إنذار أمان التوقيع: تحليل عميق لحدث تصيد توقيع Uniswap Permit2
في الآونة الأخيرة، أثار نوع جديد من أساليب التصيد الاحتيالي باستخدام عقد Uniswap Permit2 اهتمامًا واسعًا. هذه الطريقة في الهجوم سرية للغاية وصعبة الحماية، وقد تكون هناك مخاطر على العناوين التي استخدمت Uniswap للتفاعل. ستقوم هذه المقالة بالتعمق في تحليل هذه الأساليب الهجومية الجديدة وتقديم نصائح مناسبة للوقاية.
ملابسات الحدث
بدأت الحادثة عندما تم سرقة أصول مستخدم (ألفا الصغيرة). على عكس الطرق الشائعة للسرقة، لم تقم ألفا الصغيرة بكشف مفتاحها الخاص، ولم تتفاعل مع عقود مواقع التصيد. من خلال متصفح blockchain، يمكن رؤية أن USDT في محفظة ألفا الصغيرة قد تم نقله من خلال وظيفة Transfer From، مما يعني أن عنوان طرف ثالث هو الذي قام بنقل الرموز، وليس تسرب مفتاح المحفظة.
أظهرت التحقيقات الإضافية أن هذه العملية كانت تتفاعل مع عقد Permit2 الخاص بـ Uniswap. السؤال الرئيسي هو: كيف حصلت العناوين المنفذة على صلاحيات الأصول؟ ولماذا كانت تتضمن Uniswap؟
تحليل Uniswap Permit2
Uniswap Permit2 هو عقد ذكي جديد قدمته Uniswap في نهاية عام 2022. يهدف إلى تحقيق إدارة موحدة لتفويضات الرموز، مما يحسن تجربة المستخدم ويقلل من تكاليف المعاملات. يعمل Permit2 كوسيط بين المستخدم وDApp، مما يسمح للمستخدمين بالقيام بتفويض واحد فقط لعقد Permit2، ويمكنهم من مشاركة هذا المبلغ المفوض في جميع DApps التي تدمج Permit2.
على الرغم من أن هذه الآلية تعزز تجربة المستخدم، إلا أنها تجلب أيضًا مخاطر محتملة. في طرق التفاعل التقليدية، تحتاج الأذونات وتحويل الأموال إلى تفاعل المستخدم على السلسلة. بينما تقوم Permit2 بتحويل عمليات المستخدم إلى توقيعات خارج السلسلة، حيث يتم تنفيذ جميع العمليات على السلسلة من قبل جهة وسيطة (مثل عقد Permit2). على الرغم من أن هذه الطريقة مريحة، إلا أنها تجعل المستخدمين أكثر عرضة للاسترخاء في مرحلة التوقيع.
شرح أساليب الهجوم
المهاجمون يستغلون وظيفة Permit في عقد Permit2 لتنفيذ الهجوم. تسمح هذه الوظيفة للمستخدمين بتفويض الآخرين لاستخدام رموزهم في وقت لاحق من خلال التوقيع. خطوات الهجوم كالتالي:
قام المستخدم بالتداول سابقًا على Uniswap ومنح الإذن لعقد Permit2 (عادةً ما يكون بحدود غير محدودة).
يقوم المهاجم بإغراء المستخدم للقيام بعملية توقيع تبدو غير ضارة.
بعد أن يحصل المهاجم على التوقيع، يقوم بالتحقق من التوقيع من خلال وظيفة Permit لعقد Permit2.
بعد التحقق، يحصل المهاجم على حق استخدام رموز المستخدم.
ثم قام المهاجم بنقل أموال المستخدم عن طريق دالة Transfer From.
تدابير الوقاية
فهم وتحديد محتوى التوقيع: تعلم كيفية التعرف على تنسيق توقيع Permit، بما في ذلك Owner و Spender و value و nonce و deadline وغيرها من المعلومات الأساسية. يُوصى باستخدام ملحقات أمان للمساعدة في التعرف.
فصل الأصول والمحفظة التفاعلية: تخزين الأصول الكبيرة في محفظة باردة، واستخدام محفظة ساخنة تحتوي فقط على كمية صغيرة من الأموال للتفاعل اليومي، لتقليل الخسائر المحتملة.
تقييد حد تفويض Permit2: عند القيام بعملية التبادل على Uniswap، قم بتفويض المبلغ المطلوب فقط، لتجنب تفويض مبلغ زائد. إذا تم التفويض، يمكنك إلغاء التفويض من خلال الإضافات الأمنية.
تحديد ما إذا كانت الرموز تدعم وظيفة التصريح: التركيز على الرموز المحتفظ بها ومعرفة ما إذا كانت تدعم هذه الوظيفة، حيث يجب توخي الحذر بشكل خاص عند تداول الرموز التي تدعم وظيفة التصريح.
وضع خطة طوارئ: إذا تم اكتشاف الاحتيال ولكن لا تزال هناك أصول على منصات أخرى، يجب وضع خطة شاملة لنقل الأصول، ويمكن النظر في استخدام النقل عبر MEV أو طلب المساعدة من فريق أمان محترف.
مع توسع نطاق تطبيق Permit2، قد تزداد الهجمات الاحتيالية المستندة إلى ذلك. تعتبر طريقة توقيع الاحتيال هذه خفية للغاية وصعبة الحماية، لذا يجب على المستخدمين زيادة اليقظة وتعزيز الوعي بالأمان لتجنب أن يكونوا الضحية التالية.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 16
أعجبني
16
4
مشاركة
تعليق
0/400
BlockchainFoodie
· 07-23 09:06
هذا الشيء المتعلق بـ permit2 يؤثر بشكل مختلف... مثل تقديم الكمأ السام إلى دجن ويب 3 بصراحة
شاهد النسخة الأصليةرد0
YieldWhisperer
· 07-21 15:06
رأيت نفس نمط الهجوم هذا في عام '18... بعض الأشخاص لا يتعلمون أبداً عن نظافة التوقيع، للأسف
شاهد النسخة الأصليةرد0
SerumSquirrel
· 07-21 14:56
هل الصيد بهذه الدرجة من التعقيد؟
شاهد النسخة الأصليةرد0
SatoshiChallenger
· 07-21 14:43
الصيد هو موضوع أبدي البيانات تتحدث 98% من الضحايا وقعوا ثم G [冷笑]
تحليل عميق لأساليب تصيد التوقيع Uniswap Permit2 للمبتدئين واستراتيجيات الحماية
إنذار أمان التوقيع: تحليل عميق لحدث تصيد توقيع Uniswap Permit2
في الآونة الأخيرة، أثار نوع جديد من أساليب التصيد الاحتيالي باستخدام عقد Uniswap Permit2 اهتمامًا واسعًا. هذه الطريقة في الهجوم سرية للغاية وصعبة الحماية، وقد تكون هناك مخاطر على العناوين التي استخدمت Uniswap للتفاعل. ستقوم هذه المقالة بالتعمق في تحليل هذه الأساليب الهجومية الجديدة وتقديم نصائح مناسبة للوقاية.
ملابسات الحدث
بدأت الحادثة عندما تم سرقة أصول مستخدم (ألفا الصغيرة). على عكس الطرق الشائعة للسرقة، لم تقم ألفا الصغيرة بكشف مفتاحها الخاص، ولم تتفاعل مع عقود مواقع التصيد. من خلال متصفح blockchain، يمكن رؤية أن USDT في محفظة ألفا الصغيرة قد تم نقله من خلال وظيفة Transfer From، مما يعني أن عنوان طرف ثالث هو الذي قام بنقل الرموز، وليس تسرب مفتاح المحفظة.
أظهرت التحقيقات الإضافية أن هذه العملية كانت تتفاعل مع عقد Permit2 الخاص بـ Uniswap. السؤال الرئيسي هو: كيف حصلت العناوين المنفذة على صلاحيات الأصول؟ ولماذا كانت تتضمن Uniswap؟
تحليل Uniswap Permit2
Uniswap Permit2 هو عقد ذكي جديد قدمته Uniswap في نهاية عام 2022. يهدف إلى تحقيق إدارة موحدة لتفويضات الرموز، مما يحسن تجربة المستخدم ويقلل من تكاليف المعاملات. يعمل Permit2 كوسيط بين المستخدم وDApp، مما يسمح للمستخدمين بالقيام بتفويض واحد فقط لعقد Permit2، ويمكنهم من مشاركة هذا المبلغ المفوض في جميع DApps التي تدمج Permit2.
على الرغم من أن هذه الآلية تعزز تجربة المستخدم، إلا أنها تجلب أيضًا مخاطر محتملة. في طرق التفاعل التقليدية، تحتاج الأذونات وتحويل الأموال إلى تفاعل المستخدم على السلسلة. بينما تقوم Permit2 بتحويل عمليات المستخدم إلى توقيعات خارج السلسلة، حيث يتم تنفيذ جميع العمليات على السلسلة من قبل جهة وسيطة (مثل عقد Permit2). على الرغم من أن هذه الطريقة مريحة، إلا أنها تجعل المستخدمين أكثر عرضة للاسترخاء في مرحلة التوقيع.
شرح أساليب الهجوم
المهاجمون يستغلون وظيفة Permit في عقد Permit2 لتنفيذ الهجوم. تسمح هذه الوظيفة للمستخدمين بتفويض الآخرين لاستخدام رموزهم في وقت لاحق من خلال التوقيع. خطوات الهجوم كالتالي:
تدابير الوقاية
فهم وتحديد محتوى التوقيع: تعلم كيفية التعرف على تنسيق توقيع Permit، بما في ذلك Owner و Spender و value و nonce و deadline وغيرها من المعلومات الأساسية. يُوصى باستخدام ملحقات أمان للمساعدة في التعرف.
فصل الأصول والمحفظة التفاعلية: تخزين الأصول الكبيرة في محفظة باردة، واستخدام محفظة ساخنة تحتوي فقط على كمية صغيرة من الأموال للتفاعل اليومي، لتقليل الخسائر المحتملة.
تقييد حد تفويض Permit2: عند القيام بعملية التبادل على Uniswap، قم بتفويض المبلغ المطلوب فقط، لتجنب تفويض مبلغ زائد. إذا تم التفويض، يمكنك إلغاء التفويض من خلال الإضافات الأمنية.
تحديد ما إذا كانت الرموز تدعم وظيفة التصريح: التركيز على الرموز المحتفظ بها ومعرفة ما إذا كانت تدعم هذه الوظيفة، حيث يجب توخي الحذر بشكل خاص عند تداول الرموز التي تدعم وظيفة التصريح.
وضع خطة طوارئ: إذا تم اكتشاف الاحتيال ولكن لا تزال هناك أصول على منصات أخرى، يجب وضع خطة شاملة لنقل الأصول، ويمكن النظر في استخدام النقل عبر MEV أو طلب المساعدة من فريق أمان محترف.
مع توسع نطاق تطبيق Permit2، قد تزداد الهجمات الاحتيالية المستندة إلى ذلك. تعتبر طريقة توقيع الاحتيال هذه خفية للغاية وصعبة الحماية، لذا يجب على المستخدمين زيادة اليقظة وتعزيز الوعي بالأمان لتجنب أن يكونوا الضحية التالية.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp)