Hacker adalah keberadaan yang menakutkan di ekosistem Web3. Bagi pihak proyek, kode sumber terbuka berarti bahwa hacker di seluruh dunia mungkin sedang mengawasi, sedikit kelalaian bisa menyebabkan bencana besar. Bagi pengguna individu, setiap interaksi atau tanda tangan di blockchain dapat memiliki risiko, dan satu kesalahan kecil dapat menyebabkan pencurian aset. Oleh karena itu, masalah keamanan selalu menjadi salah satu titik nyeri di dunia kripto. Karena karakteristik blockchain, aset yang dicuri hampir tidak dapat dipulihkan, sehingga memiliki pengetahuan tentang keamanan sangat penting.
Baru-baru ini, metode phishing baru mulai aktif, yang hanya memerlukan tanda tangan untuk mungkin dicuri, dan tekniknya sangat tersembunyi serta sulit untuk dicegah. Alamat yang pernah digunakan di Uniswap mungkin terpapar pada risiko. Artikel ini akan menjelaskan metode phishing tanda tangan ini untuk menghindari lebih banyak kerugian aset.
Kronologi kejadian
Baru-baru ini, seorang teman ( Xiao A ) kehilangan aset dompetnya. Berbeda dengan cara pencurian yang umum, Xiao A tidak membocorkan kunci privatnya dan juga tidak berinteraksi dengan kontrak situs phishing.
Browser blockchain menunjukkan bahwa USDT kecil A dipindahkan melalui fungsi Transfer From. Ini berarti alamat pihak ketiga yang melakukan transfer Token, bukan kebocoran kunci pribadi dompet.
Detail transaksi menunjukkan:
Alamat dengan akhiran fd51 telah memindahkan aset kecil A ke alamat dengan akhiran a0c8
Operasi berinteraksi dengan kontrak Permit2 dari Uniswap
Masalah kuncinya adalah: bagaimana alamat dengan nomor akhir fd51 mendapatkan hak atas aset? Mengapa hal ini terkait dengan Uniswap?
Investigasi lebih lanjut menemukan bahwa sebelum memindahkan aset kecil A, alamat tersebut juga melakukan operasi Permit, dan objek interaksinya adalah kontrak Permit2 dari Uniswap.
Uniswap Permit2 adalah kontrak baru yang diluncurkan pada akhir 2022, yang memungkinkan token untuk memberikan izin berbagi dan mengelola di antara aplikasi yang berbeda, bertujuan untuk menciptakan pengalaman pengguna yang lebih seragam, efisien, dan aman. Dengan lebih banyak proyek yang terintegrasi, Permit2 diharapkan dapat mewujudkan standarisasi persetujuan Token lintas aplikasi, mengurangi biaya transaksi dan meningkatkan keamanan.
Permit2 berfungsi sebagai perantara antara pengguna dan Dapp, pengguna hanya perlu memberikan otorisasi kepada kontrak Permit2, semua Dapp yang terintegrasi dapat berbagi kuota otorisasi. Ini mengurangi biaya interaksi pengguna dan meningkatkan pengalaman. Namun, ini juga merupakan pedang bermata dua, masalah terletak pada cara interaksi dengan Permit2.
Dalam cara interaksi tradisional, otorisasi dan transfer dana adalah operasi di atas rantai. Permit2 mengubah operasi pengguna menjadi tanda tangan di luar rantai, sementara operasi di atas rantai dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk membayar Gas dengan Token lain atau diganti oleh peran perantara, bahkan jika dompet pengguna tidak memiliki ETH.
Namun, tanda tangan off-chain adalah bagian yang paling mudah diabaikan oleh pengguna. Kebanyakan orang tidak akan memeriksa dengan cermat konten tanda tangan, dan juga tidak memahami maknanya, dan inilah yang paling berbahaya.
Untuk memanfaatkan celah ini, prasyarat kuncinya adalah dompet perlu memberikan otorisasi kepada kontrak Permit2 Uniswap. Saat ini, setiap kali menggunakan Dapp yang mengintegrasikan Permit2 atau melakukan Swap di Uniswap, otorisasi ini diperlukan. Yang lebih mengkhawatirkan adalah, terlepas dari berapa pun jumlah Swap, kontrak Permit2 secara default meminta otorisasi untuk seluruh saldo. Meskipun MetaMask memungkinkan pengaturan jumlah yang disesuaikan, kebanyakan orang akan langsung memilih nilai maksimum atau default, dan nilai default Permit2 adalah batas tak terbatas.
Ini berarti, selama Anda berinteraksi dengan Uniswap dan memberikan otorisasi kepada kontrak Permit2 setelah tahun 2023, Anda mungkin terpapar risiko phishing ini. Hacker memanfaatkan fungsi Permit, yang memungkinkan mereka mentransfer kuota Token yang Anda otorisasi kepada Permit2 ke alamat lain melalui tanda tangan Anda.
bagaimana cara mencegahnya?
Memahami dan mengenali konten tanda tangan: Pelajari cara mengenali format tanda tangan Permit, yang mencakup informasi kunci seperti Owner, Spender, value, nonce, dan deadline. Menggunakan plugin yang aman adalah pilihan yang baik.
Memisahkan dompet aset dan dompet interaksi: Menyimpan sejumlah besar aset di dompet dingin, sementara dompet interaksi hanya menyimpan sejumlah kecil dana, dapat secara signifikan mengurangi kerugian.
Pembatasan kuota otorisasi atau pembatalan otorisasi: Saat Swap di Uniswap, hanya otorisasi jumlah yang diperlukan. Meskipun harus mengotorisasi ulang setiap kali akan meningkatkan biaya, ini dapat menghindari risiko phishing tanda tangan Permit2. Otorisasi yang telah diberikan dapat dibatalkan menggunakan plugin keamanan.
Memahami apakah token mendukung fungsi permit: Perhatikan apakah token yang dimiliki mendukung fungsi ini, jika mendukung, perlu sangat berhati-hati dan memeriksa setiap tanda tangan yang tidak dikenal dengan cermat.
Menyusun rencana darurat: Jika Anda terkena penipuan tetapi masih memiliki token di platform lain, perlu berhati-hati saat menarik dan memindahkannya. Hacker mungkin memantau alamat Anda setiap saat, dan begitu token muncul, mereka akan memindahkannya. Disarankan untuk mencari bantuan dari tim keamanan profesional dan menggunakan teknik seperti pemindahan MEV.
Di masa depan, phishing yang berbasis Permit2 mungkin akan semakin meningkat. Metode phishing yang menggunakan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah, seiring dengan meluasnya penggunaan Permit2, alamat yang terpapar pada risiko juga akan meningkat. Kami berharap pembaca dapat menyebarkan informasi ini kepada lebih banyak orang, untuk bersama-sama meningkatkan kesadaran akan keamanan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
20 Suka
Hadiah
20
7
Bagikan
Komentar
0/400
ruggedNotShrugged
· 07-20 12:50
Ah, ini lagi, para suckers di uni yang menderita.
Lihat AsliBalas0
RektButStillHere
· 07-20 12:30
Dompet sebelah lagi hilang, musuh terbesar Blockchain.
Lihat AsliBalas0
MEVVictimAlliance
· 07-18 15:04
Sudah terjebak lagi dalam lubang ini, dan masih menandatangani tanpa berpikir, sialan!
Lihat AsliBalas0
ChainDoctor
· 07-18 14:54
Sungguh menakutkan, untungnya saya Perdagangan Mata Uang Kripto relatif stabil.
Lihat AsliBalas0
rekt_but_resilient
· 07-18 14:48
Rugi masih terus bermain
Lihat AsliBalas0
BoredRiceBall
· 07-18 14:38
Lihat langsung buka pelumas, siapa yang berani bermain uni
Lihat AsliBalas0
RektRecorder
· 07-18 14:36
Di zaman sekarang bahkan tanda tangan juga tidak aman? Rug Pull Rug Pull~
Penipuan phishing tanda tangan Uniswap Permit2: sangat tersembunyi, ancaman besar
Mengungkap Penipuan Tanda Tangan Permit2 Uniswap
Hacker adalah keberadaan yang menakutkan di ekosistem Web3. Bagi pihak proyek, kode sumber terbuka berarti bahwa hacker di seluruh dunia mungkin sedang mengawasi, sedikit kelalaian bisa menyebabkan bencana besar. Bagi pengguna individu, setiap interaksi atau tanda tangan di blockchain dapat memiliki risiko, dan satu kesalahan kecil dapat menyebabkan pencurian aset. Oleh karena itu, masalah keamanan selalu menjadi salah satu titik nyeri di dunia kripto. Karena karakteristik blockchain, aset yang dicuri hampir tidak dapat dipulihkan, sehingga memiliki pengetahuan tentang keamanan sangat penting.
Baru-baru ini, metode phishing baru mulai aktif, yang hanya memerlukan tanda tangan untuk mungkin dicuri, dan tekniknya sangat tersembunyi serta sulit untuk dicegah. Alamat yang pernah digunakan di Uniswap mungkin terpapar pada risiko. Artikel ini akan menjelaskan metode phishing tanda tangan ini untuk menghindari lebih banyak kerugian aset.
Kronologi kejadian
Baru-baru ini, seorang teman ( Xiao A ) kehilangan aset dompetnya. Berbeda dengan cara pencurian yang umum, Xiao A tidak membocorkan kunci privatnya dan juga tidak berinteraksi dengan kontrak situs phishing.
Browser blockchain menunjukkan bahwa USDT kecil A dipindahkan melalui fungsi Transfer From. Ini berarti alamat pihak ketiga yang melakukan transfer Token, bukan kebocoran kunci pribadi dompet.
Detail transaksi menunjukkan:
Masalah kuncinya adalah: bagaimana alamat dengan nomor akhir fd51 mendapatkan hak atas aset? Mengapa hal ini terkait dengan Uniswap?
Investigasi lebih lanjut menemukan bahwa sebelum memindahkan aset kecil A, alamat tersebut juga melakukan operasi Permit, dan objek interaksinya adalah kontrak Permit2 dari Uniswap.
Uniswap Permit2 adalah kontrak baru yang diluncurkan pada akhir 2022, yang memungkinkan token untuk memberikan izin berbagi dan mengelola di antara aplikasi yang berbeda, bertujuan untuk menciptakan pengalaman pengguna yang lebih seragam, efisien, dan aman. Dengan lebih banyak proyek yang terintegrasi, Permit2 diharapkan dapat mewujudkan standarisasi persetujuan Token lintas aplikasi, mengurangi biaya transaksi dan meningkatkan keamanan.
Permit2 berfungsi sebagai perantara antara pengguna dan Dapp, pengguna hanya perlu memberikan otorisasi kepada kontrak Permit2, semua Dapp yang terintegrasi dapat berbagi kuota otorisasi. Ini mengurangi biaya interaksi pengguna dan meningkatkan pengalaman. Namun, ini juga merupakan pedang bermata dua, masalah terletak pada cara interaksi dengan Permit2.
Dalam cara interaksi tradisional, otorisasi dan transfer dana adalah operasi di atas rantai. Permit2 mengubah operasi pengguna menjadi tanda tangan di luar rantai, sementara operasi di atas rantai dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk membayar Gas dengan Token lain atau diganti oleh peran perantara, bahkan jika dompet pengguna tidak memiliki ETH.
Namun, tanda tangan off-chain adalah bagian yang paling mudah diabaikan oleh pengguna. Kebanyakan orang tidak akan memeriksa dengan cermat konten tanda tangan, dan juga tidak memahami maknanya, dan inilah yang paling berbahaya.
Untuk memanfaatkan celah ini, prasyarat kuncinya adalah dompet perlu memberikan otorisasi kepada kontrak Permit2 Uniswap. Saat ini, setiap kali menggunakan Dapp yang mengintegrasikan Permit2 atau melakukan Swap di Uniswap, otorisasi ini diperlukan. Yang lebih mengkhawatirkan adalah, terlepas dari berapa pun jumlah Swap, kontrak Permit2 secara default meminta otorisasi untuk seluruh saldo. Meskipun MetaMask memungkinkan pengaturan jumlah yang disesuaikan, kebanyakan orang akan langsung memilih nilai maksimum atau default, dan nilai default Permit2 adalah batas tak terbatas.
Ini berarti, selama Anda berinteraksi dengan Uniswap dan memberikan otorisasi kepada kontrak Permit2 setelah tahun 2023, Anda mungkin terpapar risiko phishing ini. Hacker memanfaatkan fungsi Permit, yang memungkinkan mereka mentransfer kuota Token yang Anda otorisasi kepada Permit2 ke alamat lain melalui tanda tangan Anda.
bagaimana cara mencegahnya?
Memahami dan mengenali konten tanda tangan: Pelajari cara mengenali format tanda tangan Permit, yang mencakup informasi kunci seperti Owner, Spender, value, nonce, dan deadline. Menggunakan plugin yang aman adalah pilihan yang baik.
Memisahkan dompet aset dan dompet interaksi: Menyimpan sejumlah besar aset di dompet dingin, sementara dompet interaksi hanya menyimpan sejumlah kecil dana, dapat secara signifikan mengurangi kerugian.
Pembatasan kuota otorisasi atau pembatalan otorisasi: Saat Swap di Uniswap, hanya otorisasi jumlah yang diperlukan. Meskipun harus mengotorisasi ulang setiap kali akan meningkatkan biaya, ini dapat menghindari risiko phishing tanda tangan Permit2. Otorisasi yang telah diberikan dapat dibatalkan menggunakan plugin keamanan.
Memahami apakah token mendukung fungsi permit: Perhatikan apakah token yang dimiliki mendukung fungsi ini, jika mendukung, perlu sangat berhati-hati dan memeriksa setiap tanda tangan yang tidak dikenal dengan cermat.
Menyusun rencana darurat: Jika Anda terkena penipuan tetapi masih memiliki token di platform lain, perlu berhati-hati saat menarik dan memindahkannya. Hacker mungkin memantau alamat Anda setiap saat, dan begitu token muncul, mereka akan memindahkannya. Disarankan untuk mencari bantuan dari tim keamanan profesional dan menggunakan teknik seperti pemindahan MEV.
Di masa depan, phishing yang berbasis Permit2 mungkin akan semakin meningkat. Metode phishing yang menggunakan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah, seiring dengan meluasnya penggunaan Permit2, alamat yang terpapar pada risiko juga akan meningkat. Kami berharap pembaca dapat menyebarkan informasi ini kepada lebih banyak orang, untuk bersama-sama meningkatkan kesadaran akan keamanan.