Hackerlar, Web3 ekosisteminde korkulan varlıklardır. Proje sahipleri için, açık kaynak kodunun özellikleri geliştirme sırasında dikkatli olmalarını gerektiriyor; tek bir hatalı kod satırı bir güvenlik açığı bırakma korkusu taşımaktadır. Bireysel kullanıcılar için, eğer işlemlerin anlamını bilmiyorlarsa, her zincir üzerindeki etkileşim veya imza varlıklarının çalınmasına neden olabilir. Bu nedenle güvenlik sorunu, kripto dünyasının en büyük sıkıntılarından biri olmuştur. Blok zincirinin özellikleri nedeniyle, çalınan varlıkların neredeyse geri alınamaması, kripto dünyasında güvenlik bilgisine sahip olmanın önemini artırmaktadır.
Son zamanlarda, yeni bir oltalama yöntemi aktif hale geldi; sadece imza atmak, varlıkların çalınmasına yol açabilir. Bu yöntem son derece gizli ve önlenmesi zor olup, Uniswap ile etkileşimde bulunan adresler bile risk altındadır. Bu makalede, bu imza oltalama yönteminin analizi yapılacak ve daha fazla insanın zarar görmesi önlenecektir.
Olayın Gelişimi
Son zamanlarda, bir arkadaşım ( küçük A ) cüzdan varlıkları çalındı. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını sızdırmadı ve ayrıca bir phishing sitesiyle etkileşime girmedi.
Blockchain tarayıcısında görülebilir ki, küçük A cüzdanının çalınan USDT'si Transfer From fonksiyonu aracılığıyla aktarılmıştır. Bu, başka bir adresin Token'ı taşıdığı anlamına gelir, cüzdanın özel anahtarının sızdırılması değil.
Ticaret detaylarını sorgulayarak, önemli ipuçları buldum:
Bir adres, küçük A'nın varlıklarını başka bir adrese aktarır.
Bu işlem Uniswap'ın Permit2 sözleşmesi ile etkileşimde bulunur.
Transfer From fonksiyonunu başarılı bir şekilde çağırmak için, çağıranın Token'in limit yetkisine (approve) sahip olması gerekir. Cevap, o varlık transfer adresinin etkileşim kayıtlarında bulunmaktadır. Küçük A varlıklarını transfer etmeden önce, bu adres ayrıca bir Permit işlemi gerçekleştirmiştir ve bu iki işlemin etkileşim nesneleri Uniswap'ın Permit2 sözleşmesidir.
Uniswap Permit2, 2022'nin sonlarında tanıtılan yeni bir sözleşmedir ve farklı uygulamalar arasında token yetkilendirmesine ve yönetimine olanak tanır. Daha birleşik, maliyet etkin ve güvenli bir kullanıcı deneyimi yaratmayı amaçlamaktadır. Daha fazla projenin entegrasyonu ile Permit2, tüm uygulamalarda standartlaştırılmış Token onaylarını mümkün kılarak işlem maliyetlerini düşürerek kullanıcı deneyimini iyileştirirken akıllı sözleşmelerin güvenliğini artırır.
Permit2'nin ortaya çıkışı Dapp ekosisteminin kurallarını değiştirebilir, ancak bu çift taraflı bir kılıçtır. Kullanıcılar için, zincir dışı imza en kolay şekilde dikkatlerinizi dağıtabilir. Çoğu insan imza içeriğini dikkatlice kontrol etmez ve anlamını da kavrayamaz, bu da en tehlikeli noktadır.
2023 yılından sonra Uniswap ile etkileşime geçip Permit2 sözleşmesine yetki verdiğinizde, bu oltalama eyewash'ı riskiyle karşılaşabilirsiniz. Hackerlar, kullanıcı imzasını aldıklarında, Permit2 sözleşmesi aracılığıyla kullanıcı tarafından yetkilendirilmiş Token'ları transfer edebilirler.
Olay Detaylı Analizi
Permit fonksiyonu, kullanıcıların gelecekte belirli bir miktarda token kullanmaları için başkalarına yetki vermek üzere "sözleşmeyi" önceden imzalamalarına olanak tanır. Fonksiyon, imza geçerlilik süresini kontrol eder, imzanın doğruluğunu doğrular ve ardından yetkilendirme kayıtlarını günceller.
Onaylandıktan sonra, _updateApproval fonksiyonu yetki değerini güncelleyerek yetki devrini gerçekleştirir. Yetkilendirilmiş taraf daha sonra transferfrom fonksiyonunu çağırarak tokenleri belirli bir adrese transfer edebilir.
Gerçek işlem detaylarını görmek için, şunları görebilirsiniz:
owner küçük A'nın cüzdan adresidir
Detaylar, yetkilendirilmiş Token sözleşme adresini (USDT) ve miktar gibi bilgileri gösterir.
Spender, bir hacker adresidir.
sigDeadline imza geçerlilik süresidir
signature küçük A'nın imza bilgisi
Küçük A, daha önce Uniswap kullanırken varsayılan yetki limitine tıkladı, yani neredeyse sınırsız bir limit.
Basit bir geri dönüş: Küçük A daha önce Uniswap Permit2'ye sınırsız USDT yetkisi vermişti, ancak daha sonra yanlışlıkla bir hacker tarafından tasarlanan Permit2 imza sahtekarlığı tuzağına düştü. Hacker imzayı aldıktan sonra, Permit2 sözleşmesinde Permit ve Transfer From işlemleri gerçekleştirerek Küçük A'nın varlıklarını transfer etti. Şu anda Uniswap'ın Permit2 sözleşmesi sahtekarlık merkezi haline geldi, bu tür sahtekarlık yöntemleri yaklaşık iki ay önce aktif hale geldi.
Nasıl Önlenir?
Permit2 akdinin gelecekte daha yaygın hale gelebileceği göz önüne alındığında, etkili önleme yöntemleri şunlardır:
İmza içeriğini anlama ve tanıma: Permit imza formatını tanımayı öğrenin, Owner, Spender, value, nonce ve deadline gibi anahtar bilgileri içerir.
Varlık cüzdanı ve etkileşim cüzdanının ayrılması: Büyük miktardaki varlıkların soğuk cüzdanda saklanması, etkileşim cüzdanında yalnızca az miktarda fon bulundurulması önerilir, bu da kayıpları önemli ölçüde azaltabilir.
Yetki limitini kısıtlama veya yetkileri iptal etme: Uniswap üzerinde Swap yaparken, sadece gerekli etkileşim tutarını yetkilendirin. Eğer fazla bir yetki verilmişse, güvenlik eklentisi kullanarak yetkileri iptal edebilirsiniz.
Tokenin permit özelliğini destekleyip desteklemediğini belirleyin: Sahip olduğunuz tokenlerin bu özelliği destekleyip desteklemediğine dikkat edin, eğer destekliyorsa ekstra dikkatli olmalı ve her bilinmeyen imzayı titizlikle kontrol etmelisiniz.
Kapsamlı bir varlık kurtarma planı oluşturun: Eğer bir骗局 mağduru olduysanız ancak hala diğer platformlarda token'leriniz varsa, dikkatli bir şekilde çekim yapmalı ve güvenli bir adrese transfer etmelisiniz. MEV transferi kullanmayı veya profesyonel bir güvenlik ekibinden yardım almayı düşünebilirsiniz.
Gelecekte Permit2'ye dayalı oltalama olaylarının artması muhtemel. Bu tür imza oltalama yöntemleri son derece gizli ve önlenmesi zor, Permit2'nin uygulama alanı genişledikçe, risk altında olan adreslerin sayısı da artacaktır. Okuyucuların bu bilgiyi yaymasını, daha fazla kişinin kayıp yaşamaması için umuyorum.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
15 Likes
Reward
15
5
Repost
Share
Comment
0/400
SerLiquidated
· 08-18 16:07
İmzaladıktan sonra gitti, kimse seni açgözlülüğe çağırmadı.
View OriginalReply0
ParallelChainMaxi
· 08-17 08:57
Yine kapana kısılmak üzereyiz, değil mi?
View OriginalReply0
FlyingLeek
· 08-16 14:56
Şimdi insanlar dolandırıcılıkta gerçekten çok çeşitli hileler kullanıyor.
Uniswap Permit2 imza oltalama yeni eyewash Nasıl varlık hırsızlığından korunulur
Uniswap Permit2 İmza Phishing Eyewash'ını ifşa et
Hackerlar, Web3 ekosisteminde korkulan varlıklardır. Proje sahipleri için, açık kaynak kodunun özellikleri geliştirme sırasında dikkatli olmalarını gerektiriyor; tek bir hatalı kod satırı bir güvenlik açığı bırakma korkusu taşımaktadır. Bireysel kullanıcılar için, eğer işlemlerin anlamını bilmiyorlarsa, her zincir üzerindeki etkileşim veya imza varlıklarının çalınmasına neden olabilir. Bu nedenle güvenlik sorunu, kripto dünyasının en büyük sıkıntılarından biri olmuştur. Blok zincirinin özellikleri nedeniyle, çalınan varlıkların neredeyse geri alınamaması, kripto dünyasında güvenlik bilgisine sahip olmanın önemini artırmaktadır.
Son zamanlarda, yeni bir oltalama yöntemi aktif hale geldi; sadece imza atmak, varlıkların çalınmasına yol açabilir. Bu yöntem son derece gizli ve önlenmesi zor olup, Uniswap ile etkileşimde bulunan adresler bile risk altındadır. Bu makalede, bu imza oltalama yönteminin analizi yapılacak ve daha fazla insanın zarar görmesi önlenecektir.
Olayın Gelişimi
Son zamanlarda, bir arkadaşım ( küçük A ) cüzdan varlıkları çalındı. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını sızdırmadı ve ayrıca bir phishing sitesiyle etkileşime girmedi.
Blockchain tarayıcısında görülebilir ki, küçük A cüzdanının çalınan USDT'si Transfer From fonksiyonu aracılığıyla aktarılmıştır. Bu, başka bir adresin Token'ı taşıdığı anlamına gelir, cüzdanın özel anahtarının sızdırılması değil.
Ticaret detaylarını sorgulayarak, önemli ipuçları buldum:
Transfer From fonksiyonunu başarılı bir şekilde çağırmak için, çağıranın Token'in limit yetkisine (approve) sahip olması gerekir. Cevap, o varlık transfer adresinin etkileşim kayıtlarında bulunmaktadır. Küçük A varlıklarını transfer etmeden önce, bu adres ayrıca bir Permit işlemi gerçekleştirmiştir ve bu iki işlemin etkileşim nesneleri Uniswap'ın Permit2 sözleşmesidir.
Uniswap Permit2, 2022'nin sonlarında tanıtılan yeni bir sözleşmedir ve farklı uygulamalar arasında token yetkilendirmesine ve yönetimine olanak tanır. Daha birleşik, maliyet etkin ve güvenli bir kullanıcı deneyimi yaratmayı amaçlamaktadır. Daha fazla projenin entegrasyonu ile Permit2, tüm uygulamalarda standartlaştırılmış Token onaylarını mümkün kılarak işlem maliyetlerini düşürerek kullanıcı deneyimini iyileştirirken akıllı sözleşmelerin güvenliğini artırır.
Permit2'nin ortaya çıkışı Dapp ekosisteminin kurallarını değiştirebilir, ancak bu çift taraflı bir kılıçtır. Kullanıcılar için, zincir dışı imza en kolay şekilde dikkatlerinizi dağıtabilir. Çoğu insan imza içeriğini dikkatlice kontrol etmez ve anlamını da kavrayamaz, bu da en tehlikeli noktadır.
2023 yılından sonra Uniswap ile etkileşime geçip Permit2 sözleşmesine yetki verdiğinizde, bu oltalama eyewash'ı riskiyle karşılaşabilirsiniz. Hackerlar, kullanıcı imzasını aldıklarında, Permit2 sözleşmesi aracılığıyla kullanıcı tarafından yetkilendirilmiş Token'ları transfer edebilirler.
Olay Detaylı Analizi
Permit fonksiyonu, kullanıcıların gelecekte belirli bir miktarda token kullanmaları için başkalarına yetki vermek üzere "sözleşmeyi" önceden imzalamalarına olanak tanır. Fonksiyon, imza geçerlilik süresini kontrol eder, imzanın doğruluğunu doğrular ve ardından yetkilendirme kayıtlarını günceller.
Onaylandıktan sonra, _updateApproval fonksiyonu yetki değerini güncelleyerek yetki devrini gerçekleştirir. Yetkilendirilmiş taraf daha sonra transferfrom fonksiyonunu çağırarak tokenleri belirli bir adrese transfer edebilir.
Gerçek işlem detaylarını görmek için, şunları görebilirsiniz:
Küçük A, daha önce Uniswap kullanırken varsayılan yetki limitine tıkladı, yani neredeyse sınırsız bir limit.
Basit bir geri dönüş: Küçük A daha önce Uniswap Permit2'ye sınırsız USDT yetkisi vermişti, ancak daha sonra yanlışlıkla bir hacker tarafından tasarlanan Permit2 imza sahtekarlığı tuzağına düştü. Hacker imzayı aldıktan sonra, Permit2 sözleşmesinde Permit ve Transfer From işlemleri gerçekleştirerek Küçük A'nın varlıklarını transfer etti. Şu anda Uniswap'ın Permit2 sözleşmesi sahtekarlık merkezi haline geldi, bu tür sahtekarlık yöntemleri yaklaşık iki ay önce aktif hale geldi.
Nasıl Önlenir?
Permit2 akdinin gelecekte daha yaygın hale gelebileceği göz önüne alındığında, etkili önleme yöntemleri şunlardır:
Varlık cüzdanı ve etkileşim cüzdanının ayrılması: Büyük miktardaki varlıkların soğuk cüzdanda saklanması, etkileşim cüzdanında yalnızca az miktarda fon bulundurulması önerilir, bu da kayıpları önemli ölçüde azaltabilir.
Yetki limitini kısıtlama veya yetkileri iptal etme: Uniswap üzerinde Swap yaparken, sadece gerekli etkileşim tutarını yetkilendirin. Eğer fazla bir yetki verilmişse, güvenlik eklentisi kullanarak yetkileri iptal edebilirsiniz.
Tokenin permit özelliğini destekleyip desteklemediğini belirleyin: Sahip olduğunuz tokenlerin bu özelliği destekleyip desteklemediğine dikkat edin, eğer destekliyorsa ekstra dikkatli olmalı ve her bilinmeyen imzayı titizlikle kontrol etmelisiniz.
Kapsamlı bir varlık kurtarma planı oluşturun: Eğer bir骗局 mağduru olduysanız ancak hala diğer platformlarda token'leriniz varsa, dikkatli bir şekilde çekim yapmalı ve güvenli bir adrese transfer etmelisiniz. MEV transferi kullanmayı veya profesyonel bir güvenlik ekibinden yardım almayı düşünebilirsiniz.
Gelecekte Permit2'ye dayalı oltalama olaylarının artması muhtemel. Bu tür imza oltalama yöntemleri son derece gizli ve önlenmesi zor, Permit2'nin uygulama alanı genişledikçe, risk altında olan adreslerin sayısı da artacaktır. Okuyucuların bu bilgiyi yaymasını, daha fazla kişinin kayıp yaşamaması için umuyorum.