Hacker là một hiện tượng đáng sợ trong hệ sinh thái Web3. Đối với các dự án, đặc tính mã nguồn mở khiến họ phải cẩn trọng trong quá trình phát triển, sợ rằng một dòng mã sai có thể để lại lỗ hổng. Đối với người dùng cá nhân, nếu không hiểu rõ ý nghĩa của các thao tác, mỗi lần tương tác trên chuỗi hoặc ký kết đều có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những điểm đau của thế giới tiền điện tử. Bởi vì đặc tính của blockchain, tài sản bị đánh cắp hầu như không thể lấy lại, vì vậy có kiến thức về an ninh là vô cùng quan trọng trong thế giới tiền điện tử.
Gần đây, một phương pháp lừa đảo mới đã bắt đầu hoạt động, chỉ cần ký tên có thể dẫn đến việc tài sản bị đánh cắp. Phương pháp này cực kỳ tinh vi và khó phòng ngừa, những địa chỉ đã tương tác với Uniswap đều có thể đối mặt với rủi ro. Bài viết này sẽ phân tích phương pháp lừa đảo ký tên này, nhằm tránh để nhiều người bị mất mát hơn.
Diễn biến sự kiện
Gần đây, một người bạn ( nhỏ A ) đã bị đánh cắp tài sản trong ví. Khác với những cách bị đánh cắp thường thấy, nhỏ A không tiết lộ khóa riêng của mình và cũng không tương tác với hợp đồng trên trang web lừa đảo.
Trong trình duyệt blockchain, có thể thấy rằng USDT của ví nhỏ A bị đánh cắp là được chuyển đi thông qua hàm Transfer From. Điều này có nghĩa là một địa chỉ khác đã thực hiện thao tác chuyển Token đi, chứ không phải là do rò rỉ khóa riêng của ví.
Thông qua việc tra cứu chi tiết giao dịch, đã phát hiện ra manh mối quan trọng:
Một địa chỉ sẽ chuyển tài sản của A nhỏ sang một địa chỉ khác
Hành động này tương tác với hợp đồng Permit2 của Uniswap.
Để thành công gọi hàm Transfer From, bên gọi cần có quyền hạn mức Token (approve). Câu trả lời nằm trong bản ghi tương tác của địa chỉ chuyển giao tài sản đó. Trước khi chuyển tài sản của A nhỏ, địa chỉ đó đã thực hiện một thao tác Permit, và cả hai thao tác tương tác đều là hợp đồng Permit2 của Uniswap.
Uniswap Permit2 là hợp đồng mới được ra mắt vào cuối năm 2022, cho phép ủy quyền token chia sẻ và quản lý giữa các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất, hiệu quả về chi phí và an toàn hơn. Khi ngày càng nhiều dự án tích hợp, Permit2 có thể đạt được chuẩn hóa phê duyệt Token trong tất cả các ứng dụng, cải thiện trải nghiệm người dùng bằng cách giảm chi phí giao dịch, đồng thời nâng cao độ an toàn của hợp đồng thông minh.
Sự xuất hiện của Permit2 có thể thay đổi quy tắc sinh thái Dapp, nhưng cũng là một con dao hai lưỡi. Đối với người dùng, chữ ký ngoài chuỗi dễ khiến họ lơ là cảnh giác. Hầu hết mọi người sẽ không kiểm tra kỹ nội dung chữ ký, cũng không hiểu ý nghĩa của nó, đây chính là điểm nguy hiểm nhất.
Chỉ cần tương tác với Uniswap và cấp quyền cho hợp đồng Permit2 sau năm 2023, bạn có thể phải đối mặt với rủi ro từ trò lừa bịp này. Kẻ tấn công chỉ cần có chữ ký của người dùng, họ có thể chuyển token mà người dùng đã cấp quyền thông qua hợp đồng Permit2.
Phân tích chi tiết sự kiện
Hàm Permit cho phép người dùng ký trước "hợp đồng", ủy quyền cho người khác sử dụng một số lượng token nhất định trong tương lai. Hàm sẽ kiểm tra thời gian hiệu lực của chữ ký, xác minh tính xác thực của chữ ký, sau đó cập nhật hồ sơ ủy quyền.
Sau khi xác thực thành công, hàm _updateApproval sẽ cập nhật giá trị ủy quyền, thực hiện việc chuyển nhượng quyền. Bên được ủy quyền sau đó có thể gọi hàm transferfrom để chuyển token đến địa chỉ chỉ định.
Xem chi tiết giao dịch thực tế, có thể thấy:
owner là địa chỉ ví của A nhỏ
Details hiển thị địa chỉ hợp đồng Token được ủy quyền (USDT) và thông tin về số tiền khác.
Spender là địa chỉ của hacker
sigDeadline là thời gian hiệu lực của chữ ký
signature là thông tin chữ ký của A nhỏ
Nhỏ A trước đây đã sử dụng Uniswap và nhấp vào mức ủy quyền mặc định, tức là gần như không giới hạn.
Tóm tắt đơn giản: A nhỏ trước đây đã ủy quyền cho Uniswap Permit2 một hạn mức USDT không giới hạn, sau đó vô tình rơi vào cái bẫy lừa đảo chữ ký Permit2 do hacker thiết kế. Hacker đã lấy được chữ ký, sau đó thực hiện các thao tác Permit và Transfer From trong hợp đồng Permit2, chuyển tài sản của A nhỏ. Hiện tại, hợp đồng Permit2 của Uniswap đã trở thành nơi ẩn náu của lừa đảo, phương pháp lừa đảo này bắt đầu hoạt động khoảng hai tháng trước.
Làm thế nào để phòng ngừa?
Xem xét rằng hợp đồng Permit2 có thể trở nên phổ biến hơn trong tương lai, các biện pháp phòng ngừa hiệu quả bao gồm:
Hiểu và nhận diện nội dung chữ ký: Học cách nhận diện định dạng chữ ký Permit, bao gồm Owner, Spender, value, nonce và deadline cùng các thông tin quan trọng khác.
Tách biệt ví tài sản và ví tương tác: Nên lưu trữ một lượng lớn tài sản trong ví lạnh, chỉ giữ một lượng nhỏ tiền trong ví tương tác, có thể giảm thiểu tổn thất đáng kể.
Hạn chế hạn mức ủy quyền hoặc hủy ủy quyền: Khi Swap trên Uniswap, chỉ ủy quyền số tiền cần thiết để tương tác. Nếu đã ủy quyền quá nhiều hạn mức, có thể sử dụng plugin bảo mật để hủy ủy quyền.
Nhận diện xem token có hỗ trợ chức năng permit hay không: Chú ý đến việc token mà bạn nắm giữ có hỗ trợ chức năng này hay không, nếu có thì cần phải cẩn thận hơn, kiểm tra kỹ từng chữ ký không rõ.
Xây dựng kế hoạch cứu trợ tài sản hoàn thiện: Nếu bị lừa nhưng vẫn có token trên các nền tảng khác, cần cẩn thận rút và chuyển sang địa chỉ an toàn, có thể xem xét việc chuyển giao MEV hoặc tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp.
Trong tương lai, có thể sẽ có nhiều vụ lừa đảo dựa trên Permit2. Phương thức lừa đảo bằng chữ ký này cực kỳ kín đáo và khó phòng ngừa, khi phạm vi áp dụng của Permit2 mở rộng, các địa chỉ có nguy cơ bị lộ cũng sẽ gia tăng. Hy vọng độc giả có thể truyền bá thông tin này để tránh nhiều người khác phải chịu thiệt hại.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
15 thích
Phần thưởng
15
5
Đăng lại
Chia sẻ
Bình luận
0/400
SerLiquidated
· 08-18 16:07
Ký xong thì mất. Ai bảo bạn tham lam chứ?
Xem bản gốcTrả lời0
ParallelChainMaxi
· 08-17 08:57
Lại bị mắc kẹt rồi đúng không?
Xem bản gốcTrả lời0
FlyingLeek
· 08-16 14:56
Bây giờ có rất nhiều chiêu trò lừa đảo.
Xem bản gốcTrả lời0
SolidityNewbie
· 08-16 14:54
Ký tên xong là xong rồi, ai chịu nổi đây~
Xem bản gốcTrả lời0
0xSunnyDay
· 08-16 14:33
Ôi trời, vậy bây giờ chữ ký không thể tùy tiện cho nữa.
Chiêu trò lừa bịp mới về chữ ký Permit2 Uniswap: Cách phòng ngừa tài sản bị đánh cắp
Hé lộ trò lừa bịp ký tên Permit2 của Uniswap
Hacker là một hiện tượng đáng sợ trong hệ sinh thái Web3. Đối với các dự án, đặc tính mã nguồn mở khiến họ phải cẩn trọng trong quá trình phát triển, sợ rằng một dòng mã sai có thể để lại lỗ hổng. Đối với người dùng cá nhân, nếu không hiểu rõ ý nghĩa của các thao tác, mỗi lần tương tác trên chuỗi hoặc ký kết đều có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những điểm đau của thế giới tiền điện tử. Bởi vì đặc tính của blockchain, tài sản bị đánh cắp hầu như không thể lấy lại, vì vậy có kiến thức về an ninh là vô cùng quan trọng trong thế giới tiền điện tử.
Gần đây, một phương pháp lừa đảo mới đã bắt đầu hoạt động, chỉ cần ký tên có thể dẫn đến việc tài sản bị đánh cắp. Phương pháp này cực kỳ tinh vi và khó phòng ngừa, những địa chỉ đã tương tác với Uniswap đều có thể đối mặt với rủi ro. Bài viết này sẽ phân tích phương pháp lừa đảo ký tên này, nhằm tránh để nhiều người bị mất mát hơn.
Diễn biến sự kiện
Gần đây, một người bạn ( nhỏ A ) đã bị đánh cắp tài sản trong ví. Khác với những cách bị đánh cắp thường thấy, nhỏ A không tiết lộ khóa riêng của mình và cũng không tương tác với hợp đồng trên trang web lừa đảo.
Trong trình duyệt blockchain, có thể thấy rằng USDT của ví nhỏ A bị đánh cắp là được chuyển đi thông qua hàm Transfer From. Điều này có nghĩa là một địa chỉ khác đã thực hiện thao tác chuyển Token đi, chứ không phải là do rò rỉ khóa riêng của ví.
Thông qua việc tra cứu chi tiết giao dịch, đã phát hiện ra manh mối quan trọng:
Để thành công gọi hàm Transfer From, bên gọi cần có quyền hạn mức Token (approve). Câu trả lời nằm trong bản ghi tương tác của địa chỉ chuyển giao tài sản đó. Trước khi chuyển tài sản của A nhỏ, địa chỉ đó đã thực hiện một thao tác Permit, và cả hai thao tác tương tác đều là hợp đồng Permit2 của Uniswap.
Uniswap Permit2 là hợp đồng mới được ra mắt vào cuối năm 2022, cho phép ủy quyền token chia sẻ và quản lý giữa các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất, hiệu quả về chi phí và an toàn hơn. Khi ngày càng nhiều dự án tích hợp, Permit2 có thể đạt được chuẩn hóa phê duyệt Token trong tất cả các ứng dụng, cải thiện trải nghiệm người dùng bằng cách giảm chi phí giao dịch, đồng thời nâng cao độ an toàn của hợp đồng thông minh.
Sự xuất hiện của Permit2 có thể thay đổi quy tắc sinh thái Dapp, nhưng cũng là một con dao hai lưỡi. Đối với người dùng, chữ ký ngoài chuỗi dễ khiến họ lơ là cảnh giác. Hầu hết mọi người sẽ không kiểm tra kỹ nội dung chữ ký, cũng không hiểu ý nghĩa của nó, đây chính là điểm nguy hiểm nhất.
Chỉ cần tương tác với Uniswap và cấp quyền cho hợp đồng Permit2 sau năm 2023, bạn có thể phải đối mặt với rủi ro từ trò lừa bịp này. Kẻ tấn công chỉ cần có chữ ký của người dùng, họ có thể chuyển token mà người dùng đã cấp quyền thông qua hợp đồng Permit2.
Phân tích chi tiết sự kiện
Hàm Permit cho phép người dùng ký trước "hợp đồng", ủy quyền cho người khác sử dụng một số lượng token nhất định trong tương lai. Hàm sẽ kiểm tra thời gian hiệu lực của chữ ký, xác minh tính xác thực của chữ ký, sau đó cập nhật hồ sơ ủy quyền.
Sau khi xác thực thành công, hàm _updateApproval sẽ cập nhật giá trị ủy quyền, thực hiện việc chuyển nhượng quyền. Bên được ủy quyền sau đó có thể gọi hàm transferfrom để chuyển token đến địa chỉ chỉ định.
Xem chi tiết giao dịch thực tế, có thể thấy:
Nhỏ A trước đây đã sử dụng Uniswap và nhấp vào mức ủy quyền mặc định, tức là gần như không giới hạn.
Tóm tắt đơn giản: A nhỏ trước đây đã ủy quyền cho Uniswap Permit2 một hạn mức USDT không giới hạn, sau đó vô tình rơi vào cái bẫy lừa đảo chữ ký Permit2 do hacker thiết kế. Hacker đã lấy được chữ ký, sau đó thực hiện các thao tác Permit và Transfer From trong hợp đồng Permit2, chuyển tài sản của A nhỏ. Hiện tại, hợp đồng Permit2 của Uniswap đã trở thành nơi ẩn náu của lừa đảo, phương pháp lừa đảo này bắt đầu hoạt động khoảng hai tháng trước.
Làm thế nào để phòng ngừa?
Xem xét rằng hợp đồng Permit2 có thể trở nên phổ biến hơn trong tương lai, các biện pháp phòng ngừa hiệu quả bao gồm:
Tách biệt ví tài sản và ví tương tác: Nên lưu trữ một lượng lớn tài sản trong ví lạnh, chỉ giữ một lượng nhỏ tiền trong ví tương tác, có thể giảm thiểu tổn thất đáng kể.
Hạn chế hạn mức ủy quyền hoặc hủy ủy quyền: Khi Swap trên Uniswap, chỉ ủy quyền số tiền cần thiết để tương tác. Nếu đã ủy quyền quá nhiều hạn mức, có thể sử dụng plugin bảo mật để hủy ủy quyền.
Nhận diện xem token có hỗ trợ chức năng permit hay không: Chú ý đến việc token mà bạn nắm giữ có hỗ trợ chức năng này hay không, nếu có thì cần phải cẩn thận hơn, kiểm tra kỹ từng chữ ký không rõ.
Xây dựng kế hoạch cứu trợ tài sản hoàn thiện: Nếu bị lừa nhưng vẫn có token trên các nền tảng khác, cần cẩn thận rút và chuyển sang địa chỉ an toàn, có thể xem xét việc chuyển giao MEV hoặc tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp.
Trong tương lai, có thể sẽ có nhiều vụ lừa đảo dựa trên Permit2. Phương thức lừa đảo bằng chữ ký này cực kỳ kín đáo và khó phòng ngừa, khi phạm vi áp dụng của Permit2 mở rộng, các địa chỉ có nguy cơ bị lộ cũng sẽ gia tăng. Hy vọng độc giả có thể truyền bá thông tin này để tránh nhiều người khác phải chịu thiệt hại.