Новачок метод підпису фішингу: Безпекові ризики, спричинені контрактом Uniswap Permit2

Нещодавно почала активно використовуватися нова форма фішингу з використанням контракту Uniswap Permit2, яка має високу прихованість і небезпеку. Ця атака вимагає від жертви лише одного підпису, що може призвести до крадіжки активів, і всі адреси, які раніше взаємодіяли з Uniswap, мають ризик.

Аналіз випадків

Нещодавно один користувач ( малий А ) втратив активи у своєму гаманці, але він не розкривав приватний ключ або не взаємодіяв із підозрілим контрактом. Розслідування виявило, що викрадені USDT були переміщені через функцію Transfer From, що свідчить про те, що активи були переведені третіми особами.

Подальший аналіз деталей транзакції виявив:

• Один проміжний адрес переніс активи маленького А на інший адрес
• Ця операція взаємодіє з контрактом Permit2 від Uniswap

Ключовим є те, що ця проміжна адреса перед переведенням активів також виконала операцію Permit, а об'єкт взаємодії також є контрактом Permit2 від Uniswap.

Вступ до контракту Permit2

Uniswap Permit2 є контрактом на схвалення токенів, який дозволяє токенам надавати дозвіл на спільне використання та управління між різними додатками, що може знизити витрати на транзакції та покращити користувацький досвід. Але це також приносить нові ризики безпеки.

При використанні Permit2 дії користувача стають поза ланцюгом підписування, а операції в ланцюзі виконуються проміжною особою. Цей спосіб хоч і зручний, але також може призвести до того, що користувачі стануть менш обережними під час підписування.

Відновлення техніки риболовлі

1. Потерпілий спочатку повинен уповноважити токен для контракту Permit2 Uniswap (, зазвичай це повне уповноваження ).

2. Хакери спонукають користувачів зробити, здавалося б, безпечний підпис

3. Хакери використовують цей підпис для виклику функції permit контракту Permit2, щоб отримати право на використання токенів користувача

4. Хакер знову викликає функцію transferFrom, щоб забрати токени.

Це означає, що якщо ви взаємодіяли з Uniswap після 2023 року, ви можете зіткнутися з таким ризиком.

Рекомендації щодо запобігання

1. Навчіться розпізнавати формат підпису Permit, який містить такі поля, як Owner, Spender, value, nonce та deadline.

2. Роздільне використання активів та інтерактивних гаманців

3. При авторизації контракту Permit2 надавайте лише необхідну суму або скасуйте надмірну авторизацію.

4. Дізнайтеся, чи підтримує токен, яким ви володієте, функцію permit.

5. Якщо після крадіжки залишилися активи на інших платформах, необхідно розробити вдосконалений план вилучення.

У майбутньому риболовля на основі Permit2 може ставати все більш поширеною, цей спосіб надзвичайно прихований і важкий для запобігання, сподіваюся, всі підвищать обережність і обачно підписуватимуть.