transferências MEV ou procurar a assistência de uma equipa de segurança profissional.
No futuro, a pesca baseada no Permit2 pode aumentar. Este método de phishing por assinatura é extremamente discreto e difícil de prevenir; à medida que a aplicação do Permit2 se expande, o número de endereços expostos também aumentará. Esperamos que os leitores possam espalhar esta informação, evitando que mais pessoas sofram perdas.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
15 Curtidas
Recompensa
15
5
Repostar
Compartilhar
Comentário
0/400
SerLiquidated
· 08-18 16:07
Depois de assinar, já era. Quem mandou você ser ganancioso?
Ver originalResponder0
ParallelChainMaxi
· 08-17 08:57
又开始 ser apanhado 了是吧
Ver originalResponder0
FlyingLeek
· 08-16 14:56
Agora há muitas artimanhas para enganar as pessoas.
Ver originalResponder0
SolidityNewbie
· 08-16 14:54
Depois de assinar, já era. Quem consegue aguentar isso?~
Ver originalResponder0
0xSunnyDay
· 08-16 14:33
Caramba, então agora não se pode dar assinaturas assim à toa.
Uniswap Permit2 assinatura phishing novo lavar os olhos Como prevenir o roubo de ativos
Revelando o golpe de phishing com assinatura Permit2 da Uniswap
Os hackers são uma presença temida no ecossistema Web3. Para as equipes de projeto, a natureza de código aberto faz com que desenvolvam com cautela, temendo que uma única linha de código errada deixe uma vulnerabilidade. Para os usuários individuais, se não entenderem o significado das operações, cada interação ou assinatura na cadeia pode resultar no roubo de ativos. Portanto, a questão da segurança sempre foi um dos pontos críticos no mundo das criptomoedas. Devido às características da blockchain, os ativos roubados são quase impossíveis de recuperar, por isso é especialmente importante ter conhecimentos de segurança no mundo das criptomoedas.
Recentemente, um novo tipo de método de phishing começou a ganhar destaque, onde basta uma assinatura para que os ativos possam ser roubados. Este método é extremamente discreto e difícil de prevenir, e endereços que já interagiram com a Uniswap podem estar em risco. Este artigo irá analisar este método de phishing por assinatura, a fim de evitar que mais pessoas sofram perdas.
Desenvolvimento do evento
Recentemente, um amigo (, o Pequeno A ), teve seus ativos de carteira roubados. Diferente dos métodos comuns de roubo, o Pequeno A não divulgou a chave privada e também não interagiu com contratos de sites de phishing.
No explorador de blockchain, pode-se ver que o USDT roubado da carteira do Pequeno A foi transferido através da função Transfer From. Isso significa que outro endereço executou a operação para mover o Token, e não uma violação da chave privada da carteira.
Através da consulta aos detalhes da transação, foram encontradas pistas chave:
Para chamar com sucesso a função Transfer From, a parte que faz a chamada precisa ter permissão de limite de Token (approve). A resposta está nos registros de interação do endereço que transferiu os ativos. Antes de transferir os ativos do A, esse endereço também realizou uma operação de Permissão, e ambos os objetos de interação dessas duas operações são o contrato Permit2 da Uniswap.
Uniswap Permit2 é um novo contrato lançado no final de 2022 que permite a autorização de tokens para serem compartilhados e geridos entre diferentes aplicações, com o objetivo de criar uma experiência de usuário mais unificada, mais econômica e mais segura. Com mais projetos a serem integrados, o Permit2 pode alcançar a aprovação de tokens padronizada em todas as aplicações, melhorando a experiência do usuário ao reduzir os custos de transação, ao mesmo tempo que aumenta a segurança dos contratos inteligentes.
A aparição do Permit2 pode mudar as regras do ecossistema Dapp, mas também é uma espada de dois gumes. Para os usuários, a assinatura off-chain é a mais fácil de relaxar a vigilância. A maioria das pessoas não irá verificar cuidadosamente o conteúdo da assinatura, nem entender seu significado, e esse é exatamente o ponto mais perigoso.
Basta interagir com a Uniswap e autorizar o contrato Permit2 após 2023 para potencialmente enfrentar o risco deste lavar os olhos. Os hackers só precisam obter a assinatura do usuário para transferir os Tokens autorizados pelo usuário através do contrato Permit2.
Análise detalhada do evento
A função Permit permite que os usuários assinem antecipadamente um "contrato", autorizando outras pessoas a utilizar uma certa quantidade de tokens no futuro. A função verifica a validade da assinatura, valida a autenticidade da assinatura e, em seguida, atualiza o registro de autorização.
Após a validação, a função _updateApproval atualizará o valor de autorização, permitindo a transferência de permissões. A parte autorizada pode então chamar a função transferfrom para transferir os tokens para o endereço especificado.
Ver detalhes reais de negociação, pode-se ver:
O pequeno A anteriormente usou o Uniswap e clicou no limite de autorização padrão, ou seja, um limite quase ilimitado.
Revisão simples: O Pequeno A autorizou anteriormente ao Uniswap Permit2 um limite ilimitado de USDT, e depois caiu inadvertidamente na armadilha de phishing com assinatura do Permit2 projetada por hackers. Após obter a assinatura, os hackers realizaram operações de Permit e Transfer From no contrato Permit2, transferindo os ativos do Pequeno A. Atualmente, o contrato Permit2 do Uniswap se tornou um terreno fértil para phishing, e esse método de phishing começou a ser ativo há cerca de dois meses.
Como se proteger?
Considerando que o contrato Permit2 pode vir a ser mais comum no futuro, as medidas de prevenção eficazes incluem:
Separação de carteiras de ativos e carteiras de interação: recomenda-se armazenar grandes quantidades de ativos em carteiras frias, mantendo apenas uma pequena quantidade de fundos na carteira de interação, o que pode reduzir significativamente as perdas.
Limitar o montante de autorização ou cancelar a autorização: Ao fazer Swap no Uniswap, autorize apenas o montante necessário para a interação. Se já tiver autorizado um montante excessivo, pode usar um plugin de segurança para cancelar a autorização.
Identificar se o token suporta a funcionalidade permit: Preste atenção se o token que possui suporta essa funcionalidade, se suportar, deve ser especialmente cauteloso e verificar rigorosamente cada assinatura desconhecida.
Elaborar um plano de resgate de ativos: se for enganado mas ainda tiver tokens em outras plataformas, deve retirar e transferir com cuidado para um endereço seguro, podendo considerar a utilização de transferências MEV ou procurar a assistência de uma equipa de segurança profissional.
No futuro, a pesca baseada no Permit2 pode aumentar. Este método de phishing por assinatura é extremamente discreto e difícil de prevenir; à medida que a aplicação do Permit2 se expande, o número de endereços expostos também aumentará. Esperamos que os leitores possam espalhar esta informação, evitando que mais pessoas sofram perdas.