Sécurité des signatures : analyse approfondie de l'incident de phishing de la signature Uniswap Permit2
Récemment, une nouvelle méthode de phishing utilisant le contrat Uniswap Permit2 a suscité une large attention. Cette méthode d'attaque est extrêmement discrète et difficile à prévenir, et les adresses ayant interagi avec Uniswap pourraient toutes être à risque. Cet article analysera en profondeur cette nouvelle méthode d'attaque et fournira des conseils de prévention correspondants.
Déroulement de l'événement
L'incident a commencé lorsqu'un utilisateur (Petit A) a vu ses actifs volés. Contrairement aux méthodes de vol courantes, Petit A n'a pas divulgué sa clé privée, ni interagi avec un contrat de site de phishing. Grâce à l'explorateur de blockchain, on peut voir que les USDT du portefeuille de Petit A ont été transférés via la fonction Transfer From, ce qui signifie qu'une adresse tierce a opéré le transfert des tokens, et non une fuite de la clé privée du portefeuille.
Une enquête approfondie a révélé que cette opération interagissait avec le contrat Permit2 d'Uniswap. La question clé est : comment l'adresse exécutant le transfert a-t-elle obtenu les droits d'accès aux actifs ? Pourquoi cela implique-t-il Uniswap ?
Analyse de Permis2 Uniswap
Uniswap Permit2 est un nouveau contrat intelligent lancé par Uniswap à la fin de 2022. Il vise à réaliser une gestion unifiée des autorisations de tokens, à améliorer l'expérience utilisateur et à réduire les coûts de transaction. Permit2, en tant qu'intermédiaire entre l'utilisateur et le DApp, permet aux utilisateurs d'autoriser une seule fois le contrat Permit2, afin de partager ce montant d'autorisation dans tous les DApps intégrant Permit2.
Bien que ce mécanisme améliore l'expérience utilisateur, il présente également des risques potentiels. Dans les méthodes d'interaction traditionnelles, l'autorisation et le transfert de fonds nécessitent une interaction en chaîne de la part de l'utilisateur. En revanche, Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations en chaîne étant effectuées par un acteur intermédiaire (comme le contrat Permit2). Bien que cette méthode soit pratique, elle rend également les utilisateurs plus susceptibles de relâcher leur vigilance lors de l'étape de signature.
Explication détaillée des méthodes d'attaque
Les attaquants exploitent la fonction Permit du contrat Permit2 pour mener leur attaque. Cette fonction permet aux utilisateurs d'autoriser par signature d'autres personnes à utiliser leurs jetons à un moment futur. Les étapes de l'attaque sont les suivantes :
L'utilisateur a déjà effectué des transactions sur Uniswap et a autorisé le contrat Permit2 (généralement avec un montant illimité).
L'attaquant induit l'utilisateur à effectuer une opération de signature apparemment inoffensive.
Après que l'attaquant a obtenu la signature, il vérifie la signature via la fonction Permit du contrat Permit2.
Une fois la vérification réussie, l'attaquant obtient le droit d'utiliser les jetons de l'utilisateur.
L'attaquant a ensuite transféré les actifs de l'utilisateur via la fonction Transfer From.
Mesures de prévention
Comprendre et identifier le contenu de la signature : Apprenez à distinguer le format de signature Permit, y compris les informations clés telles que Owner, Spender, value, nonce et deadline. Il est recommandé d'utiliser des plugins de sécurité pour aider à l'identification.
Séparation des actifs et du portefeuille d'interaction : Stocker une grande quantité d'actifs dans un portefeuille froid, en n'utilisant qu'un portefeuille chaud contenant une petite somme d'argent pour les interactions quotidiennes, afin de réduire les pertes potentielles.
Limiter le montant de l'autorisation Permit2 : Lors de l'échange sur Uniswap, n'autorisez que le montant nécessaire à la transaction, afin d'éviter d'accorder un montant excessif. Si vous avez déjà accordé l'autorisation, vous pouvez la révoquer via un plugin de sécurité.
Identifier si le jeton prend en charge la fonction permit : Faites attention à savoir si les jetons que vous détenez prennent en charge cette fonction, et soyez particulièrement prudent lors des transactions avec des jetons qui prennent en charge la fonction permit.
Élaborer un plan d'urgence : En cas de fraude, si des actifs sont encore présents sur d'autres plateformes, il est nécessaire d'élaborer un plan de transfert d'actifs complet, en envisageant l'utilisation du transfert MEV ou en recherchant l'assistance d'une équipe de sécurité professionnelle.
Avec l'élargissement de l'utilisation de Permit2, les attaques de phishing basées sur cela pourraient devenir de plus en plus nombreuses. Ce type de phishing par signature est extrêmement furtif et difficile à prévenir, les utilisateurs doivent faire preuve de vigilance, renforcer leur sensibilisation à la sécurité et éviter de devenir la prochaine victime.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
4
Partager
Commentaire
0/400
BlockchainFoodie
· Il y a 9h
ce truc permit2 a un impact différent... comme servir des truffes empoisonnées à un degen web3 pour être honnête
Voir l'originalRépondre0
YieldWhisperer
· 07-21 15:06
j'ai vu ce même schéma d'attaque en '18... certaines personnes n'apprennent jamais l'hygiène des signatures smh
Voir l'originalRépondre0
SerumSquirrel
· 07-21 14:56
Est-ce que la pêche est devenue si extravagante ?
Voir l'originalRépondre0
SatoshiChallenger
· 07-21 14:43
La pêche est un thème éternel. Les données parlent d'elles-mêmes. 98 % des victimes signent et puis G [冷笑]
Analyse approfondie des techniques de phishing par signature Permit2 d'Uniswap pour les débutants et stratégies de prévention
Sécurité des signatures : analyse approfondie de l'incident de phishing de la signature Uniswap Permit2
Récemment, une nouvelle méthode de phishing utilisant le contrat Uniswap Permit2 a suscité une large attention. Cette méthode d'attaque est extrêmement discrète et difficile à prévenir, et les adresses ayant interagi avec Uniswap pourraient toutes être à risque. Cet article analysera en profondeur cette nouvelle méthode d'attaque et fournira des conseils de prévention correspondants.
Déroulement de l'événement
L'incident a commencé lorsqu'un utilisateur (Petit A) a vu ses actifs volés. Contrairement aux méthodes de vol courantes, Petit A n'a pas divulgué sa clé privée, ni interagi avec un contrat de site de phishing. Grâce à l'explorateur de blockchain, on peut voir que les USDT du portefeuille de Petit A ont été transférés via la fonction Transfer From, ce qui signifie qu'une adresse tierce a opéré le transfert des tokens, et non une fuite de la clé privée du portefeuille.
Une enquête approfondie a révélé que cette opération interagissait avec le contrat Permit2 d'Uniswap. La question clé est : comment l'adresse exécutant le transfert a-t-elle obtenu les droits d'accès aux actifs ? Pourquoi cela implique-t-il Uniswap ?
Analyse de Permis2 Uniswap
Uniswap Permit2 est un nouveau contrat intelligent lancé par Uniswap à la fin de 2022. Il vise à réaliser une gestion unifiée des autorisations de tokens, à améliorer l'expérience utilisateur et à réduire les coûts de transaction. Permit2, en tant qu'intermédiaire entre l'utilisateur et le DApp, permet aux utilisateurs d'autoriser une seule fois le contrat Permit2, afin de partager ce montant d'autorisation dans tous les DApps intégrant Permit2.
Bien que ce mécanisme améliore l'expérience utilisateur, il présente également des risques potentiels. Dans les méthodes d'interaction traditionnelles, l'autorisation et le transfert de fonds nécessitent une interaction en chaîne de la part de l'utilisateur. En revanche, Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations en chaîne étant effectuées par un acteur intermédiaire (comme le contrat Permit2). Bien que cette méthode soit pratique, elle rend également les utilisateurs plus susceptibles de relâcher leur vigilance lors de l'étape de signature.
Explication détaillée des méthodes d'attaque
Les attaquants exploitent la fonction Permit du contrat Permit2 pour mener leur attaque. Cette fonction permet aux utilisateurs d'autoriser par signature d'autres personnes à utiliser leurs jetons à un moment futur. Les étapes de l'attaque sont les suivantes :
Mesures de prévention
Comprendre et identifier le contenu de la signature : Apprenez à distinguer le format de signature Permit, y compris les informations clés telles que Owner, Spender, value, nonce et deadline. Il est recommandé d'utiliser des plugins de sécurité pour aider à l'identification.
Séparation des actifs et du portefeuille d'interaction : Stocker une grande quantité d'actifs dans un portefeuille froid, en n'utilisant qu'un portefeuille chaud contenant une petite somme d'argent pour les interactions quotidiennes, afin de réduire les pertes potentielles.
Limiter le montant de l'autorisation Permit2 : Lors de l'échange sur Uniswap, n'autorisez que le montant nécessaire à la transaction, afin d'éviter d'accorder un montant excessif. Si vous avez déjà accordé l'autorisation, vous pouvez la révoquer via un plugin de sécurité.
Identifier si le jeton prend en charge la fonction permit : Faites attention à savoir si les jetons que vous détenez prennent en charge cette fonction, et soyez particulièrement prudent lors des transactions avec des jetons qui prennent en charge la fonction permit.
Élaborer un plan d'urgence : En cas de fraude, si des actifs sont encore présents sur d'autres plateformes, il est nécessaire d'élaborer un plan de transfert d'actifs complet, en envisageant l'utilisation du transfert MEV ou en recherchant l'assistance d'une équipe de sécurité professionnelle.
Avec l'élargissement de l'utilisation de Permit2, les attaques de phishing basées sur cela pourraient devenir de plus en plus nombreuses. Ce type de phishing par signature est extrêmement furtif et difficile à prévenir, les utilisateurs doivent faire preuve de vigilance, renforcer leur sensibilisation à la sécurité et éviter de devenir la prochaine victime.