Dévoiler le piège de signature de phishing Permit2 d'Uniswap
Les hackers sont des entités redoutables dans l'écosystème Web3. Pour les équipes de projet, le code open source signifie que des hackers du monde entier peuvent l'examiner, et la moindre négligence peut entraîner de graves conséquences. Pour les utilisateurs individuels, chaque interaction ou signature sur la chaîne peut comporter des risques, et une petite erreur peut entraîner le vol d'actifs. Par conséquent, la question de la sécurité a toujours été l'un des points sensibles du monde de la cryptographie. En raison des caractéristiques de la blockchain, les actifs volés sont presque impossibles à récupérer, il est donc particulièrement important de posséder des connaissances en matière de sécurité.
Récemment, un nouveau type de méthode de phishing a commencé à se répandre, il suffit de signer pour être potentiellement volé, la méthode est extrêmement discrète et difficile à prévenir. Les adresses ayant utilisé Uniswap peuvent être exposées à des risques. Cet article vise à sensibiliser sur cette méthode de phishing par signature, afin d'éviter d'autres pertes d'actifs.
déroulement de l'événement
Récemment, un ami ( Xiao A ) a vu ses actifs de portefeuille volés. Contrairement aux méthodes de vol courantes, Xiao A n'a pas divulgué sa clé privée et n'a pas interagi avec un contrat de site de phishing.
Le navigateur blockchain indique que le USDT de Xiao A a été transféré via la fonction Transfer From. Cela signifie qu'une adresse tierce a opéré le transfert du Token, et non une fuite de la clé privée du portefeuille.
Détails de la transaction :
L'adresse se terminant par fd51 a transféré les actifs de Xiao A à l'adresse se terminant par a0c8
L'opération interagit avec le contrat Permit2 d'Uniswap
La question clé est : comment obtenir des droits d'actifs pour l'adresse se terminant par fd51 ? Pourquoi est-ce lié à Uniswap ?
Une enquête plus approfondie a révélé qu'avant de transférer les actifs de A, l'adresse avait également effectué une opération de Permit, et les objets d'interaction étaient tous le contrat Permit2 de Uniswap.
Uniswap Permit2 est un nouveau contrat lancé à la fin de 2022, permettant l'autorisation de tokens pour le partage et la gestion entre différentes applications, visant à créer une expérience utilisateur plus unifiée, efficace et sécurisée. Avec l'intégration de plus de projets, Permit2 devrait permettre la normalisation des approbations de tokens entre applications, réduisant les coûts de transaction et améliorant la sécurité.
Permit2 agit comme un intermédiaire entre l'utilisateur et les Dapp, l'utilisateur n'a qu'à autoriser le contrat Permit2, toutes les Dapp intégrées peuvent partager le quota d'autorisation. Cela réduit le coût d'interaction pour l'utilisateur et améliore l'expérience. Mais c'est aussi une épée à double tranchant, le problème réside dans la manière d'interagir avec Permit2.
Dans les modes d'interaction traditionnels, l'autorisation et le transfert de fonds sont des opérations sur la chaîne. Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, les opérations sur la chaîne étant réalisées par un acteur intermédiaire. Cela permet même si le portefeuille de l'utilisateur n'a pas d'ETH, d'utiliser d'autres tokens pour payer les frais de gas ou d'être remboursé par un acteur intermédiaire.
Cependant, la signature hors chaîne est l'étape la plus facilement négligée par les utilisateurs. La plupart des gens ne vérifient pas attentivement le contenu de la signature et ne comprennent pas sa signification, c'est justement là que réside le danger.
Pour exploiter cette vulnérabilité, la condition clé est que le portefeuille doit être autorisé au contrat Permit2 d'Uniswap. Actuellement, il est nécessaire d'accorder cette autorisation chaque fois que l'on effectue un Swap sur une Dapp intégrant Permit2 ou sur Uniswap. Ce qui est encore plus inquiétant, c'est que peu importe le montant du Swap, le contrat Permit2 demande par défaut l'autorisation de l'intégralité du solde. Bien que MetaMask permette de définir un montant personnalisé, la plupart des gens choisissent directement la valeur maximale ou par défaut, et la valeur par défaut de Permit2 est une limite illimitée.
Cela signifie que tant que vous interagissez avec Uniswap et autorisez le contrat Permit2 après 2023, vous pourriez être exposé à ce risque de phishing. Les hackers exploitent la fonction Permit pour transférer le montant du Token que vous avez autorisé au Permit2 à d'autres adresses en utilisant votre signature.
Comment se prémunir?
Comprendre et identifier le contenu de la signature : apprendre à reconnaître le format de signature Permit, qui comprend des informations clés telles que Owner, Spender, value, nonce et deadline. Utiliser des plugins de sécurité est un bon choix.
Séparation des portefeuilles d'actifs et des portefeuilles d'interaction : stocker une grande quantité d'actifs dans un portefeuille froid, le portefeuille d'interaction ne contenant qu'une petite quantité de fonds, ce qui peut réduire considérablement les pertes.
Limiter le montant d'autorisation ou annuler l'autorisation : Lors de l'échange sur Uniswap, n'autorisez que le montant nécessaire. Bien que le besoin de réautoriser à chaque fois augmente les coûts, cela peut éviter le risque de phishing lié à la signature Permit2. Les autorisations déjà accordées peuvent être annulées à l'aide d'un plugin de sécurité.
Vérifiez si le jeton prend en charge la fonction de permission : faites attention à savoir si le jeton que vous détenez prend en charge cette fonction. S'il est pris en charge, soyez particulièrement prudent et vérifiez attentivement chaque signature inconnue.
Élaborer un plan d'urgence : si vous êtes victime d'un eyewash mais que vous avez encore des tokens sur d'autres plateformes, il est nécessaire de les retirer et de les transférer avec prudence. Les hackers peuvent surveiller votre adresse à tout moment, et dès que des tokens apparaissent, ils seront transférés. Il est conseillé de demander l'aide d'une équipe de sécurité professionnelle et d'utiliser des techniques telles que le transfert MEV.
À l'avenir, les phishing basés sur Permit2 pourraient devenir de plus en plus fréquents. Cette méthode de phishing par signature est extrêmement discrète et difficile à prévenir. Avec l'élargissement du champ d'application de Permit2, le nombre d'adresses exposées au risque augmentera également. J'espère que les lecteurs pourront diffuser ces informations à un plus grand nombre de personnes pour améliorer ensemble la sensibilisation à la sécurité.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
7
Partager
Commentaire
0/400
ruggedNotShrugged
· 07-20 12:50
Ah ça, encore une fois les pigeons de Uni sont en difficulté.
Voir l'originalRépondre0
RektButStillHere
· 07-20 12:30
Le portefeuille d'à côté a de nouveau disparu, le plus grand ennemi de la Blockchain.
Voir l'originalRépondre0
MEVVictimAlliance
· 07-18 15:04
Encore tombé dans ce piège, et en plus j'ai signé bêtement, dnmd.
Voir l'originalRépondre0
ChainDoctor
· 07-18 14:54
Vraiment effrayant, heureusement que je fais du Trading des cryptomonnaies de manière assez stable.
Voir l'originalRépondre0
rekt_but_resilient
· 07-18 14:48
J'ai perdu de l'argent et je continue à jouer.
Voir l'originalRépondre0
BoredRiceBall
· 07-18 14:38
Qui oserait encore jouer à uni après avoir vu directement Kai Run?
Voir l'originalRépondre0
RektRecorder
· 07-18 14:36
Cette année, même les signatures ne sont plus sécurisées ? Rug Pull Rug Pull ~
Uniswap Permit2 signature eyewash: haute dissimulation, menace énorme
Dévoiler le piège de signature de phishing Permit2 d'Uniswap
Les hackers sont des entités redoutables dans l'écosystème Web3. Pour les équipes de projet, le code open source signifie que des hackers du monde entier peuvent l'examiner, et la moindre négligence peut entraîner de graves conséquences. Pour les utilisateurs individuels, chaque interaction ou signature sur la chaîne peut comporter des risques, et une petite erreur peut entraîner le vol d'actifs. Par conséquent, la question de la sécurité a toujours été l'un des points sensibles du monde de la cryptographie. En raison des caractéristiques de la blockchain, les actifs volés sont presque impossibles à récupérer, il est donc particulièrement important de posséder des connaissances en matière de sécurité.
Récemment, un nouveau type de méthode de phishing a commencé à se répandre, il suffit de signer pour être potentiellement volé, la méthode est extrêmement discrète et difficile à prévenir. Les adresses ayant utilisé Uniswap peuvent être exposées à des risques. Cet article vise à sensibiliser sur cette méthode de phishing par signature, afin d'éviter d'autres pertes d'actifs.
déroulement de l'événement
Récemment, un ami ( Xiao A ) a vu ses actifs de portefeuille volés. Contrairement aux méthodes de vol courantes, Xiao A n'a pas divulgué sa clé privée et n'a pas interagi avec un contrat de site de phishing.
Le navigateur blockchain indique que le USDT de Xiao A a été transféré via la fonction Transfer From. Cela signifie qu'une adresse tierce a opéré le transfert du Token, et non une fuite de la clé privée du portefeuille.
Détails de la transaction :
La question clé est : comment obtenir des droits d'actifs pour l'adresse se terminant par fd51 ? Pourquoi est-ce lié à Uniswap ?
Une enquête plus approfondie a révélé qu'avant de transférer les actifs de A, l'adresse avait également effectué une opération de Permit, et les objets d'interaction étaient tous le contrat Permit2 de Uniswap.
Uniswap Permit2 est un nouveau contrat lancé à la fin de 2022, permettant l'autorisation de tokens pour le partage et la gestion entre différentes applications, visant à créer une expérience utilisateur plus unifiée, efficace et sécurisée. Avec l'intégration de plus de projets, Permit2 devrait permettre la normalisation des approbations de tokens entre applications, réduisant les coûts de transaction et améliorant la sécurité.
Permit2 agit comme un intermédiaire entre l'utilisateur et les Dapp, l'utilisateur n'a qu'à autoriser le contrat Permit2, toutes les Dapp intégrées peuvent partager le quota d'autorisation. Cela réduit le coût d'interaction pour l'utilisateur et améliore l'expérience. Mais c'est aussi une épée à double tranchant, le problème réside dans la manière d'interagir avec Permit2.
Dans les modes d'interaction traditionnels, l'autorisation et le transfert de fonds sont des opérations sur la chaîne. Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, les opérations sur la chaîne étant réalisées par un acteur intermédiaire. Cela permet même si le portefeuille de l'utilisateur n'a pas d'ETH, d'utiliser d'autres tokens pour payer les frais de gas ou d'être remboursé par un acteur intermédiaire.
Cependant, la signature hors chaîne est l'étape la plus facilement négligée par les utilisateurs. La plupart des gens ne vérifient pas attentivement le contenu de la signature et ne comprennent pas sa signification, c'est justement là que réside le danger.
Pour exploiter cette vulnérabilité, la condition clé est que le portefeuille doit être autorisé au contrat Permit2 d'Uniswap. Actuellement, il est nécessaire d'accorder cette autorisation chaque fois que l'on effectue un Swap sur une Dapp intégrant Permit2 ou sur Uniswap. Ce qui est encore plus inquiétant, c'est que peu importe le montant du Swap, le contrat Permit2 demande par défaut l'autorisation de l'intégralité du solde. Bien que MetaMask permette de définir un montant personnalisé, la plupart des gens choisissent directement la valeur maximale ou par défaut, et la valeur par défaut de Permit2 est une limite illimitée.
Cela signifie que tant que vous interagissez avec Uniswap et autorisez le contrat Permit2 après 2023, vous pourriez être exposé à ce risque de phishing. Les hackers exploitent la fonction Permit pour transférer le montant du Token que vous avez autorisé au Permit2 à d'autres adresses en utilisant votre signature.
Comment se prémunir?
Comprendre et identifier le contenu de la signature : apprendre à reconnaître le format de signature Permit, qui comprend des informations clés telles que Owner, Spender, value, nonce et deadline. Utiliser des plugins de sécurité est un bon choix.
Séparation des portefeuilles d'actifs et des portefeuilles d'interaction : stocker une grande quantité d'actifs dans un portefeuille froid, le portefeuille d'interaction ne contenant qu'une petite quantité de fonds, ce qui peut réduire considérablement les pertes.
Limiter le montant d'autorisation ou annuler l'autorisation : Lors de l'échange sur Uniswap, n'autorisez que le montant nécessaire. Bien que le besoin de réautoriser à chaque fois augmente les coûts, cela peut éviter le risque de phishing lié à la signature Permit2. Les autorisations déjà accordées peuvent être annulées à l'aide d'un plugin de sécurité.
Vérifiez si le jeton prend en charge la fonction de permission : faites attention à savoir si le jeton que vous détenez prend en charge cette fonction. S'il est pris en charge, soyez particulièrement prudent et vérifiez attentivement chaque signature inconnue.
Élaborer un plan d'urgence : si vous êtes victime d'un eyewash mais que vous avez encore des tokens sur d'autres plateformes, il est nécessaire de les retirer et de les transférer avec prudence. Les hackers peuvent surveiller votre adresse à tout moment, et dès que des tokens apparaissent, ils seront transférés. Il est conseillé de demander l'aide d'une équipe de sécurité professionnelle et d'utiliser des techniques telles que le transfert MEV.
À l'avenir, les phishing basés sur Permit2 pourraient devenir de plus en plus fréquents. Cette méthode de phishing par signature est extrêmement discrète et difficile à prévenir. Avec l'élargissement du champ d'application de Permit2, le nombre d'adresses exposées au risque augmentera également. J'espère que les lecteurs pourront diffuser ces informations à un plus grand nombre de personnes pour améliorer ensemble la sensibilisation à la sécurité.