الهاكرز هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمشاريع ، تعني الشفرة المصدرية أن الهاكرز من جميع أنحاء العالم قد يكونون في حالة مراجعة ، وأي إهمال قد يؤدي إلى كارثة كبيرة. بالنسبة للمستخدمين الأفراد ، كل تفاعل أو توقيع على السلسلة قد يحمل مخاطر ، وأي خطأ بسيط قد يؤدي إلى سرقة الأصول. لذا ، كانت مسألة الأمان واحدة من نقاط الألم في عالم التشفير. نظرًا لخصائص blockchain ، فإن الأصول المسروقة تكاد تكون مستحيلة الاسترداد ، لذا فإن امتلاك المعرفة الأمنية أمر بالغ الأهمية.
مؤخراً، بدأت طريقة جديدة للاحتيال بالتصيد النشط، حيث يمكن أن يتم سرقة الأصول بمجرد التوقيع، وتتميز هذه الطريقة بالسرية الشديدة وصعوبة الوقاية منها. أي عنوان قد استخدم Uniswap قد يتعرض للخطر. ستتناول هذه المقالة توعية حول هذه الطريقة في تصيد التوقيع، لتفادي المزيد من خسائر الأصول.
تفاصيل الحدث
مؤخراً، تم سرقة أصول المحفظة لصديقي ( الصغيرة A ). على عكس طرق السرقة الشائعة، لم يقم الصغيرة A بكشف المفتاح الخاص، ولم يتفاعل مع عقد موقع التصيد.
يعرض متصفح blockchain أن USDT الخاص بـ A الصغير تم نقله من خلال دالة Transfer From. وهذا يعني أن عنوان الطرف الثالث هو الذي قام بعملية نقل الرمز، وليس تسرب مفتاح المحفظة الخاص.
تفاصيل الصفقة تظهر:
تم تحويل أصول小A من العنوان الذي ينتهي بـ fd51 إلى العنوان الذي ينتهي بـ a0c8
العملية تتفاعل مع عقد Permit2 الخاص بـ Uniswap
السؤال الرئيسي هو: كيف يمكن الحصول على صلاحيات الأصول لعنوان ينتهي بـ fd51؟ ولماذا يتعلق الأمر بـ Uniswap؟
أظهر التحقيق الإضافي أنه قبل نقل أصول A الصغيرة، قامت العنوان أيضًا بعملية إذن، وكان جميع الأطراف المتفاعلة هي عقد إذن Uniswap 2.
Uniswap Permit2 هو عقد جديد تم إطلاقه في نهاية عام 2022، يسمح بتفويض الرموز لمشاركتها وإدارتها بين تطبيقات مختلفة، ويهدف إلى خلق تجربة مستخدم أكثر توحيدًا وكفاءة وأمانًا. مع تكامل المزيد من المشاريع، من المتوقع أن يحقق Permit2 توحيد الموافقات على الرموز عبر التطبيقات، مما يقلل من تكاليف المعاملات ويزيد من الأمان.
يعمل Permit2 كوسيط بين المستخدم وDapp، حيث يحتاج المستخدم فقط إلى تفويض عقد Permit2، ويمكن لجميع Dapp المدمجة مشاركة حد التفويض. هذا يقلل من تكلفة تفاعل المستخدم ويعزز التجربة. لكن هذا أيضًا سلاح ذو حدين، وتكمن المشكلة في طريقة التفاعل مع Permit2.
في طرق التفاعل التقليدية، تعتبر التفويضات وتحويل الأموال عمليات على السلسلة. تقوم Permit2 بتحويل عمليات المستخدم إلى توقيعات خارج السلسلة، بينما تتم العمليات على السلسلة بواسطة أطراف وسيطة. وهذا يعني أنه حتى إذا كانت محفظة المستخدم لا تحتوي على ETH، يمكنه استخدام رموز أخرى لدفع رسوم الغاز أو يتم تعويضه من قبل الأطراف الوسيطة.
ومع ذلك، فإن التوقيع خارج السلسلة هو الجزء الذي يغفله المستخدمون بسهولة. معظم الناس لا يتحققون بدقة من محتوى التوقيع، ولا يفهمون معناه، وهذه هي النقطة الأكثر خطورة.
لاستخدام هذه الثغرة، الشرط الأساسي هو أن يحتاج المحفظة إلى تفويض عقد Permit2 الخاص بـ Uniswap. حاليًا، يتطلب الأمر هذا التفويض عند التبادل على Dapp الذي يدمج Permit2 أو على Uniswap. والأسوأ من ذلك، هو أنه بغض النظر عن مبلغ التبادل، يطلب عقد Permit2 بشكل افتراضي تفويض الرصيد بالكامل. على الرغم من أن MetaMask يسمح بتخصيص المبلغ، إلا أن معظم الناس سيختارون مباشرة الحد الأقصى أو القيمة الافتراضية، والقيمة الافتراضية لـ Permit2 هي حد غير محدود.
هذا يعني أنه طالما أنك تتفاعل مع Uniswap بعد عام 2023 وتمنح الإذن لعقد Permit2، فقد تكون معرضًا لهذا الخطر من الاحتيال. يستغل القراصنة دالة Permit، من خلال توقيعك، لنقل مقدار توكنات Permit2 التي منحتها إلى عنوان آخر.
كيف يمكن الحماية من ذلك؟
فهم وتحديد محتوى التوقيع: تعلم كيفية التعرف على تنسيق توقيع Permit، والذي يتضمن معلومات أساسية مثل Owner و Spender و value و nonce و deadline. استخدام المكونات الإضافية الآمنة هو خيار جيد.
فصل محفظة الأصول عن محفظة التفاعل: تخزين الأصول الكبيرة في المحفظة الباردة، والمحفظة التفاعلية تحتفظ بمبلغ صغير من الأموال، مما يمكن أن يقلل بشكل كبير من الخسائر.
تقييد حدود التفويض أو إلغاء التفويض: عند التبديل على Uniswap، قم بتفويض المبلغ المطلوب فقط. على الرغم من أن الحاجة إلى إعادة التفويض في كل مرة ستزيد من التكاليف، إلا أنها ستجنب مخاطر اصطياد توقيع Permit2. يمكن إلغاء التفويضات الممنوحة باستخدام ملحق الأمان.
معرفة ما إذا كان الرمز المميز يدعم ميزة الإذن: انتبه إلى ما إذا كان الرمز المميز الذي تمتلكه يدعم هذه الميزة، وإذا كان يدعمها، يجب توخي الحذر بشكل خاص والتحقق بعناية من كل توقيع غير معروف.
وضع خطة طوارئ: إذا تم التضليل ولكن لا يزال لديك رموز على منصات أخرى، يجب أن تكون حذرًا عند السحب والنقل. قد يقوم القراصنة بمراقبة عنوانك في أي وقت، وبمجرد ظهور الرموز، سيقومون بالنقل. يُنصح بالبحث عن مساعدة من فريق أمان محترف، واستخدام تقنيات مثل نقل MEV.
قد تزداد عمليات الاحتيال المبنية على Permit2 في المستقبل. هذه الطريقة في الاحتيال بواسطة التوقيع خفية للغاية وصعبة الحماية، ومع توسع نطاق استخدام Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المعلومات لزيادة الوعي بالأمان.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 20
أعجبني
20
7
مشاركة
تعليق
0/400
ruggedNotShrugged
· 07-20 12:50
آه، هؤلاء الحمقى من uni يعانون مرة أخرى
شاهد النسخة الأصليةرد0
RektButStillHere
· 07-20 12:30
المحفظة المجاورة لم تعد موجودة، أكبر أعداء البلوكتشين.
شاهد النسخة الأصليةرد0
MEVVictimAlliance
· 07-18 15:04
لقد وقعت في هذا الفخ مرة أخرى ووقعت عليه بلا جدوى dnmd
شاهد النسخة الأصليةرد0
ChainDoctor
· 07-18 14:54
حقًا مخيف، لحسن الحظ أنني أستثمر في تداول العملات الرقمية بشكل مستقر
شاهد النسخة الأصليةرد0
rekt_but_resilient
· 07-18 14:48
لقد خسرت الكثير وما زلت تلعب
شاهد النسخة الأصليةرد0
BoredRiceBall
· 07-18 14:38
من رأى مباشرةً فتح الرطوبة، من يجرؤ على لعب uni
شاهد النسخة الأصليةرد0
RektRecorder
· 07-18 14:36
هذه الأيام حتى التوقيعات ليست آمنة؟ Rug Pull Rug Pull ~
احتيال توقيع Uniswap Permit2: درجة عالية من الخفاء وتهديد كبير
كشف النقاب عن خدعة توقيع Uniswap Permit2
الهاكرز هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمشاريع ، تعني الشفرة المصدرية أن الهاكرز من جميع أنحاء العالم قد يكونون في حالة مراجعة ، وأي إهمال قد يؤدي إلى كارثة كبيرة. بالنسبة للمستخدمين الأفراد ، كل تفاعل أو توقيع على السلسلة قد يحمل مخاطر ، وأي خطأ بسيط قد يؤدي إلى سرقة الأصول. لذا ، كانت مسألة الأمان واحدة من نقاط الألم في عالم التشفير. نظرًا لخصائص blockchain ، فإن الأصول المسروقة تكاد تكون مستحيلة الاسترداد ، لذا فإن امتلاك المعرفة الأمنية أمر بالغ الأهمية.
مؤخراً، بدأت طريقة جديدة للاحتيال بالتصيد النشط، حيث يمكن أن يتم سرقة الأصول بمجرد التوقيع، وتتميز هذه الطريقة بالسرية الشديدة وصعوبة الوقاية منها. أي عنوان قد استخدم Uniswap قد يتعرض للخطر. ستتناول هذه المقالة توعية حول هذه الطريقة في تصيد التوقيع، لتفادي المزيد من خسائر الأصول.
تفاصيل الحدث
مؤخراً، تم سرقة أصول المحفظة لصديقي ( الصغيرة A ). على عكس طرق السرقة الشائعة، لم يقم الصغيرة A بكشف المفتاح الخاص، ولم يتفاعل مع عقد موقع التصيد.
يعرض متصفح blockchain أن USDT الخاص بـ A الصغير تم نقله من خلال دالة Transfer From. وهذا يعني أن عنوان الطرف الثالث هو الذي قام بعملية نقل الرمز، وليس تسرب مفتاح المحفظة الخاص.
تفاصيل الصفقة تظهر:
السؤال الرئيسي هو: كيف يمكن الحصول على صلاحيات الأصول لعنوان ينتهي بـ fd51؟ ولماذا يتعلق الأمر بـ Uniswap؟
أظهر التحقيق الإضافي أنه قبل نقل أصول A الصغيرة، قامت العنوان أيضًا بعملية إذن، وكان جميع الأطراف المتفاعلة هي عقد إذن Uniswap 2.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp)
Uniswap Permit2 هو عقد جديد تم إطلاقه في نهاية عام 2022، يسمح بتفويض الرموز لمشاركتها وإدارتها بين تطبيقات مختلفة، ويهدف إلى خلق تجربة مستخدم أكثر توحيدًا وكفاءة وأمانًا. مع تكامل المزيد من المشاريع، من المتوقع أن يحقق Permit2 توحيد الموافقات على الرموز عبر التطبيقات، مما يقلل من تكاليف المعاملات ويزيد من الأمان.
يعمل Permit2 كوسيط بين المستخدم وDapp، حيث يحتاج المستخدم فقط إلى تفويض عقد Permit2، ويمكن لجميع Dapp المدمجة مشاركة حد التفويض. هذا يقلل من تكلفة تفاعل المستخدم ويعزز التجربة. لكن هذا أيضًا سلاح ذو حدين، وتكمن المشكلة في طريقة التفاعل مع Permit2.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp)
في طرق التفاعل التقليدية، تعتبر التفويضات وتحويل الأموال عمليات على السلسلة. تقوم Permit2 بتحويل عمليات المستخدم إلى توقيعات خارج السلسلة، بينما تتم العمليات على السلسلة بواسطة أطراف وسيطة. وهذا يعني أنه حتى إذا كانت محفظة المستخدم لا تحتوي على ETH، يمكنه استخدام رموز أخرى لدفع رسوم الغاز أو يتم تعويضه من قبل الأطراف الوسيطة.
ومع ذلك، فإن التوقيع خارج السلسلة هو الجزء الذي يغفله المستخدمون بسهولة. معظم الناس لا يتحققون بدقة من محتوى التوقيع، ولا يفهمون معناه، وهذه هي النقطة الأكثر خطورة.
لاستخدام هذه الثغرة، الشرط الأساسي هو أن يحتاج المحفظة إلى تفويض عقد Permit2 الخاص بـ Uniswap. حاليًا، يتطلب الأمر هذا التفويض عند التبادل على Dapp الذي يدمج Permit2 أو على Uniswap. والأسوأ من ذلك، هو أنه بغض النظر عن مبلغ التبادل، يطلب عقد Permit2 بشكل افتراضي تفويض الرصيد بالكامل. على الرغم من أن MetaMask يسمح بتخصيص المبلغ، إلا أن معظم الناس سيختارون مباشرة الحد الأقصى أو القيمة الافتراضية، والقيمة الافتراضية لـ Permit2 هي حد غير محدود.
هذا يعني أنه طالما أنك تتفاعل مع Uniswap بعد عام 2023 وتمنح الإذن لعقد Permit2، فقد تكون معرضًا لهذا الخطر من الاحتيال. يستغل القراصنة دالة Permit، من خلال توقيعك، لنقل مقدار توكنات Permit2 التي منحتها إلى عنوان آخر.
كيف يمكن الحماية من ذلك؟
فهم وتحديد محتوى التوقيع: تعلم كيفية التعرف على تنسيق توقيع Permit، والذي يتضمن معلومات أساسية مثل Owner و Spender و value و nonce و deadline. استخدام المكونات الإضافية الآمنة هو خيار جيد.
فصل محفظة الأصول عن محفظة التفاعل: تخزين الأصول الكبيرة في المحفظة الباردة، والمحفظة التفاعلية تحتفظ بمبلغ صغير من الأموال، مما يمكن أن يقلل بشكل كبير من الخسائر.
تقييد حدود التفويض أو إلغاء التفويض: عند التبديل على Uniswap، قم بتفويض المبلغ المطلوب فقط. على الرغم من أن الحاجة إلى إعادة التفويض في كل مرة ستزيد من التكاليف، إلا أنها ستجنب مخاطر اصطياد توقيع Permit2. يمكن إلغاء التفويضات الممنوحة باستخدام ملحق الأمان.
معرفة ما إذا كان الرمز المميز يدعم ميزة الإذن: انتبه إلى ما إذا كان الرمز المميز الذي تمتلكه يدعم هذه الميزة، وإذا كان يدعمها، يجب توخي الحذر بشكل خاص والتحقق بعناية من كل توقيع غير معروف.
وضع خطة طوارئ: إذا تم التضليل ولكن لا يزال لديك رموز على منصات أخرى، يجب أن تكون حذرًا عند السحب والنقل. قد يقوم القراصنة بمراقبة عنوانك في أي وقت، وبمجرد ظهور الرموز، سيقومون بالنقل. يُنصح بالبحث عن مساعدة من فريق أمان محترف، واستخدام تقنيات مثل نقل MEV.
قد تزداد عمليات الاحتيال المبنية على Permit2 في المستقبل. هذه الطريقة في الاحتيال بواسطة التوقيع خفية للغاية وصعبة الحماية، ومع توسع نطاق استخدام Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المعلومات لزيادة الوعي بالأمان.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-4fdf03afb062f8f5d531cca3cd6330cc.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-dc94f3781aa7b30ba08a99ee827ca2e3.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-1ce5ef8966b9fc2d1101ba341faad70d.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-3c5d855a6c3bc51a57a4a17fe28b2657.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-b80025f211f7c0ef6371b6bd1a309ebc.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-1b868982a90873ccc2af4ad8c5e4f1ff.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-3213312ac0a792dabb27109da5084835.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-0030f2fe9e740084b05db9e08c389be7.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-9e636d675ee5c6c6e57ed6022fce956a.webp)