Хакери є страшним явищем у екосистемі Web3. Для розробників відкритий код створює відчуття обережності, оскільки будь-яка помилка в коді може призвести до вразливостей. Для особистих користувачів, якщо вони не розуміють значення своїх дій, кожна взаємодія з ланцюгом або підпис може призвести до крадіжки активів. Тому питання безпеки завжди було однією з болючих тем у криптовсесвіті. Через особливості блокчейну, вкрадені активи майже неможливо повернути, тому в криптовсесвіті особливо важливо мати знання про безпеку.
Нещодавно активізувався новий вид риболовлі, який може призвести до крадіжки активів лише за допомогою підпису. Цей метод надзвичайно прихований і важкий для запобігання, адреси, які колись взаємодіяли з Uniswap, можуть бути під загрозою. У цій статті буде проаналізовано цей метод підписного риболовства, щоб уникнути подальших втрат.
Хід подій
Нещодавно один з друзів ( маленький А ) втратив активи свого гаманця. На відміну від звичайних способів крадіжки, маленький А не розкрив свій приватний ключ і не взаємодіяв з фішинговими сайтами.
У блокчейн-браузері можна побачити, що вкрадені USDT з гаманця маленького A були переміщені через функцію Transfer From. Це означає, що інша адреса виконала операцію з переказу токена, а не сталося витік приватного ключа гаманця.
Через перевірку деталей угоди були виявлені ключові підказки:
Адреса передає активи маленького А на іншу адресу
Ця операція взаємодіє з контрактом Permit2 від Uniswap
Щоб успішно викликати функцію Transfer From, викликати сторона повинна мати право на обсяг токена (approve). Відповідь знаходиться в історії взаємодії адреси, яка здійснює передачу активів. Перед передачею активів малого А, ця адреса також виконала операцію Permit, і об'єктами взаємодії обох операцій є контракт Permit2 Uniswap.
Uniswap Permit2 є новим контрактом, запущеним наприкінці 2022 року, який дозволяє токенам надавати дозволи для обміну та управління між різними застосунками, спрямованим на створення більш уніфікованого, економічно вигідного та безпечного користувацького досвіду. З інтеграцією більшої кількості проєктів Permit2 може забезпечити стандартизоване затвердження токенів у всіх застосунках, покращуючи досвід користувача за рахунок зниження витрат на транзакції, а також підвищуючи безпеку смарт-контрактів.
Поява Permit2 може змінити правила екосистеми Dapp, але це також двосічний меч. Для користувачів підписання поза ланцюгом є найбільшою спокусою розслабитися. Більшість людей не перевіряє уважно вміст підпису і не розуміє його значення, що є найбільш небезпечним моментом.
Лише взаємодіючи з Uniswap і надаючи дозвіл контракту Permit2 після 2023 року, можна зіткнутися з ризиком цього замилювання очей. Хакерам достатньо отримати підпис користувача, щоб через контракт Permit2 перемістити токени, на які користувач надав дозвіл.
Докладний аналіз події
Функція Permit дозволяє користувачам заздалегідь підписувати "контракт", уповноважуючи інших використовувати певну кількість токенів у майбутньому. Функція перевіряє термін дії підпису, підтверджує справжність підпису, а потім оновлює записи про уповноваження.
Після підтвердження, функція _updateApproval оновить значення дозволу, реалізуючи передачу прав. Сторона, якій було надано дозвіл, може потім викликати функцію transferfrom для переведення токенів на вказану адресу.
Перегляньте деталі фактичної угоди, можна побачити:
owner це адреса гаманця малого А
Деталі показують авторизовану адресу контракту токена (USDT) та інформацію про суму тощо
Spender є адресою хакера
sigDeadline є часом дії підпису
signature є підписом малого A
Маленький А раніше, коли користувався Uniswap, натиснув на стандартний ліміт дозволів, тобто майже безмежний ліміт.
Простий аналіз: Маленький А раніше надав Uniswap Permit2 безмежний ліміт USDT, а потім випадково потрапив у пастку фішингу, розроблену хакерами, з підписом Permit2. Хакер отримав підпис і виконав операції Permit і Transfer From у контракті Permit2, перемістивши активи маленького А. Наразі контракт Uniswap Permit2 став осередком фішингу, цей метод фішингу почав активно використовуватись близько двох місяців тому.
Як запобігти?
Враховуючи те, що контракт Permit2 може стати більш поширеним у майбутньому, ефективні заходи запобігання включають:
Розумійте та ідентифікуйте вміст підпису: навчіться розпізнавати формат підпису Permit, який містить ключову інформацію, таку як Owner, Spender, value, nonce та deadline.
Розділення активного гаманця та гаманця для взаємодії: рекомендується зберігати великі активи в холодному гаманці, а в гаманці для взаємодії залишати лише невелику суму, що може значно зменшити втрати.
Обмеження суми авторизації або скасування авторизації: під час обміну на Uniswap авторизуйте лише необхідну суму для взаємодії. Якщо ви авторизували надто велику суму, можна скористатися безпечним плагіном для скасування авторизації.
Визначте, чи підтримує токен функцію permit: зверніть увагу на те, чи підтримує токен цю функцію, якщо так, будьте особливо обережні, ретельно перевіряйте кожен невідомий підпис.
Розробіть вдосконалений план порятунку активів: якщо ви стали жертвою замилювання очей, але все ще маєте токени на інших платформах, необхідно обережно їх виводити та переводити на безпечну адресу, можна розглянути можливість використання MEV для перенесення або звернутися за допомогою до професійної безпекової команди.
У майбутньому можливе зростання риболовлі на основі Permit2. Цей спосіб підписування риболовлі є надзвичайно прихованим і важким для запобігання, зі збільшенням сфери застосування Permit2 також зросте кількість адрес, які піддаються ризику. Сподіваюсь, читачі зможуть поширити цю інформацію, щоб уникнути втрат для більшої кількості людей.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
5
Репост
Поділіться
Прокоментувати
0/400
SerLiquidated
· 08-18 16:07
Підписавши, ти втратив все. Хто ж винен у твоїй жадібності?
Переглянути оригіналвідповісти на0
ParallelChainMaxi
· 08-17 08:57
Знову починаєш бути в пастці, так?
Переглянути оригіналвідповісти на0
FlyingLeek
· 08-16 14:56
Зараз людей обманюють дуже багатьма хитрощами.
Переглянути оригіналвідповісти на0
SolidityNewbie
· 08-16 14:54
Підписавши, все пропало. Хто це витримає~
Переглянути оригіналвідповісти на0
0xSunnyDay
· 08-16 14:33
О, так що тепер підпис не можна просто так давати?
Uniswap Permit2 підписка риболовля нове замилювання очей Як запобігти крадіжці активів
Розкриття замилювання очей підписами Permit2 Uniswap
Хакери є страшним явищем у екосистемі Web3. Для розробників відкритий код створює відчуття обережності, оскільки будь-яка помилка в коді може призвести до вразливостей. Для особистих користувачів, якщо вони не розуміють значення своїх дій, кожна взаємодія з ланцюгом або підпис може призвести до крадіжки активів. Тому питання безпеки завжди було однією з болючих тем у криптовсесвіті. Через особливості блокчейну, вкрадені активи майже неможливо повернути, тому в криптовсесвіті особливо важливо мати знання про безпеку.
Нещодавно активізувався новий вид риболовлі, який може призвести до крадіжки активів лише за допомогою підпису. Цей метод надзвичайно прихований і важкий для запобігання, адреси, які колись взаємодіяли з Uniswap, можуть бути під загрозою. У цій статті буде проаналізовано цей метод підписного риболовства, щоб уникнути подальших втрат.
Хід подій
Нещодавно один з друзів ( маленький А ) втратив активи свого гаманця. На відміну від звичайних способів крадіжки, маленький А не розкрив свій приватний ключ і не взаємодіяв з фішинговими сайтами.
У блокчейн-браузері можна побачити, що вкрадені USDT з гаманця маленького A були переміщені через функцію Transfer From. Це означає, що інша адреса виконала операцію з переказу токена, а не сталося витік приватного ключа гаманця.
Через перевірку деталей угоди були виявлені ключові підказки:
Щоб успішно викликати функцію Transfer From, викликати сторона повинна мати право на обсяг токена (approve). Відповідь знаходиться в історії взаємодії адреси, яка здійснює передачу активів. Перед передачею активів малого А, ця адреса також виконала операцію Permit, і об'єктами взаємодії обох операцій є контракт Permit2 Uniswap.
Uniswap Permit2 є новим контрактом, запущеним наприкінці 2022 року, який дозволяє токенам надавати дозволи для обміну та управління між різними застосунками, спрямованим на створення більш уніфікованого, економічно вигідного та безпечного користувацького досвіду. З інтеграцією більшої кількості проєктів Permit2 може забезпечити стандартизоване затвердження токенів у всіх застосунках, покращуючи досвід користувача за рахунок зниження витрат на транзакції, а також підвищуючи безпеку смарт-контрактів.
Поява Permit2 може змінити правила екосистеми Dapp, але це також двосічний меч. Для користувачів підписання поза ланцюгом є найбільшою спокусою розслабитися. Більшість людей не перевіряє уважно вміст підпису і не розуміє його значення, що є найбільш небезпечним моментом.
Лише взаємодіючи з Uniswap і надаючи дозвіл контракту Permit2 після 2023 року, можна зіткнутися з ризиком цього замилювання очей. Хакерам достатньо отримати підпис користувача, щоб через контракт Permit2 перемістити токени, на які користувач надав дозвіл.
Докладний аналіз події
Функція Permit дозволяє користувачам заздалегідь підписувати "контракт", уповноважуючи інших використовувати певну кількість токенів у майбутньому. Функція перевіряє термін дії підпису, підтверджує справжність підпису, а потім оновлює записи про уповноваження.
Після підтвердження, функція _updateApproval оновить значення дозволу, реалізуючи передачу прав. Сторона, якій було надано дозвіл, може потім викликати функцію transferfrom для переведення токенів на вказану адресу.
Перегляньте деталі фактичної угоди, можна побачити:
Маленький А раніше, коли користувався Uniswap, натиснув на стандартний ліміт дозволів, тобто майже безмежний ліміт.
Простий аналіз: Маленький А раніше надав Uniswap Permit2 безмежний ліміт USDT, а потім випадково потрапив у пастку фішингу, розроблену хакерами, з підписом Permit2. Хакер отримав підпис і виконав операції Permit і Transfer From у контракті Permit2, перемістивши активи маленького А. Наразі контракт Uniswap Permit2 став осередком фішингу, цей метод фішингу почав активно використовуватись близько двох місяців тому.
Як запобігти?
Враховуючи те, що контракт Permit2 може стати більш поширеним у майбутньому, ефективні заходи запобігання включають:
Розділення активного гаманця та гаманця для взаємодії: рекомендується зберігати великі активи в холодному гаманці, а в гаманці для взаємодії залишати лише невелику суму, що може значно зменшити втрати.
Обмеження суми авторизації або скасування авторизації: під час обміну на Uniswap авторизуйте лише необхідну суму для взаємодії. Якщо ви авторизували надто велику суму, можна скористатися безпечним плагіном для скасування авторизації.
Визначте, чи підтримує токен функцію permit: зверніть увагу на те, чи підтримує токен цю функцію, якщо так, будьте особливо обережні, ретельно перевіряйте кожен невідомий підпис.
Розробіть вдосконалений план порятунку активів: якщо ви стали жертвою замилювання очей, але все ще маєте токени на інших платформах, необхідно обережно їх виводити та переводити на безпечну адресу, можна розглянути можливість використання MEV для перенесення або звернутися за допомогою до професійної безпекової команди.
У майбутньому можливе зростання риболовлі на основі Permit2. Цей спосіб підписування риболовлі є надзвичайно прихованим і важким для запобігання, зі збільшенням сфери застосування Permit2 також зросте кількість адрес, які піддаються ризику. Сподіваюсь, читачі зможуть поширити цю інформацію, щоб уникнути втрат для більшої кількості людей.