# Uniswap Permit2 Signature フィッシング詐欺の謎を解くハッカーはWeb3エコシステムにおいて恐ろしい存在です。プロジェクト側にとって、オープンソースコードは世界中のハッカーが監視している可能性を意味し、少しの不注意が大惨事を引き起こす可能性があります。個人ユーザーにとっては、毎回のチェーン上のインタラクションや署名にリスクが伴い、うっかりすると資産が盗まれる可能性があります。したがって、安全性の問題は暗号世界の痛点の一つです。ブロックチェーンの特性により、盗まれた資産はほぼ回収不可能であるため、安全知識を持つことが特に重要です。最近、新しいフィッシング手法が活発になっています。署名をするだけで盗まれる可能性があり、手法は非常に巧妙で防ぐのが難しいです。Uniswapを使用したアドレスはすべてリスクにさらされる可能性があります。本記事では、この署名フィッシング手法について解説し、さらなる資産の損失を避けるための情報を提供します。###イベント最近、友人(小A)のウォレット資産が盗まれました。一般的な盗難手法とは異なり、小Aはプライベートキーを漏らしておらず、フィッシングサイトの契約ともやり取りしていませんでした。ブロックチェーンブラウザは、小AのUSDTがTransfer From関数を通じて移動されたことを示しています。これは、トークンがウォレットの秘密鍵の漏洩ではなく、第三者のアドレスによって移動されたことを意味します。取引の詳細が表示されます:- 尾号fd51のアドレスが小A資産を尾号a0c8のアドレスに転送します- 操作はUniswapのPermit2コントラクトと対話します重要な問題は: 尾号fd51のアドレスはどのように資産権限を取得しますか? なぜUniswapに関係していますか?さらに調査したところ、Aさんの資産を移転する前に、そのアドレスはPermit操作を行っており、インタラクション対象はすべてUniswapのPermit2コントラクトでした。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0cc586809f131d9dfab81df33fd1835e)Uniswap Permit2は2022年末に導入された新しい契約で、トークンの許可を異なるアプリケーション間で共有および管理できるようにし、より統一された、高効率で、安全なユーザー体験を生み出すことを目的としています。より多くのプロジェクトが統合されることで、Permit2はアプリケーション間の標準化されたトークン承認を実現し、取引コストを削減し、安全性を向上させることが期待されています。Permit2はユーザーとDappの間の仲介者として機能し、ユーザーはPermit2コントラクトにのみ権限を付与すれば、すべての統合Dappがその権限を共有できます。これによりユーザーのインタラクションコストが削減され、体験が向上します。しかし、これは両刃の剣でもあり、問題はPermit2とのインタラクション方法にあります。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-bb348691082594ecc577f91d7f9dc800)従来のインタラクション方法では、承認と資金移転はすべてチェーン上の操作です。Permit2はユーザーの操作をオフチェーン署名に変え、チェーン上の操作は中間の役割によって行われます。これにより、ユーザーのウォレットにETHがなくても、他のトークンを使用してガス代を支払ったり、中間の役割によって還付を受けたりすることができるようになります。しかし、オフチェーン署名はユーザーが最も見落としがちな部分です。ほとんどの人は署名内容を注意深く確認せず、その意味を理解していないため、これが最も危険な点です。この脆弱性を利用するための重要な前提は、ウォレットがUniswapのPermit2コントラクトに対して許可を与える必要があるということです。現在、Permit2を統合したDappやUniswapでスワップを行う場合、すべてこの許可が必要です。さらに恐ろしいことに、スワップ金額にかかわらず、Permit2コントラクトはデフォルトで全残高の許可を要求します。MetaMaskはカスタマイズ可能な金額を許可していますが、ほとんどの人は最大またはデフォルトの値を直接選択しますが、Permit2のデフォルト値は無制限です。これは、あなたが2023年以降にUniswapと相互作用しPermit2契約に承認を与える限り、このフィッシングリスクにさらされる可能性があることを意味します。ハッカーはPermit関数を利用して、あなたの署名を通じてPermit2に対するトークンの許可額を他のアドレスに移転させます。### どうやって防ぐのか?1. サイン内容を理解し認識する: Permitサインフォーマットを識別することを学び、Owner、Spender、value、nonce、deadlineなどの重要な情報を含めます。安全なプラグインを使用するのは良い選択です。2. 資産ウォレットとインタラクティブウォレットの分離: 大量の資産をコールドウォレットに保管し、インタラクティブウォレットには少量の資金のみを保持することで、損失を大幅に減少させることができます。3. 認可額度の制限または認可のキャンセル: Uniswapでスワップする際には、必要な金額のみを認可します。毎回再認可する必要があるためコストが増加しますが、Permit2署名のフィッシングリスクを回避できます。認可済みのものは、安全プラグインを使用してキャンセルできます。4. トークンがpermit機能をサポートしているかどうかを確認する: 保有しているトークンがこの機能をサポートしているかどうかに注意し、サポートしている場合は特に慎重になり、未知の署名を一つ一つ注意深くチェックする必要があります。5. 緊急計画を策定する: 詐欺に遭った場合でも、他のプラットフォームにトークンが残っている場合は、慎重に引き出しと移動を行う必要があります。ハッカーはあなたのアドレスを常に監視している可能性があり、一旦トークンが現れるとすぐに移動します。専門のセキュリティチームに協力を求め、MEV移転などの技術手段を使用することをお勧めします。未来Permit2に基づくフィッシングが増加する可能性があります。この署名フィッシング手法は非常に巧妙で防ぎにくく、Permit2の適用範囲が広がるにつれて、さらなるリスクにさらされるアドレスも増加します。読者がこれらの情報をより多くの人々に広め、安全意識を共同で高めていくことを願っています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-30520c8399a6ee69aa22424476c5870c)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-730db044a34a8dc242f04cf8ae4d394c)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-610abe28375ce9ad0e08e0ff1f483c1d)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-7e307b251a6cd5f615f05f3fe5f88165)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-beaf0776306ee492b8c2fe3bbc281fd6)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-b4e0fd1284baf2f4ca7e18c82d07100c)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-c2d0bc61729aaca413737ac667eaf7d5)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-f72c38a16e315ce33b8cc5567854f5c6)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-4fdf03afb062f8f5d531cca3cd6330cc)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-dc94f3781aa7b30ba08a99ee827ca2e3)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-47d14fc32e8b79f43a5a64146a1b355a)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-1ce5ef8966b9fc2d1101ba341faad70d)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-3c5d855a6c3bc51a57a4a17fe28b2657)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-c1e00cf62c806e99c4188dfa650090ce)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-b80025f211f7c0ef6371b6bd1a309ebc)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-1b868982a90873ccc2af4ad8c5e4f1ff)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-3213312ac0a792dabb27109da5084835)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-fad2e7cbe2aaf3d695362fca4640ff4f)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0030f2fe9e740084b05db9e08c389be7)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-9e636d675ee5c6c6e57ed6022fce956a)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-8961f519f6452dbcd4876e0135b0cb64)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-1a57d7d1db3a8e31c46432f068871722)
Uniswap Permit2 シグネチャー フィッシング詐欺: 高いステルス性と大きな脅威
Uniswap Permit2 Signature フィッシング詐欺の謎を解く
ハッカーはWeb3エコシステムにおいて恐ろしい存在です。プロジェクト側にとって、オープンソースコードは世界中のハッカーが監視している可能性を意味し、少しの不注意が大惨事を引き起こす可能性があります。個人ユーザーにとっては、毎回のチェーン上のインタラクションや署名にリスクが伴い、うっかりすると資産が盗まれる可能性があります。したがって、安全性の問題は暗号世界の痛点の一つです。ブロックチェーンの特性により、盗まれた資産はほぼ回収不可能であるため、安全知識を持つことが特に重要です。
最近、新しいフィッシング手法が活発になっています。署名をするだけで盗まれる可能性があり、手法は非常に巧妙で防ぐのが難しいです。Uniswapを使用したアドレスはすべてリスクにさらされる可能性があります。本記事では、この署名フィッシング手法について解説し、さらなる資産の損失を避けるための情報を提供します。
###イベント
最近、友人(小A)のウォレット資産が盗まれました。一般的な盗難手法とは異なり、小Aはプライベートキーを漏らしておらず、フィッシングサイトの契約ともやり取りしていませんでした。
ブロックチェーンブラウザは、小AのUSDTがTransfer From関数を通じて移動されたことを示しています。これは、トークンがウォレットの秘密鍵の漏洩ではなく、第三者のアドレスによって移動されたことを意味します。
取引の詳細が表示されます:
重要な問題は: 尾号fd51のアドレスはどのように資産権限を取得しますか? なぜUniswapに関係していますか?
さらに調査したところ、Aさんの資産を移転する前に、そのアドレスはPermit操作を行っており、インタラクション対象はすべてUniswapのPermit2コントラクトでした。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Uniswap Permit2は2022年末に導入された新しい契約で、トークンの許可を異なるアプリケーション間で共有および管理できるようにし、より統一された、高効率で、安全なユーザー体験を生み出すことを目的としています。より多くのプロジェクトが統合されることで、Permit2はアプリケーション間の標準化されたトークン承認を実現し、取引コストを削減し、安全性を向上させることが期待されています。
Permit2はユーザーとDappの間の仲介者として機能し、ユーザーはPermit2コントラクトにのみ権限を付与すれば、すべての統合Dappがその権限を共有できます。これによりユーザーのインタラクションコストが削減され、体験が向上します。しかし、これは両刃の剣でもあり、問題はPermit2とのインタラクション方法にあります。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
従来のインタラクション方法では、承認と資金移転はすべてチェーン上の操作です。Permit2はユーザーの操作をオフチェーン署名に変え、チェーン上の操作は中間の役割によって行われます。これにより、ユーザーのウォレットにETHがなくても、他のトークンを使用してガス代を支払ったり、中間の役割によって還付を受けたりすることができるようになります。
しかし、オフチェーン署名はユーザーが最も見落としがちな部分です。ほとんどの人は署名内容を注意深く確認せず、その意味を理解していないため、これが最も危険な点です。
この脆弱性を利用するための重要な前提は、ウォレットがUniswapのPermit2コントラクトに対して許可を与える必要があるということです。現在、Permit2を統合したDappやUniswapでスワップを行う場合、すべてこの許可が必要です。さらに恐ろしいことに、スワップ金額にかかわらず、Permit2コントラクトはデフォルトで全残高の許可を要求します。MetaMaskはカスタマイズ可能な金額を許可していますが、ほとんどの人は最大またはデフォルトの値を直接選択しますが、Permit2のデフォルト値は無制限です。
これは、あなたが2023年以降にUniswapと相互作用しPermit2契約に承認を与える限り、このフィッシングリスクにさらされる可能性があることを意味します。ハッカーはPermit関数を利用して、あなたの署名を通じてPermit2に対するトークンの許可額を他のアドレスに移転させます。
どうやって防ぐのか?
サイン内容を理解し認識する: Permitサインフォーマットを識別することを学び、Owner、Spender、value、nonce、deadlineなどの重要な情報を含めます。安全なプラグインを使用するのは良い選択です。
資産ウォレットとインタラクティブウォレットの分離: 大量の資産をコールドウォレットに保管し、インタラクティブウォレットには少量の資金のみを保持することで、損失を大幅に減少させることができます。
認可額度の制限または認可のキャンセル: Uniswapでスワップする際には、必要な金額のみを認可します。毎回再認可する必要があるためコストが増加しますが、Permit2署名のフィッシングリスクを回避できます。認可済みのものは、安全プラグインを使用してキャンセルできます。
トークンがpermit機能をサポートしているかどうかを確認する: 保有しているトークンがこの機能をサポートしているかどうかに注意し、サポートしている場合は特に慎重になり、未知の署名を一つ一つ注意深くチェックする必要があります。
緊急計画を策定する: 詐欺に遭った場合でも、他のプラットフォームにトークンが残っている場合は、慎重に引き出しと移動を行う必要があります。ハッカーはあなたのアドレスを常に監視している可能性があり、一旦トークンが現れるとすぐに移動します。専門のセキュリティチームに協力を求め、MEV移転などの技術手段を使用することをお勧めします。
未来Permit2に基づくフィッシングが増加する可能性があります。この署名フィッシング手法は非常に巧妙で防ぎにくく、Permit2の適用範囲が広がるにつれて、さらなるリスクにさらされるアドレスも増加します。読者がこれらの情報をより多くの人々に広め、安全意識を共同で高めていくことを願っています。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く