Metode Pemula Memancing Tanda Tangan: Risiko Keamanan yang Dihasilkan oleh Kontrak Uniswap Permit2

Dalam beberapa waktu terakhir, sebuah metode phishing baru yang menggunakan kontrak Uniswap Permit2 mulai aktif, dengan tingkat ketersembunyian dan bahaya yang sangat tinggi. Serangan ini hanya membutuhkan satu tanda tangan dari korban untuk dapat mencuri aset, dan alamat yang pernah berinteraksi dengan Uniswap juga berisiko.

Analisis Kasus

Baru-baru ini, aset dompet pengguna ( kecil A ) dicuri, tetapi dia tidak mengungkapkan kunci pribadi atau berinteraksi dengan kontrak yang mencurigakan. Penyelidikan mengungkapkan bahwa USDT yang dicuri dipindahkan melalui fungsi Transfer From, yang menunjukkan bahwa aset tersebut dipindahkan oleh alamat pihak ketiga.

Lebih lanjut menganalisis rincian transaksi menemukan:

• Sebuah alamat perantara telah memindahkan aset kecil A ke alamat lain
• Operasi ini berinteraksi dengan kontrak Permit2 dari Uniswap

Kuncinya adalah alamat tengah ini melakukan operasi Permit sebelum mentransfer aset, dan objek interaksinya juga merupakan kontrak Permit2 dari Uniswap.

Pengenalan Kontrak Permit2

Uniswap Permit2 adalah kontrak persetujuan token yang memungkinkan otorisasi token untuk berbagi dan mengelola antara aplikasi yang berbeda, dapat mengurangi biaya transaksi dan meningkatkan pengalaman pengguna. Namun, itu juga membawa risiko keamanan baru.

Saat menggunakan Permit2, operasi pengguna menjadi tanda tangan di luar rantai, dan operasi di dalam rantai dilakukan oleh peran tengah. Meskipun cara ini praktis, pengguna juga dapat menjadi kurang waspada saat menandatangani.

Pemulihan Teknik Memancing

1. Korban perlu memberikan otorisasi Token ke kontrak Permit2 Uniswap ( biasanya adalah otorisasi penuh )

2. Hacker mengelabui pengguna untuk melakukan tanda tangan yang tampak tidak berbahaya.

3. Hacker menggunakan tanda tangan ini untuk memanggil fungsi permit dari kontrak Permit2, untuk mendapatkan hak penggunaan Token pengguna.

4. Hacker kemudian memanggil fungsi transferFrom untuk memindahkan Token

Ini berarti bahwa selama Anda telah berinteraksi dengan Uniswap setelah tahun 2023, Anda mungkin menghadapi risiko ini.

Saran Pencegahan

1. Pelajari cara mengenali format tanda tangan Permit, yang mencakup bidang Owner, Spender, value, nonce, dan deadline.

2. Memisahkan penggunaan aset dan dompet interaksi

3. Saat memberikan izin pada kontrak Permit2, hanya berikan izin untuk jumlah yang diperlukan, atau batalkan izin yang berlebihan.

4. Ketahui apakah token yang Anda miliki mendukung fungsi permit

5. Jika masih ada aset di platform lain setelah dicuri, perlu menyusun rencana penarikan yang lengkap.

Peretasan berbasis Permit2 di masa depan mungkin akan semakin banyak, cara ini sangat tersembunyi dan sulit untuk dihindari, semoga semua orang tetap waspada dan berhati-hati saat melakukan tanda tangan.