Korsanlar, Web3 ekosisteminde korkutucu bir varlık olarak karşımıza çıkıyor. Proje sahipleri için, açık kaynak kodu, dünya genelindeki korsanların inceleyebileceği anlamına geliyor; en küçük bir ihmal bile büyük felaketlere yol açabilir. Bireysel kullanıcılar için ise, her zincir üzerindeki etkileşim veya imza risk içerebilir, dikkatsiz davranıldığında varlıkların çalınmasıyla sonuçlanabilir. Bu nedenle, güvenlik sorunları kripto dünyasının en büyük sorunlarından biri olmuştur. Blok zincirinin özellikleri nedeniyle, çalınan varlıkların geri alınması neredeyse imkansızdır, bu yüzden güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda, yeni bir oltalama yöntemi aktif hale geldi, sadece imza atarak çalınma riskiyle karşı karşıya kalabilirsiniz, yöntem son derece gizli ve önlenmesi zor. Uniswap kullanmış olan adresler risk altında olabilir. Bu makalede, bu imza oltalama yöntemini açıklayacağız, böylece daha fazla varlık kaybını önleyebilirsiniz.
olayın gelişimi
Son zamanlarda, bir arkadaşım ( küçük A ) cüzdan varlıkları çalındı. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi ve phishing sitesi ile sözleşme etkileşiminde bulunmadı.
Blockchain tarayıcısı, A'nın USDT'sinin Transfer From fonksiyonu aracılığıyla transfer edildiğini gösteriyor. Bu, bir üçüncü taraf adresinin Token'ı transfer ettiği, cüzdanın özel anahtarının sızdırılmadığı anlamına geliyor.
İşlem detayları gösteriyor:
fd51 sonlu adres, küçük A varlıklarını a0c8 sonlu adrese taşıyacak.
İşlem, Uniswap'ın Permit2 sözleşmesiyle etkileşimde bulunur.
Ana sorun şu: fd51 sonlu adres nasıl varlık yetkisi alır? Neden Uniswap ile ilgili?
Daha fazla araştırma, küçük A'nın varlıklarını transfer etmeden önce, bu adresin Permit işlemleri gerçekleştirdiğini ve etkileşimde bulunduğu nesnelerin Uniswap'ın Permit2 sözleşmesi olduğunu ortaya koydu.
Uniswap Permit2, 2022'nin sonunda tanıtılan yeni bir sözleşmedir ve token'ların farklı uygulamalar arasında paylaşılmasına ve yönetilmesine izin verir. Daha birleşik, verimli ve güvenli bir kullanıcı deneyimi yaratmayı hedeflemektedir. Daha fazla projenin entegrasyonu ile birlikte, Permit2'nin uygulamalar arası standart Token onaylarını gerçekleştirmesi, işlem maliyetlerini düşürmesi ve güvenliği artırması beklenmektedir.
Permit2, kullanıcılar ile Dapp'ler arasında bir aracı olarak, kullanıcıların yalnızca Permit2 sözleşmesine yetki vermesi gerektiği anlamına gelir; tüm entegre Dapp'ler bu yetki limitini paylaşabilir. Bu, kullanıcı etkileşim maliyetlerini düşürür ve deneyimi artırır. Ancak bu, çift taraflı bir kılıçtır; sorun, Permit2 ile etkileşim şekliyle ilgilidir.
Geleneksel etkileşim yöntemlerinde, yetkilendirme ve fon transferi her ikisi de zincir üzerindeki işlemlerdir. Permit2, kullanıcı işlemlerini zincir dışı imzaya dönüştürür, zincir üzerindeki işlemler ara birimler tarafından gerçekleştirilir. Bu, kullanıcı cüzdanında ETH olmasa bile, diğer Token'ları kullanarak Gas ödemesine veya ara birimler tarafından geri ödenmesine olanak tanır.
Ancak, zincir dışı imza kullanıcıların en kolay göz ardı ettiği aşamadır. Çoğu insan imza içeriğini dikkatlice kontrol etmez ve anlamını anlamaz, bu da en tehlikeli yerdir.
Bu açığı kullanmak için ana ön koşul, cüzdanın Uniswap'ın Permit2 sözleşmesine yetki vermesidir. Şu anda sadece Permit2'yi entegre eden Dapp'lerde veya Uniswap'ta Swap yaparken bu yetki verilmesi gerekmektedir. Daha da korkutucu olanı, Swap miktarı ne olursa olsun, Permit2 sözleşmesi varsayılan olarak tüm bakiyenin yetkisini talep etmektedir. MetaMask belirli bir miktarın özelleştirilmesine izin verse de, çoğu kişi doğrudan maksimum veya varsayılan değeri seçecektir ve Permit2'nin varsayılan değeri sınırsız limittir.
Bu, 2023'ten sonra Uniswap ile etkileşimde bulunup Permit2 sözleşmesine yetki verdiğiniz sürece, bu oltalama riskine maruz kalabileceğiniz anlamına gelir. Hackerlar, Permit fonksiyonunu kullanarak imzanızla Permit2'ye yetki verdiğiniz Token miktarını başka bir adrese transfer eder.
nasıl önlenir?
İmza içeriğini anlama ve tanıma: Permit imza formatını tanımayı öğrenin, Owner, Spender, value, nonce ve deadline gibi anahtar bilgileri içerir. Güvenli bir eklenti kullanmak iyi bir seçimdir.
Varlık cüzdanı ve etkileşim cüzdanının ayrılması: Büyük miktarda varlığı soğuk cüzdanda saklayarak, etkileşim cüzdanında yalnızca az miktarda para bulundurmak, kayıpları büyük ölçüde azaltabilir.
Yetki miktarını sınırlama veya yetkiyi iptal etme: Uniswap üzerinde Swap yaparken, yalnızca gerekli miktarı yetkilendirin. Her seferinde yeniden yetkilendirme yapmak maliyeti artırsa da, Permit2 imza oltalama riskinden kaçınmanıza yardımcı olur. Yetkilendirilmiş olanlar güvenli eklenti kullanarak iptal edilebilir.
Tokenin permit fonksiyonunu destekleyip desteklemediğini öğrenin: Sahip olduğunuz tokenin bu fonksiyonu destekleyip desteklemediğine dikkat edin; eğer destekliyorsa, her bir bilinmeyen imzayı dikkatlice kontrol ederek ekstra dikkat gösterin.
Acil durum planı oluşturun: Eğer bir骗局 kurbanı olduysanız ancak başka platformlarda hala token'larınız varsa, dikkatlice çekim yapın ve transfer edin. Hacker'lar adresinizi her an izleyebilir, token'larınız ortaya çıktığında transfer edebilirler. Profesyonel bir güvenlik ekibinden yardım almanız ve MEV transferi gibi teknik yöntemler kullanmanız önerilir.
Gelecekte Permit2'ye dayalı oltalama saldırılarının artması muhtemeldir. Bu tür imza oltalama yöntemleri son derece gizli ve önlenmesi zor olup, Permit2'nin uygulama alanı genişledikçe, risk altında olan adreslerin sayısı da artacaktır. Okuyucuların bu bilgileri daha fazla kişiye ulaştırarak güvenlik farkındalığını artırmalarını umuyoruz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
20 Likes
Reward
20
7
Share
Comment
0/400
ruggedNotShrugged
· 07-20 12:50
Ah bu yine uni'nin enayilerinin başına geldi.
View OriginalReply0
RektButStillHere
· 07-20 12:30
Yan taraftaki Cüzdan yine gitti, Blok Zinciri'nin en büyük düşmanı.
View OriginalReply0
MEVVictimAlliance
· 07-18 15:04
Yine bu tuzağa düştüm, hâlâ boşuna imzaladım dnmd
View OriginalReply0
ChainDoctor
· 07-18 14:54
Gerçekten korkunç, ama şanslıyım ki kripto para trade'imi daha temkinli yapıyorum.
View OriginalReply0
rekt_but_resilient
· 07-18 14:48
Kayıp yaşadıktan sonra hala oynuyor.
View OriginalReply0
BoredRiceBall
· 07-18 14:38
Doğrudan açmak için baktı, kim artık uni oynamaya cesaret eder?
Uniswap Permit2 imza dolandırıcılığı: Yüksek gizlilik, büyük tehdit
Uniswap Permit2 İmza Phishing Eyewash'ını Aydınlatmak
Korsanlar, Web3 ekosisteminde korkutucu bir varlık olarak karşımıza çıkıyor. Proje sahipleri için, açık kaynak kodu, dünya genelindeki korsanların inceleyebileceği anlamına geliyor; en küçük bir ihmal bile büyük felaketlere yol açabilir. Bireysel kullanıcılar için ise, her zincir üzerindeki etkileşim veya imza risk içerebilir, dikkatsiz davranıldığında varlıkların çalınmasıyla sonuçlanabilir. Bu nedenle, güvenlik sorunları kripto dünyasının en büyük sorunlarından biri olmuştur. Blok zincirinin özellikleri nedeniyle, çalınan varlıkların geri alınması neredeyse imkansızdır, bu yüzden güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda, yeni bir oltalama yöntemi aktif hale geldi, sadece imza atarak çalınma riskiyle karşı karşıya kalabilirsiniz, yöntem son derece gizli ve önlenmesi zor. Uniswap kullanmış olan adresler risk altında olabilir. Bu makalede, bu imza oltalama yöntemini açıklayacağız, böylece daha fazla varlık kaybını önleyebilirsiniz.
olayın gelişimi
Son zamanlarda, bir arkadaşım ( küçük A ) cüzdan varlıkları çalındı. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi ve phishing sitesi ile sözleşme etkileşiminde bulunmadı.
Blockchain tarayıcısı, A'nın USDT'sinin Transfer From fonksiyonu aracılığıyla transfer edildiğini gösteriyor. Bu, bir üçüncü taraf adresinin Token'ı transfer ettiği, cüzdanın özel anahtarının sızdırılmadığı anlamına geliyor.
İşlem detayları gösteriyor:
Ana sorun şu: fd51 sonlu adres nasıl varlık yetkisi alır? Neden Uniswap ile ilgili?
Daha fazla araştırma, küçük A'nın varlıklarını transfer etmeden önce, bu adresin Permit işlemleri gerçekleştirdiğini ve etkileşimde bulunduğu nesnelerin Uniswap'ın Permit2 sözleşmesi olduğunu ortaya koydu.
Uniswap Permit2, 2022'nin sonunda tanıtılan yeni bir sözleşmedir ve token'ların farklı uygulamalar arasında paylaşılmasına ve yönetilmesine izin verir. Daha birleşik, verimli ve güvenli bir kullanıcı deneyimi yaratmayı hedeflemektedir. Daha fazla projenin entegrasyonu ile birlikte, Permit2'nin uygulamalar arası standart Token onaylarını gerçekleştirmesi, işlem maliyetlerini düşürmesi ve güvenliği artırması beklenmektedir.
Permit2, kullanıcılar ile Dapp'ler arasında bir aracı olarak, kullanıcıların yalnızca Permit2 sözleşmesine yetki vermesi gerektiği anlamına gelir; tüm entegre Dapp'ler bu yetki limitini paylaşabilir. Bu, kullanıcı etkileşim maliyetlerini düşürür ve deneyimi artırır. Ancak bu, çift taraflı bir kılıçtır; sorun, Permit2 ile etkileşim şekliyle ilgilidir.
Geleneksel etkileşim yöntemlerinde, yetkilendirme ve fon transferi her ikisi de zincir üzerindeki işlemlerdir. Permit2, kullanıcı işlemlerini zincir dışı imzaya dönüştürür, zincir üzerindeki işlemler ara birimler tarafından gerçekleştirilir. Bu, kullanıcı cüzdanında ETH olmasa bile, diğer Token'ları kullanarak Gas ödemesine veya ara birimler tarafından geri ödenmesine olanak tanır.
Ancak, zincir dışı imza kullanıcıların en kolay göz ardı ettiği aşamadır. Çoğu insan imza içeriğini dikkatlice kontrol etmez ve anlamını anlamaz, bu da en tehlikeli yerdir.
Bu açığı kullanmak için ana ön koşul, cüzdanın Uniswap'ın Permit2 sözleşmesine yetki vermesidir. Şu anda sadece Permit2'yi entegre eden Dapp'lerde veya Uniswap'ta Swap yaparken bu yetki verilmesi gerekmektedir. Daha da korkutucu olanı, Swap miktarı ne olursa olsun, Permit2 sözleşmesi varsayılan olarak tüm bakiyenin yetkisini talep etmektedir. MetaMask belirli bir miktarın özelleştirilmesine izin verse de, çoğu kişi doğrudan maksimum veya varsayılan değeri seçecektir ve Permit2'nin varsayılan değeri sınırsız limittir.
Bu, 2023'ten sonra Uniswap ile etkileşimde bulunup Permit2 sözleşmesine yetki verdiğiniz sürece, bu oltalama riskine maruz kalabileceğiniz anlamına gelir. Hackerlar, Permit fonksiyonunu kullanarak imzanızla Permit2'ye yetki verdiğiniz Token miktarını başka bir adrese transfer eder.
nasıl önlenir?
İmza içeriğini anlama ve tanıma: Permit imza formatını tanımayı öğrenin, Owner, Spender, value, nonce ve deadline gibi anahtar bilgileri içerir. Güvenli bir eklenti kullanmak iyi bir seçimdir.
Varlık cüzdanı ve etkileşim cüzdanının ayrılması: Büyük miktarda varlığı soğuk cüzdanda saklayarak, etkileşim cüzdanında yalnızca az miktarda para bulundurmak, kayıpları büyük ölçüde azaltabilir.
Yetki miktarını sınırlama veya yetkiyi iptal etme: Uniswap üzerinde Swap yaparken, yalnızca gerekli miktarı yetkilendirin. Her seferinde yeniden yetkilendirme yapmak maliyeti artırsa da, Permit2 imza oltalama riskinden kaçınmanıza yardımcı olur. Yetkilendirilmiş olanlar güvenli eklenti kullanarak iptal edilebilir.
Tokenin permit fonksiyonunu destekleyip desteklemediğini öğrenin: Sahip olduğunuz tokenin bu fonksiyonu destekleyip desteklemediğine dikkat edin; eğer destekliyorsa, her bir bilinmeyen imzayı dikkatlice kontrol ederek ekstra dikkat gösterin.
Acil durum planı oluşturun: Eğer bir骗局 kurbanı olduysanız ancak başka platformlarda hala token'larınız varsa, dikkatlice çekim yapın ve transfer edin. Hacker'lar adresinizi her an izleyebilir, token'larınız ortaya çıktığında transfer edebilirler. Profesyonel bir güvenlik ekibinden yardım almanız ve MEV transferi gibi teknik yöntemler kullanmanız önerilir.
Gelecekte Permit2'ye dayalı oltalama saldırılarının artması muhtemeldir. Bu tür imza oltalama yöntemleri son derece gizli ve önlenmesi zor olup, Permit2'nin uygulama alanı genişledikçe, risk altında olan adreslerin sayısı da artacaktır. Okuyucuların bu bilgileri daha fazla kişiye ulaştırarak güvenlik farkındalığını artırmalarını umuyoruz.