Revelando o golpe de phishing com assinatura Permit2 da Uniswap
Os hackers são uma presença temida no ecossistema Web3. Para as equipes de projeto, a natureza de código aberto faz com que desenvolvam com cautela, temendo que uma única linha de código errada deixe uma vulnerabilidade. Para os usuários individuais, se não entenderem o significado das operações, cada interação ou assinatura na cadeia pode resultar no roubo de ativos. Portanto, a questão da segurança sempre foi um dos pontos críticos no mundo das criptomoedas. Devido às características da blockchain, os ativos roubados são quase impossíveis de recuperar, por isso é especialmente importante ter conhecimentos de segurança no mundo das criptomoedas.
Recentemente, um novo tipo de método de phishing começou a ganhar destaque, onde basta uma assinatura para que os ativos possam ser roubados. Este método é extremamente discreto e difícil de prevenir, e endereços que já interagiram com a Uniswap podem estar em risco. Este artigo irá analisar este método de phishing por assinatura, a fim de evitar que mais pessoas sofram perdas.
Desenvolvimento do evento
Recentemente, um amigo (, o Pequeno A ), teve seus ativos de carteira roubados. Diferente dos métodos comuns de roubo, o Pequeno A não divulgou a chave privada e também não interagiu com contratos de sites de phishing.
No explorador de blockchain, pode-se ver que o USDT roubado da carteira do Pequeno A foi transferido através da função Transfer From. Isso significa que outro endereço executou a operação para mover o Token, e não uma violação da chave privada da carteira.
Através da consulta aos detalhes da transação, foram encontradas pistas chave:
Um endereço transfere os ativos do A para outro endereço
Esta operação interage com o contrato Permit2 da Uniswap.
Para chamar com sucesso a função Transfer From, a parte que faz a chamada precisa ter permissão de limite de Token (approve). A resposta está nos registros de interação do endereço que transferiu os ativos. Antes de transferir os ativos do A, esse endereço também realizou uma operação de Permissão, e ambos os objetos de interação dessas duas operações são o contrato Permit2 da Uniswap.
Uniswap Permit2 é um novo contrato lançado no final de 2022 que permite a autorização de tokens para serem compartilhados e geridos entre diferentes aplicações, com o objetivo de criar uma experiência de usuário mais unificada, mais econômica e mais segura. Com mais projetos a serem integrados, o Permit2 pode alcançar a aprovação de tokens padronizada em todas as aplicações, melhorando a experiência do usuário ao reduzir os custos de transação, ao mesmo tempo que aumenta a segurança dos contratos inteligentes.
A aparição do Permit2 pode mudar as regras do ecossistema Dapp, mas também é uma espada de dois gumes. Para os usuários, a assinatura off-chain é a mais fácil de relaxar a vigilância. A maioria das pessoas não irá verificar cuidadosamente o conteúdo da assinatura, nem entender seu significado, e esse é exatamente o ponto mais perigoso.
Basta interagir com a Uniswap e autorizar o contrato Permit2 após 2023 para potencialmente enfrentar o risco deste lavar os olhos. Os hackers só precisam obter a assinatura do usuário para transferir os Tokens autorizados pelo usuário através do contrato Permit2.
Análise detalhada do evento
A função Permit permite que os usuários assinem antecipadamente um "contrato", autorizando outras pessoas a utilizar uma certa quantidade de tokens no futuro. A função verifica a validade da assinatura, valida a autenticidade da assinatura e, em seguida, atualiza o registro de autorização.
Após a validação, a função _updateApproval atualizará o valor de autorização, permitindo a transferência de permissões. A parte autorizada pode então chamar a função transferfrom para transferir os tokens para o endereço especificado.
Ver detalhes reais de negociação, pode-se ver:
owner é o endereço da carteira do pequeno A
Detalhes mostram o endereço do contrato Token autorizado (USDT) e informações como montante.
Spender é o endereço do hacker
sigDeadline é o tempo de validade da assinatura
signature é a informação de assinatura do pequeno A
O pequeno A anteriormente usou o Uniswap e clicou no limite de autorização padrão, ou seja, um limite quase ilimitado.
Revisão simples: O Pequeno A autorizou anteriormente ao Uniswap Permit2 um limite ilimitado de USDT, e depois caiu inadvertidamente na armadilha de phishing com assinatura do Permit2 projetada por hackers. Após obter a assinatura, os hackers realizaram operações de Permit e Transfer From no contrato Permit2, transferindo os ativos do Pequeno A. Atualmente, o contrato Permit2 do Uniswap se tornou um terreno fértil para phishing, e esse método de phishing começou a ser ativo há cerca de dois meses.
Como se proteger?
Considerando que o contrato Permit2 pode vir a ser mais comum no futuro, as medidas de prevenção eficazes incluem:
Compreender e identificar o conteúdo da assinatura: aprender a reconhecer o formato da assinatura Permit, incluindo informações-chave como Owner, Spender, value, nonce e deadline.
Separação de carteiras de ativos e carteiras de interação: recomenda-se armazenar grandes quantidades de ativos em carteiras frias, mantendo apenas uma pequena quantidade de fundos na carteira de interação, o que pode reduzir significativamente as perdas.
Limitar o montante de autorização ou cancelar a autorização: Ao fazer Swap no Uniswap, autorize apenas o montante necessário para a interação. Se já tiver autorizado um montante excessivo, pode usar um plugin de segurança para cancelar a autorização.
Identificar se o token suporta a funcionalidade permit: Preste atenção se o token que possui suporta essa funcionalidade, se suportar, deve ser especialmente cauteloso e verificar rigorosamente cada assinatura desconhecida.
Elaborar um plano de resgate de ativos: se for enganado mas ainda tiver tokens em outras plataformas, deve retirar e transferir com cuidado para um endereço seguro, podendo considerar a utilização de transferências MEV ou procurar a assistência de uma equipa de segurança profissional.
No futuro, a pesca baseada no Permit2 pode aumentar. Este método de phishing por assinatura é extremamente discreto e difícil de prevenir; à medida que a aplicação do Permit2 se expande, o número de endereços expostos também aumentará. Esperamos que os leitores possam espalhar esta informação, evitando que mais pessoas sofram perdas.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
15 gostos
Recompensa
15
5
Republicar
Partilhar
Comentar
0/400
SerLiquidated
· 08-18 16:07
Depois de assinar, já era. Quem mandou você ser ganancioso?
Ver originalResponder0
ParallelChainMaxi
· 08-17 08:57
又开始 ser apanhado 了是吧
Ver originalResponder0
FlyingLeek
· 08-16 14:56
Agora há muitas artimanhas para enganar as pessoas.
Ver originalResponder0
SolidityNewbie
· 08-16 14:54
Depois de assinar, já era. Quem consegue aguentar isso?~
Ver originalResponder0
0xSunnyDay
· 08-16 14:33
Caramba, então agora não se pode dar assinaturas assim à toa.
Uniswap Permit2 assinatura phishing novo lavar os olhos Como prevenir o roubo de ativos
Revelando o golpe de phishing com assinatura Permit2 da Uniswap
Os hackers são uma presença temida no ecossistema Web3. Para as equipes de projeto, a natureza de código aberto faz com que desenvolvam com cautela, temendo que uma única linha de código errada deixe uma vulnerabilidade. Para os usuários individuais, se não entenderem o significado das operações, cada interação ou assinatura na cadeia pode resultar no roubo de ativos. Portanto, a questão da segurança sempre foi um dos pontos críticos no mundo das criptomoedas. Devido às características da blockchain, os ativos roubados são quase impossíveis de recuperar, por isso é especialmente importante ter conhecimentos de segurança no mundo das criptomoedas.
Recentemente, um novo tipo de método de phishing começou a ganhar destaque, onde basta uma assinatura para que os ativos possam ser roubados. Este método é extremamente discreto e difícil de prevenir, e endereços que já interagiram com a Uniswap podem estar em risco. Este artigo irá analisar este método de phishing por assinatura, a fim de evitar que mais pessoas sofram perdas.
Desenvolvimento do evento
Recentemente, um amigo (, o Pequeno A ), teve seus ativos de carteira roubados. Diferente dos métodos comuns de roubo, o Pequeno A não divulgou a chave privada e também não interagiu com contratos de sites de phishing.
No explorador de blockchain, pode-se ver que o USDT roubado da carteira do Pequeno A foi transferido através da função Transfer From. Isso significa que outro endereço executou a operação para mover o Token, e não uma violação da chave privada da carteira.
Através da consulta aos detalhes da transação, foram encontradas pistas chave:
Para chamar com sucesso a função Transfer From, a parte que faz a chamada precisa ter permissão de limite de Token (approve). A resposta está nos registros de interação do endereço que transferiu os ativos. Antes de transferir os ativos do A, esse endereço também realizou uma operação de Permissão, e ambos os objetos de interação dessas duas operações são o contrato Permit2 da Uniswap.
Uniswap Permit2 é um novo contrato lançado no final de 2022 que permite a autorização de tokens para serem compartilhados e geridos entre diferentes aplicações, com o objetivo de criar uma experiência de usuário mais unificada, mais econômica e mais segura. Com mais projetos a serem integrados, o Permit2 pode alcançar a aprovação de tokens padronizada em todas as aplicações, melhorando a experiência do usuário ao reduzir os custos de transação, ao mesmo tempo que aumenta a segurança dos contratos inteligentes.
A aparição do Permit2 pode mudar as regras do ecossistema Dapp, mas também é uma espada de dois gumes. Para os usuários, a assinatura off-chain é a mais fácil de relaxar a vigilância. A maioria das pessoas não irá verificar cuidadosamente o conteúdo da assinatura, nem entender seu significado, e esse é exatamente o ponto mais perigoso.
Basta interagir com a Uniswap e autorizar o contrato Permit2 após 2023 para potencialmente enfrentar o risco deste lavar os olhos. Os hackers só precisam obter a assinatura do usuário para transferir os Tokens autorizados pelo usuário através do contrato Permit2.
Análise detalhada do evento
A função Permit permite que os usuários assinem antecipadamente um "contrato", autorizando outras pessoas a utilizar uma certa quantidade de tokens no futuro. A função verifica a validade da assinatura, valida a autenticidade da assinatura e, em seguida, atualiza o registro de autorização.
Após a validação, a função _updateApproval atualizará o valor de autorização, permitindo a transferência de permissões. A parte autorizada pode então chamar a função transferfrom para transferir os tokens para o endereço especificado.
Ver detalhes reais de negociação, pode-se ver:
O pequeno A anteriormente usou o Uniswap e clicou no limite de autorização padrão, ou seja, um limite quase ilimitado.
Revisão simples: O Pequeno A autorizou anteriormente ao Uniswap Permit2 um limite ilimitado de USDT, e depois caiu inadvertidamente na armadilha de phishing com assinatura do Permit2 projetada por hackers. Após obter a assinatura, os hackers realizaram operações de Permit e Transfer From no contrato Permit2, transferindo os ativos do Pequeno A. Atualmente, o contrato Permit2 do Uniswap se tornou um terreno fértil para phishing, e esse método de phishing começou a ser ativo há cerca de dois meses.
Como se proteger?
Considerando que o contrato Permit2 pode vir a ser mais comum no futuro, as medidas de prevenção eficazes incluem:
Separação de carteiras de ativos e carteiras de interação: recomenda-se armazenar grandes quantidades de ativos em carteiras frias, mantendo apenas uma pequena quantidade de fundos na carteira de interação, o que pode reduzir significativamente as perdas.
Limitar o montante de autorização ou cancelar a autorização: Ao fazer Swap no Uniswap, autorize apenas o montante necessário para a interação. Se já tiver autorizado um montante excessivo, pode usar um plugin de segurança para cancelar a autorização.
Identificar se o token suporta a funcionalidade permit: Preste atenção se o token que possui suporta essa funcionalidade, se suportar, deve ser especialmente cauteloso e verificar rigorosamente cada assinatura desconhecida.
Elaborar um plano de resgate de ativos: se for enganado mas ainda tiver tokens em outras plataformas, deve retirar e transferir com cuidado para um endereço seguro, podendo considerar a utilização de transferências MEV ou procurar a assistência de uma equipa de segurança profissional.
No futuro, a pesca baseada no Permit2 pode aumentar. Este método de phishing por assinatura é extremamente discreto e difícil de prevenir; à medida que a aplicação do Permit2 se expande, o número de endereços expostos também aumentará. Esperamos que os leitores possam espalhar esta informação, evitando que mais pessoas sofram perdas.