Tin tặc là một sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở có nghĩa là các tin tặc trên toàn cầu có thể đang xem xét, chỉ cần một chút sơ suất có thể dẫn đến thảm họa lớn. Đối với người dùng cá nhân, mỗi lần tương tác hoặc ký trên chuỗi đều có thể tiềm ẩn rủi ro, chỉ cần một chút bất cẩn có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những điểm đau của thế giới tiền điện tử. Do tính chất của blockchain, tài sản bị đánh cắp gần như không thể lấy lại, do đó việc có kiến thức về an ninh là vô cùng quan trọng.
Gần đây, một phương pháp lừa đảo mới đã bắt đầu hoạt động, chỉ cần ký tên là có thể bị đánh cắp, phương pháp này cực kỳ bí mật và khó phòng ngừa. Những địa chỉ đã từng sử dụng Uniswap có thể bị phơi bày trước rủi ro. Bài viết này sẽ phổ biến về phương pháp lừa đảo bằng chữ ký này, nhằm tránh mất mát tài sản nhiều hơn.
diễn biến sự kiện
Gần đây, một người bạn ( nhỏ A ) đã bị đánh cắp tài sản ví. Khác với những cách đánh cắp phổ biến, nhỏ A không tiết lộ khóa riêng, cũng không tương tác với hợp đồng của trang web lừa đảo.
Trình duyệt blockchain hiển thị, USDT của nhỏ A được chuyển qua hàm Transfer From. Điều này có nghĩa là địa chỉ bên thứ ba đã thực hiện việc chuyển Token, chứ không phải do rò rỉ khóa riêng của ví.
Chi tiết giao dịch hiển thị:
Địa chỉ có đuôi fd51 đã chuyển tài sản của nhỏ A đến địa chỉ có đuôi a0c8
Hoạt động tương tác với hợp đồng Permit2 của Uniswap
Câu hỏi quan trọng là: Làm thế nào để địa chỉ kết thúc bằng fd51 có được quyền sở hữu tài sản? Tại sao nó lại liên quan đến Uniswap?
Cuộc điều tra sâu hơn cho thấy, trước khi chuyển giao tài sản của A nhỏ, địa chỉ này cũng đã thực hiện thao tác Permit, đối tượng tương tác đều là hợp đồng Permit2 của Uniswap.
Uniswap Permit2 là hợp đồng mới được ra mắt vào cuối năm 2022, cho phép ủy quyền token để chia sẻ và quản lý giữa các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất, hiệu quả và an toàn hơn. Khi ngày càng nhiều dự án tích hợp, Permit2 hy vọng đạt được sự chuẩn hóa trong việc phê duyệt Token giữa các ứng dụng, giảm chi phí giao dịch và tăng cường độ an toàn.
Permit2 như một trung gian giữa người dùng và Dapp, người dùng chỉ cần cấp quyền cho hợp đồng Permit2, tất cả các Dapp tích hợp đều có thể chia sẻ hạn mức quyền. Điều này giảm chi phí tương tác của người dùng, cải thiện trải nghiệm. Nhưng đây cũng là một con dao hai lưỡi, vấn đề nằm ở cách thức tương tác với Permit2.
Trong các phương thức tương tác truyền thống, việc ủy quyền và chuyển tiền đều là các thao tác trên chuỗi. Permit2 biến các thao tác của người dùng thành chữ ký ngoại tuyến, các thao tác trên chuỗi được thực hiện bởi các vai trò trung gian. Điều này cho phép người dùng ngay cả khi ví không có ETH, vẫn có thể sử dụng các Token khác để thanh toán Gas hoặc được các vai trò trung gian hoàn trả.
Tuy nhiên, chữ ký ngoài chuỗi là bước dễ bị người dùng bỏ qua nhất. Hầu hết mọi người sẽ không kiểm tra kỹ nội dung chữ ký và cũng không hiểu ý nghĩa của nó, đây chính là chỗ nguy hiểm nhất.
Để khai thác lỗ hổng này, điều kiện quan trọng là ví cần được ủy quyền cho hợp đồng Permit2 của Uniswap. Hiện tại, chỉ cần thực hiện giao dịch hoán đổi trên Dapp tích hợp Permit2 hoặc Uniswap, đều cần phải ủy quyền như vậy. Điều đáng sợ hơn là, bất kể số tiền hoán đổi là bao nhiêu, hợp đồng Permit2 đều yêu cầu ủy quyền toàn bộ số dư mặc định. Mặc dù MetaMask cho phép tùy chỉnh số tiền, nhưng hầu hết mọi người sẽ chọn giá trị tối đa hoặc giá trị mặc định, trong khi giá trị mặc định của Permit2 là hạn mức không giới hạn.
Điều này có nghĩa là, miễn là bạn tương tác với Uniswap và ủy quyền cho hợp đồng Permit2 sau năm 2023, bạn có thể bị lộ vào rủi ro lừa đảo này. Hacker lợi dụng hàm Permit, chuyển số dư Token mà bạn đã ủy quyền cho Permit2 sang địa chỉ khác thông qua chữ ký của bạn.
Làm thế nào để phòng ngừa?
Hiểu và nhận diện nội dung chữ ký: Học cách nhận diện định dạng chữ ký Permit, bao gồm Owner, Spender, value, nonce và deadline cùng các thông tin quan trọng khác. Sử dụng plugin an toàn là một lựa chọn tốt.
Tách biệt ví tài sản và ví tương tác: Lưu trữ một lượng lớn tài sản trong ví lạnh, ví tương tác chỉ giữ một số tiền nhỏ, có thể giảm thiểu thiệt hại đáng kể.
Giới hạn hạn mức ủy quyền hoặc hủy ủy quyền: Khi Swap trên Uniswap, chỉ ủy quyền số tiền cần thiết. Mặc dù việc ủy quyền lại mỗi lần sẽ làm tăng chi phí, nhưng có thể tránh được rủi ro lừa đảo chữ ký Permit2. Những gì đã được ủy quyền có thể sử dụng plugin an toàn để hủy.
Tìm hiểu xem token có hỗ trợ chức năng permit hay không: Chú ý đến việc token bạn nắm giữ có hỗ trợ chức năng này hay không, nếu có thì cần đặc biệt cẩn thận, kiểm tra kỹ từng chữ ký không quen thuộc.
Lập kế hoạch khẩn cấp: Nếu bị lừa nhưng vẫn còn token trên các nền tảng khác, cần cẩn thận rút và chuyển giao. Hacker có thể theo dõi địa chỉ của bạn bất cứ lúc nào, ngay khi có token sẽ chuyển đi. Khuyên nên tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp, sử dụng các biện pháp kỹ thuật như chuyển giao MEV.
Trong tương lai, việc lừa đảo dựa trên Permit2 có thể ngày càng gia tăng. Cách lừa đảo bằng chữ ký này cực kỳ tinh vi và khó phòng ngừa, khi phạm vi ứng dụng của Permit2 mở rộng, số địa chỉ có nguy cơ bị lộ cũng sẽ tăng lên. Hy vọng độc giả có thể truyền bá thông tin này đến nhiều người hơn, cùng nhau nâng cao nhận thức về an toàn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
20 thích
Phần thưởng
20
7
Chia sẻ
Bình luận
0/400
ruggedNotShrugged
· 07-20 12:50
À này, lại là đồ ngốc trên uni phải chịu thiệt.
Xem bản gốcTrả lời0
RektButStillHere
· 07-20 12:30
Ví tiền bên cạnh lại không còn nữa, kẻ thù lớn nhất của Blockchain.
Xem bản gốcTrả lời0
MEVVictimAlliance
· 07-18 15:04
Lại rơi vào cái bẫy này nữa rồi, còn ký trắng nữa, thật là đáng ghét!
Xem bản gốcTrả lời0
ChainDoctor
· 07-18 14:54
Thật đáng sợ, may mà tôi giao dịch tiền điện tử khá ổn.
Xem bản gốcTrả lời0
rekt_but_resilient
· 07-18 14:48
Thua lỗ còn chơi tiếp
Xem bản gốcTrả lời0
BoredRiceBall
· 07-18 14:38
Nhìn thấy trực tiếp mở ẩm ai còn dám chơi uni
Xem bản gốcTrả lời0
RektRecorder
· 07-18 14:36
Thời buổi này ngay cả chữ ký cũng không an toàn à? Rug Pull Rug Pull~
Chiêu lừa đảo ký tên Uniswap Permit2: Độ kín đáo cao, mối đe dọa lớn
Hé lộ trò lừa bịp chữ ký Permit2 của Uniswap
Tin tặc là một sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở có nghĩa là các tin tặc trên toàn cầu có thể đang xem xét, chỉ cần một chút sơ suất có thể dẫn đến thảm họa lớn. Đối với người dùng cá nhân, mỗi lần tương tác hoặc ký trên chuỗi đều có thể tiềm ẩn rủi ro, chỉ cần một chút bất cẩn có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những điểm đau của thế giới tiền điện tử. Do tính chất của blockchain, tài sản bị đánh cắp gần như không thể lấy lại, do đó việc có kiến thức về an ninh là vô cùng quan trọng.
Gần đây, một phương pháp lừa đảo mới đã bắt đầu hoạt động, chỉ cần ký tên là có thể bị đánh cắp, phương pháp này cực kỳ bí mật và khó phòng ngừa. Những địa chỉ đã từng sử dụng Uniswap có thể bị phơi bày trước rủi ro. Bài viết này sẽ phổ biến về phương pháp lừa đảo bằng chữ ký này, nhằm tránh mất mát tài sản nhiều hơn.
diễn biến sự kiện
Gần đây, một người bạn ( nhỏ A ) đã bị đánh cắp tài sản ví. Khác với những cách đánh cắp phổ biến, nhỏ A không tiết lộ khóa riêng, cũng không tương tác với hợp đồng của trang web lừa đảo.
Trình duyệt blockchain hiển thị, USDT của nhỏ A được chuyển qua hàm Transfer From. Điều này có nghĩa là địa chỉ bên thứ ba đã thực hiện việc chuyển Token, chứ không phải do rò rỉ khóa riêng của ví.
Chi tiết giao dịch hiển thị:
Câu hỏi quan trọng là: Làm thế nào để địa chỉ kết thúc bằng fd51 có được quyền sở hữu tài sản? Tại sao nó lại liên quan đến Uniswap?
Cuộc điều tra sâu hơn cho thấy, trước khi chuyển giao tài sản của A nhỏ, địa chỉ này cũng đã thực hiện thao tác Permit, đối tượng tương tác đều là hợp đồng Permit2 của Uniswap.
Uniswap Permit2 là hợp đồng mới được ra mắt vào cuối năm 2022, cho phép ủy quyền token để chia sẻ và quản lý giữa các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất, hiệu quả và an toàn hơn. Khi ngày càng nhiều dự án tích hợp, Permit2 hy vọng đạt được sự chuẩn hóa trong việc phê duyệt Token giữa các ứng dụng, giảm chi phí giao dịch và tăng cường độ an toàn.
Permit2 như một trung gian giữa người dùng và Dapp, người dùng chỉ cần cấp quyền cho hợp đồng Permit2, tất cả các Dapp tích hợp đều có thể chia sẻ hạn mức quyền. Điều này giảm chi phí tương tác của người dùng, cải thiện trải nghiệm. Nhưng đây cũng là một con dao hai lưỡi, vấn đề nằm ở cách thức tương tác với Permit2.
Trong các phương thức tương tác truyền thống, việc ủy quyền và chuyển tiền đều là các thao tác trên chuỗi. Permit2 biến các thao tác của người dùng thành chữ ký ngoại tuyến, các thao tác trên chuỗi được thực hiện bởi các vai trò trung gian. Điều này cho phép người dùng ngay cả khi ví không có ETH, vẫn có thể sử dụng các Token khác để thanh toán Gas hoặc được các vai trò trung gian hoàn trả.
Tuy nhiên, chữ ký ngoài chuỗi là bước dễ bị người dùng bỏ qua nhất. Hầu hết mọi người sẽ không kiểm tra kỹ nội dung chữ ký và cũng không hiểu ý nghĩa của nó, đây chính là chỗ nguy hiểm nhất.
Để khai thác lỗ hổng này, điều kiện quan trọng là ví cần được ủy quyền cho hợp đồng Permit2 của Uniswap. Hiện tại, chỉ cần thực hiện giao dịch hoán đổi trên Dapp tích hợp Permit2 hoặc Uniswap, đều cần phải ủy quyền như vậy. Điều đáng sợ hơn là, bất kể số tiền hoán đổi là bao nhiêu, hợp đồng Permit2 đều yêu cầu ủy quyền toàn bộ số dư mặc định. Mặc dù MetaMask cho phép tùy chỉnh số tiền, nhưng hầu hết mọi người sẽ chọn giá trị tối đa hoặc giá trị mặc định, trong khi giá trị mặc định của Permit2 là hạn mức không giới hạn.
Điều này có nghĩa là, miễn là bạn tương tác với Uniswap và ủy quyền cho hợp đồng Permit2 sau năm 2023, bạn có thể bị lộ vào rủi ro lừa đảo này. Hacker lợi dụng hàm Permit, chuyển số dư Token mà bạn đã ủy quyền cho Permit2 sang địa chỉ khác thông qua chữ ký của bạn.
Làm thế nào để phòng ngừa?
Hiểu và nhận diện nội dung chữ ký: Học cách nhận diện định dạng chữ ký Permit, bao gồm Owner, Spender, value, nonce và deadline cùng các thông tin quan trọng khác. Sử dụng plugin an toàn là một lựa chọn tốt.
Tách biệt ví tài sản và ví tương tác: Lưu trữ một lượng lớn tài sản trong ví lạnh, ví tương tác chỉ giữ một số tiền nhỏ, có thể giảm thiểu thiệt hại đáng kể.
Giới hạn hạn mức ủy quyền hoặc hủy ủy quyền: Khi Swap trên Uniswap, chỉ ủy quyền số tiền cần thiết. Mặc dù việc ủy quyền lại mỗi lần sẽ làm tăng chi phí, nhưng có thể tránh được rủi ro lừa đảo chữ ký Permit2. Những gì đã được ủy quyền có thể sử dụng plugin an toàn để hủy.
Tìm hiểu xem token có hỗ trợ chức năng permit hay không: Chú ý đến việc token bạn nắm giữ có hỗ trợ chức năng này hay không, nếu có thì cần đặc biệt cẩn thận, kiểm tra kỹ từng chữ ký không quen thuộc.
Lập kế hoạch khẩn cấp: Nếu bị lừa nhưng vẫn còn token trên các nền tảng khác, cần cẩn thận rút và chuyển giao. Hacker có thể theo dõi địa chỉ của bạn bất cứ lúc nào, ngay khi có token sẽ chuyển đi. Khuyên nên tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp, sử dụng các biện pháp kỹ thuật như chuyển giao MEV.
Trong tương lai, việc lừa đảo dựa trên Permit2 có thể ngày càng gia tăng. Cách lừa đảo bằng chữ ký này cực kỳ tinh vi và khó phòng ngừa, khi phạm vi ứng dụng của Permit2 mở rộng, số địa chỉ có nguy cơ bị lộ cũng sẽ tăng lên. Hy vọng độc giả có thể truyền bá thông tin này đến nhiều người hơn, cùng nhau nâng cao nhận thức về an toàn.