Revelando o esquema de phishing de assinatura do Uniswap Permit2
Os hackers são uma presença temida no ecossistema Web3. Para os projetos, o código aberto significa que hackers de todo o mundo podem estar analisando-o, e qualquer descuido pode resultar em grandes desastres. Para os usuários individuais, cada interação ou assinatura na blockchain pode apresentar riscos, e um pequeno erro pode levar ao roubo de ativos. Portanto, a questão da segurança sempre foi um dos pontos críticos no mundo da criptomoeda. Devido às características da blockchain, os ativos roubados são quase impossíveis de recuperar, tornando o conhecimento em segurança especialmente importante.
Recentemente, uma nova técnica de phishing começou a ganhar destaque, onde basta uma assinatura para que possa ser roubado, sendo a técnica extremamente oculta e difícil de prevenir. Endereços que já usaram Uniswap podem estar expostos a riscos. Este artigo irá explicar essa técnica de phishing por assinatura, a fim de evitar mais perdas de ativos.
evento
Recentemente, um amigo (, o pequeno A ), teve os ativos da sua carteira roubados. Ao contrário dos métodos comuns de roubo, o pequeno A não revelou a chave privada e também não interagiu com contratos de sites de phishing.
O explorador de blockchain mostra que o USDT do Pequeno A foi transferido através da função Transfer From. Isso significa que um endereço de terceiro realizou a transferência do Token, e não que a chave privada da carteira foi comprometida.
Detalhes da transação mostram:
O endereço com o final fd51 transferiu os ativos de Xiao A para o endereço com o final a0c8
A operação interage com o contrato Permit2 da Uniswap
A questão chave é: como obter permissões de ativos para o endereço que termina em fd51? Por que está relacionado com a Uniswap?
Uma investigação mais aprofundada revelou que, antes da transferência dos ativos de A, o endereço também realizou uma operação de Permissão, com o objeto de interação sendo todos os contratos Permit2 da Uniswap.
Uniswap Permit2 é um novo contrato lançado no final de 2022, que permite a autorização de tokens para compartilhar e gerenciar entre diferentes aplicações, com o objetivo de criar uma experiência de usuário mais unificada, eficiente e segura. Com mais projetos a serem integrados, o Permit2 espera alcançar a padronização da aprovação de tokens entre aplicações, reduzindo os custos de transação e aumentando a segurança.
Permit2, como intermediário entre o usuário e o Dapp, permite que o usuário apenas autorize o contrato Permit2, e todos os Dapps integrados podem compartilhar o limite de autorização. Isso reduz o custo de interação do usuário e melhora a experiência. Mas isso também é uma espada de dois gumes, o problema reside na forma de interação com o Permit2.
Nos métodos tradicionais de interação, a autorização e a transferência de fundos são operações na cadeia. O Permit2 transforma as operações dos usuários em assinaturas fora da cadeia, enquanto as operações na cadeia são realizadas por um intermediário. Isso permite que, mesmo que a carteira do usuário não tenha ETH, seja possível usar outros tokens para pagar o Gas ou ser reembolsado pelo intermediário.
No entanto, a assinatura off-chain é a parte mais fácil de ser ignorada pelos usuários. A maioria das pessoas não verifica cuidadosamente o conteúdo da assinatura e não entende seu significado, que é precisamente o ponto mais perigoso.
Para explorar essa vulnerabilidade, a condição chave é que a carteira precisa ser autorizada ao contrato Permit2 da Uniswap. Atualmente, ao integrar com um Dapp que utiliza o Permit2 ou ao realizar uma troca na Uniswap, essa autorização é necessária. O que é ainda mais alarmante é que, independentemente do valor da troca, o contrato Permit2 solicita por padrão a autorização de todo o saldo. Embora o MetaMask permita a personalização do valor, a maioria das pessoas tende a escolher diretamente o valor máximo ou o valor padrão, sendo que o valor padrão do Permit2 é um limite ilimitado.
Isto significa que, desde que interaja com a Uniswap e autorize o contrato Permit2 após 2023, poderá estar exposto a este risco de phishing. Os hackers utilizam a função Permit para transferir o limite de Token que você autorizou ao Permit2 para outros endereços através da sua assinatura.
Como prevenir?
Compreender e identificar o conteúdo da assinatura: aprenda a reconhecer o formato da assinatura Permit, que inclui informações-chave como Owner, Spender, value, nonce e deadline. Usar plugins de segurança é uma boa escolha.
Separação entre carteira de ativos e carteira de interação: Armazenar grandes quantidades de ativos em uma carteira fria, enquanto a carteira de interação mantém apenas uma pequena quantidade de fundos, pode reduzir significativamente as perdas.
Limitar o montante de autorização ou cancelar a autorização: ao trocar no Uniswap, autorize apenas o montante necessário. Embora a necessidade de reautorizar a cada vez aumente os custos, pode evitar o risco de phishing de assinatura Permit2. O que foi autorizado pode ser cancelado usando plugins de segurança.
Compreender se o token suporta a funcionalidade permit: Preste atenção se o token que possui suporta essa funcionalidade, se suportar, deve ser especialmente cauteloso e verificar cuidadosamente cada assinatura desconhecida.
Elaborar um plano de emergência: se for vítima de um golpe mas ainda tiver tokens em outras plataformas, deve retirar e transferir com cautela. Os hackers podem monitorizar o seu endereço a qualquer momento, e assim que tokens aparecerem, eles serão transferidos. Recomenda-se procurar a assistência de uma equipa de segurança profissional e utilizar técnicas como a transferência MEV.
No futuro, os ataques de phishing baseados no Permit2 podem se tornar cada vez mais comuns. Esse método de phishing por assinatura é extremamente sorrateiro e difícil de prevenir; à medida que o uso do Permit2 se expande, também aumentará o número de endereços expostos ao risco. Esperamos que os leitores compartilhem essas informações com mais pessoas, para aumentar a conscientização sobre segurança.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
20 gostos
Recompensa
20
7
Partilhar
Comentar
0/400
ruggedNotShrugged
· 07-20 12:50
Ah, isso, mais uma vez os idiotas da uni estão sofrendo.
Ver originalResponder0
RektButStillHere
· 07-20 12:30
A Carteira ao lado desapareceu de novo, o maior inimigo do Blockchain.
Ver originalResponder0
MEVVictimAlliance
· 07-18 15:04
Já caí nesta armadilha outra vez, ainda assinei em branco, dnmd.
Ver originalResponder0
ChainDoctor
· 07-18 14:54
É realmente assustador. Ainda bem que a minha negociação de criptomoedas é relativamente estável.
Ver originalResponder0
rekt_but_resilient
· 07-18 14:48
Perdi tudo e ainda estou a jogar
Ver originalResponder0
BoredRiceBall
· 07-18 14:38
Quem se atreve a jogar uni depois de ver diretamente o Run?
Ver originalResponder0
RektRecorder
· 07-18 14:36
Esta época até as assinaturas não são seguras? Puxar o tapete, puxar o tapete~
Uniswap Permit2 assinatura phishing lavar os olhos: alta ocultação ameaça enorme
Revelando o esquema de phishing de assinatura do Uniswap Permit2
Os hackers são uma presença temida no ecossistema Web3. Para os projetos, o código aberto significa que hackers de todo o mundo podem estar analisando-o, e qualquer descuido pode resultar em grandes desastres. Para os usuários individuais, cada interação ou assinatura na blockchain pode apresentar riscos, e um pequeno erro pode levar ao roubo de ativos. Portanto, a questão da segurança sempre foi um dos pontos críticos no mundo da criptomoeda. Devido às características da blockchain, os ativos roubados são quase impossíveis de recuperar, tornando o conhecimento em segurança especialmente importante.
Recentemente, uma nova técnica de phishing começou a ganhar destaque, onde basta uma assinatura para que possa ser roubado, sendo a técnica extremamente oculta e difícil de prevenir. Endereços que já usaram Uniswap podem estar expostos a riscos. Este artigo irá explicar essa técnica de phishing por assinatura, a fim de evitar mais perdas de ativos.
evento
Recentemente, um amigo (, o pequeno A ), teve os ativos da sua carteira roubados. Ao contrário dos métodos comuns de roubo, o pequeno A não revelou a chave privada e também não interagiu com contratos de sites de phishing.
O explorador de blockchain mostra que o USDT do Pequeno A foi transferido através da função Transfer From. Isso significa que um endereço de terceiro realizou a transferência do Token, e não que a chave privada da carteira foi comprometida.
Detalhes da transação mostram:
A questão chave é: como obter permissões de ativos para o endereço que termina em fd51? Por que está relacionado com a Uniswap?
Uma investigação mais aprofundada revelou que, antes da transferência dos ativos de A, o endereço também realizou uma operação de Permissão, com o objeto de interação sendo todos os contratos Permit2 da Uniswap.
Uniswap Permit2 é um novo contrato lançado no final de 2022, que permite a autorização de tokens para compartilhar e gerenciar entre diferentes aplicações, com o objetivo de criar uma experiência de usuário mais unificada, eficiente e segura. Com mais projetos a serem integrados, o Permit2 espera alcançar a padronização da aprovação de tokens entre aplicações, reduzindo os custos de transação e aumentando a segurança.
Permit2, como intermediário entre o usuário e o Dapp, permite que o usuário apenas autorize o contrato Permit2, e todos os Dapps integrados podem compartilhar o limite de autorização. Isso reduz o custo de interação do usuário e melhora a experiência. Mas isso também é uma espada de dois gumes, o problema reside na forma de interação com o Permit2.
Nos métodos tradicionais de interação, a autorização e a transferência de fundos são operações na cadeia. O Permit2 transforma as operações dos usuários em assinaturas fora da cadeia, enquanto as operações na cadeia são realizadas por um intermediário. Isso permite que, mesmo que a carteira do usuário não tenha ETH, seja possível usar outros tokens para pagar o Gas ou ser reembolsado pelo intermediário.
No entanto, a assinatura off-chain é a parte mais fácil de ser ignorada pelos usuários. A maioria das pessoas não verifica cuidadosamente o conteúdo da assinatura e não entende seu significado, que é precisamente o ponto mais perigoso.
Para explorar essa vulnerabilidade, a condição chave é que a carteira precisa ser autorizada ao contrato Permit2 da Uniswap. Atualmente, ao integrar com um Dapp que utiliza o Permit2 ou ao realizar uma troca na Uniswap, essa autorização é necessária. O que é ainda mais alarmante é que, independentemente do valor da troca, o contrato Permit2 solicita por padrão a autorização de todo o saldo. Embora o MetaMask permita a personalização do valor, a maioria das pessoas tende a escolher diretamente o valor máximo ou o valor padrão, sendo que o valor padrão do Permit2 é um limite ilimitado.
Isto significa que, desde que interaja com a Uniswap e autorize o contrato Permit2 após 2023, poderá estar exposto a este risco de phishing. Os hackers utilizam a função Permit para transferir o limite de Token que você autorizou ao Permit2 para outros endereços através da sua assinatura.
Como prevenir?
Compreender e identificar o conteúdo da assinatura: aprenda a reconhecer o formato da assinatura Permit, que inclui informações-chave como Owner, Spender, value, nonce e deadline. Usar plugins de segurança é uma boa escolha.
Separação entre carteira de ativos e carteira de interação: Armazenar grandes quantidades de ativos em uma carteira fria, enquanto a carteira de interação mantém apenas uma pequena quantidade de fundos, pode reduzir significativamente as perdas.
Limitar o montante de autorização ou cancelar a autorização: ao trocar no Uniswap, autorize apenas o montante necessário. Embora a necessidade de reautorizar a cada vez aumente os custos, pode evitar o risco de phishing de assinatura Permit2. O que foi autorizado pode ser cancelado usando plugins de segurança.
Compreender se o token suporta a funcionalidade permit: Preste atenção se o token que possui suporta essa funcionalidade, se suportar, deve ser especialmente cauteloso e verificar cuidadosamente cada assinatura desconhecida.
Elaborar um plano de emergência: se for vítima de um golpe mas ainda tiver tokens em outras plataformas, deve retirar e transferir com cautela. Os hackers podem monitorizar o seu endereço a qualquer momento, e assim que tokens aparecerem, eles serão transferidos. Recomenda-se procurar a assistência de uma equipa de segurança profissional e utilizar técnicas como a transferência MEV.
No futuro, os ataques de phishing baseados no Permit2 podem se tornar cada vez mais comuns. Esse método de phishing por assinatura é extremamente sorrateiro e difícil de prevenir; à medida que o uso do Permit2 se expande, também aumentará o número de endereços expostos ao risco. Esperamos que os leitores compartilhem essas informações com mais pessoas, para aumentar a conscientização sobre segurança.