Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia temida en el ecosistema Web3. Para los proyectos, el código abierto significa que hackers de todo el mundo pueden estar revisando, y cualquier descuido puede provocar un gran desastre. Para los usuarios individuales, cada interacción o firma en la cadena puede conllevar riesgos, y un pequeño error podría llevar al robo de activos. Por lo tanto, la seguridad siempre ha sido uno de los puntos críticos en el mundo de las criptomonedas. Debido a las características de la blockchain, los activos robados son casi imposibles de recuperar, por lo que es especialmente importante tener conocimientos de seguridad.
Recientemente, ha comenzado a activarse un nuevo método de phishing, que solo requiere una firma para ser robado, siendo este método extremadamente encubierto y difícil de prevenir. Las direcciones que han utilizado Uniswap pueden estar expuestas a riesgos. Este artículo tiene como objetivo educar sobre este método de phishing por firma, para evitar más pérdidas de activos.
Desarrollo del evento
Recientemente, un amigo (, Xiao A ), tuvo sus activos de billetera robados. A diferencia de los métodos comunes de robo, Xiao A no divulgó su clave privada ni interactuó con contratos de sitios de phishing.
El explorador de blockchain muestra que el USDT de Xiao A fue transferido a través de la función Transfer From. Esto significa que una dirección de terceros realizó la transferencia del token, y no que se haya filtrado la clave privada de la billetera.
Detalles de la transacción:
La dirección que termina en fd51 transferirá los activos de Xiao A a la dirección que termina en a0c8.
La operación interactúa con el contrato Permit2 de Uniswap
La cuestión clave es: ¿cómo se obtiene el permiso de activos para la dirección que termina en fd51? ¿Por qué está relacionado con Uniswap?
Una investigación adicional reveló que, antes de transferir los activos de A, la dirección también realizó una operación de Permiso, interactuando con el contrato Permit2 de Uniswap.
Uniswap Permit2 es un nuevo contrato lanzado a finales de 2022 que permite la autorización de tokens para compartir y gestionar entre diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, eficiente y segura. A medida que más proyectos se integren, se espera que Permit2 logre la estandarización de la aprobación de tokens entre aplicaciones, reduciendo los costos de transacción y mejorando la seguridad.
Permit2 actúa como intermediario entre el usuario y Dapp, el usuario solo necesita otorgar autorización al contrato Permit2, todos los Dapp integrados pueden compartir el límite de autorización. Esto reduce el costo de interacción del usuario y mejora la experiencia. Pero esto también es una espada de doble filo, el problema radica en la forma de interacción con Permit2.
En los métodos de interacción tradicionales, la autorización y la transferencia de fondos son operaciones en la cadena. Permit2 transforma las operaciones del usuario en firmas fuera de la cadena, mientras que las operaciones en la cadena son realizadas por un rol intermedio. Esto significa que incluso si la billetera del usuario no tiene ETH, se pueden utilizar otros tokens para pagar el Gas o ser reembolsados por el rol intermedio.
Sin embargo, la firma fuera de la cadena es el aspecto que los usuarios más tienden a pasar por alto. La mayoría de las personas no revisa detenidamente el contenido de la firma y tampoco comprende su significado, que es precisamente el lugar más peligroso.
Para aprovechar esta vulnerabilidad, el requisito clave es que la billetera debe autorizar el contrato Permit2 de Uniswap. Actualmente, al intercambiar en una Dapp que integra Permit2 o en Uniswap, se necesita esta autorización. Lo más aterrador es que, independientemente de la cantidad de intercambio, el contrato Permit2 solicita por defecto la autorización de todo el saldo. Aunque MetaMask permite personalizar la cantidad, la mayoría de las personas optará directamente por el máximo o el valor predeterminado, y el valor predeterminado de Permit2 es un límite ilimitado.
Esto significa que, siempre que interactúes con Uniswap y autorices al contrato Permit2 después de 2023, podrías estar expuesto a este riesgo de phishing. Los hackers utilizan la función Permit para transferir la cantidad de tokens que autorizaste a Permit2 a otras direcciones a través de tu firma.
¿Cómo prevenir?
Entender e identificar el contenido de la firma: aprender a reconocer el formato de la firma Permit, que incluye información clave como Owner, Spender, value, nonce y deadline. Usar un complemento de seguridad es una buena opción.
Separación de la billetera de activos y la billetera de interacción: almacenar grandes cantidades de activos en una billetera fría, mientras que la billetera de interacción solo mantiene una pequeña cantidad de fondos, lo que puede reducir significativamente las pérdidas.
Limitar el monto de autorización o cancelar la autorización: Al intercambiar en Uniswap, solo autoriza la cantidad necesaria. Aunque tener que autorizar cada vez aumentará los costos, puede evitar el riesgo de phishing de firma de Permit2. La autorización concedida se puede cancelar utilizando un complemento de seguridad.
Conocer si el token soporta la función de permiso: Prestar atención a si el token que posees soporta esta función; si la soporta, se debe proceder con especial precaución y revisar cuidadosamente cada firma desconocida.
Elaborar un plan de emergencia: si has sido víctima de un Lavado de ojos pero aún tienes tokens en otras plataformas, debes retirar y transferir con cautela. Los hackers pueden estar monitoreando tu dirección en cualquier momento, y tan pronto como aparezcan tokens, los transferirán. Se recomienda buscar la asistencia de un equipo de seguridad profesional y utilizar técnicas como la transferencia MEV.
El phishing basado en Permit2 puede volverse cada vez más común en el futuro. Este método de phishing por firma es extremadamente sigiloso y difícil de prevenir; a medida que se amplía el alcance de Permit2, también aumentará el número de direcciones expuestas al riesgo. Espero que los lectores puedan difundir esta información a más personas para aumentar la conciencia sobre la seguridad.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
20 me gusta
Recompensa
20
7
Compartir
Comentar
0/400
ruggedNotShrugged
· 07-20 12:50
Ah, esto, otra vez los tontos de uni sufriendo.
Ver originalesResponder0
RektButStillHere
· 07-20 12:30
La billetera de al lado se ha perdido otra vez, el mayor enemigo de la cadena de bloques.
Ver originalesResponder0
MEVVictimAlliance
· 07-18 15:04
Otra vez caí en esta trampa, además firmé en vano, dnmd.
Ver originalesResponder0
ChainDoctor
· 07-18 14:54
Verdaderamente aterrador, menos mal que mi comercio de criptomonedas es bastante estable.
Ver originalesResponder0
rekt_but_resilient
· 07-18 14:48
Perdí mucho y aún sigo jugando
Ver originalesResponder0
BoredRiceBall
· 07-18 14:38
¿Quién se atreve a jugar uni después de ver a Ruan abrir directamente?
Ver originalesResponder0
RektRecorder
· 07-18 14:36
¿No es seguro ni siquiera firmar en estos tiempos? Rug Pull Rug Pull~
Lavado de ojos de firma Permit2 de Uniswap: alta ocultación, gran amenaza
Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia temida en el ecosistema Web3. Para los proyectos, el código abierto significa que hackers de todo el mundo pueden estar revisando, y cualquier descuido puede provocar un gran desastre. Para los usuarios individuales, cada interacción o firma en la cadena puede conllevar riesgos, y un pequeño error podría llevar al robo de activos. Por lo tanto, la seguridad siempre ha sido uno de los puntos críticos en el mundo de las criptomonedas. Debido a las características de la blockchain, los activos robados son casi imposibles de recuperar, por lo que es especialmente importante tener conocimientos de seguridad.
Recientemente, ha comenzado a activarse un nuevo método de phishing, que solo requiere una firma para ser robado, siendo este método extremadamente encubierto y difícil de prevenir. Las direcciones que han utilizado Uniswap pueden estar expuestas a riesgos. Este artículo tiene como objetivo educar sobre este método de phishing por firma, para evitar más pérdidas de activos.
Desarrollo del evento
Recientemente, un amigo (, Xiao A ), tuvo sus activos de billetera robados. A diferencia de los métodos comunes de robo, Xiao A no divulgó su clave privada ni interactuó con contratos de sitios de phishing.
El explorador de blockchain muestra que el USDT de Xiao A fue transferido a través de la función Transfer From. Esto significa que una dirección de terceros realizó la transferencia del token, y no que se haya filtrado la clave privada de la billetera.
Detalles de la transacción:
La cuestión clave es: ¿cómo se obtiene el permiso de activos para la dirección que termina en fd51? ¿Por qué está relacionado con Uniswap?
Una investigación adicional reveló que, antes de transferir los activos de A, la dirección también realizó una operación de Permiso, interactuando con el contrato Permit2 de Uniswap.
Uniswap Permit2 es un nuevo contrato lanzado a finales de 2022 que permite la autorización de tokens para compartir y gestionar entre diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, eficiente y segura. A medida que más proyectos se integren, se espera que Permit2 logre la estandarización de la aprobación de tokens entre aplicaciones, reduciendo los costos de transacción y mejorando la seguridad.
Permit2 actúa como intermediario entre el usuario y Dapp, el usuario solo necesita otorgar autorización al contrato Permit2, todos los Dapp integrados pueden compartir el límite de autorización. Esto reduce el costo de interacción del usuario y mejora la experiencia. Pero esto también es una espada de doble filo, el problema radica en la forma de interacción con Permit2.
En los métodos de interacción tradicionales, la autorización y la transferencia de fondos son operaciones en la cadena. Permit2 transforma las operaciones del usuario en firmas fuera de la cadena, mientras que las operaciones en la cadena son realizadas por un rol intermedio. Esto significa que incluso si la billetera del usuario no tiene ETH, se pueden utilizar otros tokens para pagar el Gas o ser reembolsados por el rol intermedio.
Sin embargo, la firma fuera de la cadena es el aspecto que los usuarios más tienden a pasar por alto. La mayoría de las personas no revisa detenidamente el contenido de la firma y tampoco comprende su significado, que es precisamente el lugar más peligroso.
Para aprovechar esta vulnerabilidad, el requisito clave es que la billetera debe autorizar el contrato Permit2 de Uniswap. Actualmente, al intercambiar en una Dapp que integra Permit2 o en Uniswap, se necesita esta autorización. Lo más aterrador es que, independientemente de la cantidad de intercambio, el contrato Permit2 solicita por defecto la autorización de todo el saldo. Aunque MetaMask permite personalizar la cantidad, la mayoría de las personas optará directamente por el máximo o el valor predeterminado, y el valor predeterminado de Permit2 es un límite ilimitado.
Esto significa que, siempre que interactúes con Uniswap y autorices al contrato Permit2 después de 2023, podrías estar expuesto a este riesgo de phishing. Los hackers utilizan la función Permit para transferir la cantidad de tokens que autorizaste a Permit2 a otras direcciones a través de tu firma.
¿Cómo prevenir?
Entender e identificar el contenido de la firma: aprender a reconocer el formato de la firma Permit, que incluye información clave como Owner, Spender, value, nonce y deadline. Usar un complemento de seguridad es una buena opción.
Separación de la billetera de activos y la billetera de interacción: almacenar grandes cantidades de activos en una billetera fría, mientras que la billetera de interacción solo mantiene una pequeña cantidad de fondos, lo que puede reducir significativamente las pérdidas.
Limitar el monto de autorización o cancelar la autorización: Al intercambiar en Uniswap, solo autoriza la cantidad necesaria. Aunque tener que autorizar cada vez aumentará los costos, puede evitar el riesgo de phishing de firma de Permit2. La autorización concedida se puede cancelar utilizando un complemento de seguridad.
Conocer si el token soporta la función de permiso: Prestar atención a si el token que posees soporta esta función; si la soporta, se debe proceder con especial precaución y revisar cuidadosamente cada firma desconocida.
Elaborar un plan de emergencia: si has sido víctima de un Lavado de ojos pero aún tienes tokens en otras plataformas, debes retirar y transferir con cautela. Los hackers pueden estar monitoreando tu dirección en cualquier momento, y tan pronto como aparezcan tokens, los transferirán. Se recomienda buscar la asistencia de un equipo de seguridad profesional y utilizar técnicas como la transferencia MEV.
El phishing basado en Permit2 puede volverse cada vez más común en el futuro. Este método de phishing por firma es extremadamente sigiloso y difícil de prevenir; a medida que se amplía el alcance de Permit2, también aumentará el número de direcciones expuestas al riesgo. Espero que los lectores puedan difundir esta información a más personas para aumentar la conciencia sobre la seguridad.