Подпись украдена? Раскрытие схемы фишинга с использованием подписи Uniswap Permit2
Хакеры являются устрашающим элементом в экосистеме Web3. Для команд проектов открытый код означает, что любая ошибка может быть использована, и последствия инцидентов с безопасностью могут быть серьезными. Для индивидуальных пользователей незнание значений операций может привести к краже активов. Необратимость блокчейна делает возвращение украденных активов затруднительным, поэтому знания в области безопасности особенно важны.
В последнее время активизировался новый вид фишинга, при котором достаточно подписать, чтобы быть украденным, а метод скрыт и его сложно предотвратить. Адреса, которые когда-либо взаимодействовали с каким-либо DEX, могут подвержены риску. В этой статье будет разъяснен этот метод фишинга с использованием подписей, чтобы избежать дальнейших потерь активов.
Событие началось с того, что активы друга ( маленького A) были украдены. В отличие от распространенных способов кражи, маленький A не раскрыл свой приватный ключ и не взаимодействовал с фишинговым контрактом. В ходе расследования было обнаружено, что USDT маленького A был переведен с помощью функции Transfer From, что означает, что другой адрес осуществил перевод токена.
Ключевая подсказка:
Один адрес переводит активы Маленького А на другой адрес
Взаимодействие с контрактом Permit2 на определенном DEX
Сомнения касаются того, как этот адрес получил права на активы и почему он связан с некоторой DEX.
Дальнейшее расследование показало, что перед переводом активов этот адрес выполнил операцию Permit, а объектами взаимодействия были контракты Permit2 этого DEX. Permit2 — это новый контракт, запущенный этим DEX в конце 2022 года, предназначенный для управления совместным использованием авторизаций токенов между приложениями.
Цель Permit2 — упрощение взаимодействия пользователей и снижение затрат на газ. В традиционном подходе пользователи должны предоставлять отдельные разрешения для каждого Dapp, тогда как Permit2 позволяет избежать этого шага. Он выступает в роли посредника между пользователем и Dapp, и пользователю нужно лишь предоставить разрешение Permit2, чтобы все интегрированные Dapp могли делиться этим разрешением.
Этот способ, хотя и улучшает пользовательский опыт, также приносит риски. Permit2 превращает действия пользователя в подпись вне цепи, все действия в цепи выполняются промежуточными ролями. Это позволяет пользователям, даже не имеющим ETH, использовать другие токены для оплаты газа или передавать эту ответственность промежуточным ролям.
Однако, подпись вне цепи — это самый игнорируемый этап. Многие пользователи не проверяют содержимое подписи при подключении к Dapp, что является самой опасной частью.
Ключевым моментом инцидента с малым A является функция Permit. Эта функция позволяет пользователям заранее подписывать "контракт", уполномочивая других использовать свои токены в будущем. Как только злоумышленник получает подпись пользователя, он может перенести лимит токенов, выданный пользователем для Permit2.
Стоит отметить, что некоторые DEX по умолчанию запрашивают неограниченные полномочия Permit2. Это означает, что пользователи, взаимодействующие с этим DEX и предоставляющие разрешение Permit2 после 2023 года, могут столкнуться с риском.
Рекомендации по предотвращению:
Научитесь распознавать формат подписи Permit
Разделение хранения активов и интерактивного кошелька
Ограничьте сумму, разрешенную для Permit2, или своевременно отмените разрешение.
Узнайте, поддерживает ли ваш токен функцию permit
Разработка完善ного плана спасения активов
С расширением применения Permit2 могут возрасти связанные с ним методы фишинга. Этот способ фишинга с использованием подписи крайне коварен и труден для предотвращения, и количество адресов, подвергающихся риску, будет расти. Надеюсь, что читатели смогут распространить эту информацию среди большего числа людей, чтобы избежать больших потерь активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
20 Лайков
Награда
20
1
Поделиться
комментарий
0/400
MetaverseLandlord
· 07-23 17:12
Переводи деньги, переводи деньги, это действительно жизнь и смерть.
Новая угроза фишинга с использованием подписей: Риски авторизации Permit2 и руководство по предотвращению
Подпись украдена? Раскрытие схемы фишинга с использованием подписи Uniswap Permit2
Хакеры являются устрашающим элементом в экосистеме Web3. Для команд проектов открытый код означает, что любая ошибка может быть использована, и последствия инцидентов с безопасностью могут быть серьезными. Для индивидуальных пользователей незнание значений операций может привести к краже активов. Необратимость блокчейна делает возвращение украденных активов затруднительным, поэтому знания в области безопасности особенно важны.
В последнее время активизировался новый вид фишинга, при котором достаточно подписать, чтобы быть украденным, а метод скрыт и его сложно предотвратить. Адреса, которые когда-либо взаимодействовали с каким-либо DEX, могут подвержены риску. В этой статье будет разъяснен этот метод фишинга с использованием подписей, чтобы избежать дальнейших потерь активов.
Событие началось с того, что активы друга ( маленького A) были украдены. В отличие от распространенных способов кражи, маленький A не раскрыл свой приватный ключ и не взаимодействовал с фишинговым контрактом. В ходе расследования было обнаружено, что USDT маленького A был переведен с помощью функции Transfer From, что означает, что другой адрес осуществил перевод токена.
Ключевая подсказка:
Сомнения касаются того, как этот адрес получил права на активы и почему он связан с некоторой DEX.
Дальнейшее расследование показало, что перед переводом активов этот адрес выполнил операцию Permit, а объектами взаимодействия были контракты Permit2 этого DEX. Permit2 — это новый контракт, запущенный этим DEX в конце 2022 года, предназначенный для управления совместным использованием авторизаций токенов между приложениями.
Цель Permit2 — упрощение взаимодействия пользователей и снижение затрат на газ. В традиционном подходе пользователи должны предоставлять отдельные разрешения для каждого Dapp, тогда как Permit2 позволяет избежать этого шага. Он выступает в роли посредника между пользователем и Dapp, и пользователю нужно лишь предоставить разрешение Permit2, чтобы все интегрированные Dapp могли делиться этим разрешением.
Этот способ, хотя и улучшает пользовательский опыт, также приносит риски. Permit2 превращает действия пользователя в подпись вне цепи, все действия в цепи выполняются промежуточными ролями. Это позволяет пользователям, даже не имеющим ETH, использовать другие токены для оплаты газа или передавать эту ответственность промежуточным ролям.
Однако, подпись вне цепи — это самый игнорируемый этап. Многие пользователи не проверяют содержимое подписи при подключении к Dapp, что является самой опасной частью.
Ключевым моментом инцидента с малым A является функция Permit. Эта функция позволяет пользователям заранее подписывать "контракт", уполномочивая других использовать свои токены в будущем. Как только злоумышленник получает подпись пользователя, он может перенести лимит токенов, выданный пользователем для Permit2.
Стоит отметить, что некоторые DEX по умолчанию запрашивают неограниченные полномочия Permit2. Это означает, что пользователи, взаимодействующие с этим DEX и предоставляющие разрешение Permit2 после 2023 года, могут столкнуться с риском.
Рекомендации по предотвращению:
С расширением применения Permit2 могут возрасти связанные с ним методы фишинга. Этот способ фишинга с использованием подписи крайне коварен и труден для предотвращения, и количество адресов, подвергающихся риску, будет расти. Надеюсь, что читатели смогут распространить эту информацию среди большего числа людей, чтобы избежать больших потерь активов.