Keamanan Tanda Tangan Menggugah Alarm: Analisis Mendalam Tentang Insiden Phishing Tanda Tangan Uniswap Permit2
Belakangan ini, sebuah metode phishing baru yang menggunakan kontrak Uniswap Permit2 telah menarik perhatian luas. Cara serangan ini sangat tersembunyi dan sulit untuk dicegah, dan ada risiko bagi alamat yang pernah berinteraksi dengan Uniswap. Artikel ini akan menganalisis secara mendalam metode serangan baru ini dan memberikan saran pencegahan yang sesuai.
Peristiwa
Kejadian ini bermula dari aset seorang pengguna (A kecil) yang dicuri. Berbeda dengan cara pencurian yang umum, A kecil tidak mengungkapkan kunci privatnya, dan juga tidak berinteraksi dengan kontrak situs phishing. Melalui penjelajah blockchain, dapat dilihat bahwa USDT di dompet A kecil dipindahkan melalui fungsi Transfer From, yang berarti alamat pihak ketiga yang mengoperasikan pemindahan Token, bukan karena kebocoran kunci privat dompet.
Penyelidikan lebih lanjut menemukan bahwa operasi ini berinteraksi dengan kontrak Permit2 dari Uniswap. Masalah kunci adalah: bagaimana alamat yang mengeksekusi transfer mendapatkan izin aset? Mengapa melibatkan Uniswap?
Analisis Uniswap Permit2
Uniswap Permit2 adalah kontrak pintar baru yang diluncurkan oleh Uniswap pada akhir tahun 2022. Ini bertujuan untuk mencapai pengelolaan izin token yang terpusat, meningkatkan pengalaman pengguna, dan mengurangi biaya transaksi. Permit2 berfungsi sebagai perantara antara pengguna dan DApp, memungkinkan pengguna untuk memberikan izin hanya sekali pada kontrak Permit2, sehingga dapat membagikan kuota izin ini di semua DApp yang mengintegrasikan Permit2.
Mekanisme ini meskipun meningkatkan pengalaman pengguna, tetapi juga membawa risiko potensial. Dalam cara interaksi tradisional, otorisasi dan transfer dana memerlukan pengguna untuk melakukan interaksi di blockchain. Namun, Permit2 mengubah operasi pengguna menjadi tanda tangan off-chain, semua operasi di blockchain dilakukan oleh peran tengah (seperti kontrak Permit2). Meskipun cara ini nyaman, tetapi juga membuat pengguna lebih mudah untuk lengah pada tahap tanda tangan.
Penjelasan Teknik Serangan
Penyerang memanfaatkan fungsi Permit dari kontrak Permit2 untuk melakukan serangan. Fungsi ini memungkinkan pengguna untuk memberikan otorisasi kepada orang lain melalui tanda tangan untuk menggunakan token mereka di masa depan pada waktu tertentu. Langkah-langkah serangan adalah sebagai berikut:
Pengguna pernah melakukan transaksi di Uniswap dan memberikan izin kepada kontrak Permit2 (biasanya adalah batas tanpa batas).
Penyerang membujuk pengguna untuk melakukan operasi tanda tangan yang tampak tidak berbahaya.
Setelah penyerang mendapatkan tanda tangan, mereka memverifikasi tanda tangan tersebut melalui fungsi Permit dari kontrak Permit2.
Setelah verifikasi berhasil, penyerang mendapatkan hak penggunaan token pengguna.
Penyerang kemudian mentransfer aset pengguna menggunakan fungsi Transfer From.
Tindakan pencegahan
Memahami dan Mengidentifikasi Isi Tanda Tangan: Pelajari cara membedakan format tanda tangan Permit, termasuk informasi kunci seperti Owner, Spender, value, nonce, dan deadline. Disarankan untuk menggunakan plugin keamanan untuk membantu identifikasi.
Pemisahan Aset dan Dompet Interaksi: Menyimpan sejumlah besar aset di dompet dingin, sementara dompet panas yang digunakan untuk interaksi sehari-hari hanya berisi sejumlah kecil dana, untuk mengurangi potensi kerugian.
Batasi Kuota Izin Permit2: Saat melakukan Swap di Uniswap, hanya berikan kuota yang diperlukan untuk jumlah transaksi, hindari memberikan kuota yang terlalu banyak. Jika sudah diberikan izin, dapat dicabut melalui plugin keamanan.
Identifikasi apakah token mendukung fungsi permit: Perhatikan apakah token yang dimiliki mendukung fungsi ini, dan perlu lebih berhati-hati dalam transaksi token yang mendukung fungsi permit.
Membuat Rencana Darurat: Jika menemukan bahwa telah tertipu tetapi masih memiliki aset di platform lain, perlu membuat rencana pemindahan aset yang lengkap, dapat mempertimbangkan untuk menggunakan pemindahan MEV atau mencari bantuan dari tim keamanan profesional.
Seiring dengan meluasnya penggunaan Permit2, serangan phishing yang berbasis ini mungkin akan semakin banyak. Metode phishing tanda tangan ini sangat tersembunyi dan sulit untuk dicegah, pengguna perlu meningkatkan kewaspadaan, memperkuat kesadaran keamanan, dan menghindari menjadi korban berikutnya.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
4
Bagikan
Komentar
0/400
BlockchainFoodie
· 17jam yang lalu
hal permit2 ini terasa berbeda... seperti menyajikan truffle beracun kepada seorang degen web3 sejujurnya
Lihat AsliBalas0
YieldWhisperer
· 07-21 15:06
melihat pola serangan yang sama di '18... beberapa orang tidak pernah belajar tentang kebersihan tanda tangan smh
Lihat AsliBalas0
SerumSquirrel
· 07-21 14:56
Apa benar memancing begitu berlebihan?
Lihat AsliBalas0
SatoshiChallenger
· 07-21 14:43
Tema memancing yang abadi Data bisa berbicara 98 persen korban menandatangani dan langsung G [冷笑]
Analisis Mendalam Metode Phishing Tanda Tangan Uniswap Permit2 untuk Pemula dan Strategi Pencegahannya
Keamanan Tanda Tangan Menggugah Alarm: Analisis Mendalam Tentang Insiden Phishing Tanda Tangan Uniswap Permit2
Belakangan ini, sebuah metode phishing baru yang menggunakan kontrak Uniswap Permit2 telah menarik perhatian luas. Cara serangan ini sangat tersembunyi dan sulit untuk dicegah, dan ada risiko bagi alamat yang pernah berinteraksi dengan Uniswap. Artikel ini akan menganalisis secara mendalam metode serangan baru ini dan memberikan saran pencegahan yang sesuai.
Peristiwa
Kejadian ini bermula dari aset seorang pengguna (A kecil) yang dicuri. Berbeda dengan cara pencurian yang umum, A kecil tidak mengungkapkan kunci privatnya, dan juga tidak berinteraksi dengan kontrak situs phishing. Melalui penjelajah blockchain, dapat dilihat bahwa USDT di dompet A kecil dipindahkan melalui fungsi Transfer From, yang berarti alamat pihak ketiga yang mengoperasikan pemindahan Token, bukan karena kebocoran kunci privat dompet.
Penyelidikan lebih lanjut menemukan bahwa operasi ini berinteraksi dengan kontrak Permit2 dari Uniswap. Masalah kunci adalah: bagaimana alamat yang mengeksekusi transfer mendapatkan izin aset? Mengapa melibatkan Uniswap?
Analisis Uniswap Permit2
Uniswap Permit2 adalah kontrak pintar baru yang diluncurkan oleh Uniswap pada akhir tahun 2022. Ini bertujuan untuk mencapai pengelolaan izin token yang terpusat, meningkatkan pengalaman pengguna, dan mengurangi biaya transaksi. Permit2 berfungsi sebagai perantara antara pengguna dan DApp, memungkinkan pengguna untuk memberikan izin hanya sekali pada kontrak Permit2, sehingga dapat membagikan kuota izin ini di semua DApp yang mengintegrasikan Permit2.
Mekanisme ini meskipun meningkatkan pengalaman pengguna, tetapi juga membawa risiko potensial. Dalam cara interaksi tradisional, otorisasi dan transfer dana memerlukan pengguna untuk melakukan interaksi di blockchain. Namun, Permit2 mengubah operasi pengguna menjadi tanda tangan off-chain, semua operasi di blockchain dilakukan oleh peran tengah (seperti kontrak Permit2). Meskipun cara ini nyaman, tetapi juga membuat pengguna lebih mudah untuk lengah pada tahap tanda tangan.
Penjelasan Teknik Serangan
Penyerang memanfaatkan fungsi Permit dari kontrak Permit2 untuk melakukan serangan. Fungsi ini memungkinkan pengguna untuk memberikan otorisasi kepada orang lain melalui tanda tangan untuk menggunakan token mereka di masa depan pada waktu tertentu. Langkah-langkah serangan adalah sebagai berikut:
Tindakan pencegahan
Memahami dan Mengidentifikasi Isi Tanda Tangan: Pelajari cara membedakan format tanda tangan Permit, termasuk informasi kunci seperti Owner, Spender, value, nonce, dan deadline. Disarankan untuk menggunakan plugin keamanan untuk membantu identifikasi.
Pemisahan Aset dan Dompet Interaksi: Menyimpan sejumlah besar aset di dompet dingin, sementara dompet panas yang digunakan untuk interaksi sehari-hari hanya berisi sejumlah kecil dana, untuk mengurangi potensi kerugian.
Batasi Kuota Izin Permit2: Saat melakukan Swap di Uniswap, hanya berikan kuota yang diperlukan untuk jumlah transaksi, hindari memberikan kuota yang terlalu banyak. Jika sudah diberikan izin, dapat dicabut melalui plugin keamanan.
Identifikasi apakah token mendukung fungsi permit: Perhatikan apakah token yang dimiliki mendukung fungsi ini, dan perlu lebih berhati-hati dalam transaksi token yang mendukung fungsi permit.
Membuat Rencana Darurat: Jika menemukan bahwa telah tertipu tetapi masih memiliki aset di platform lain, perlu membuat rencana pemindahan aset yang lengkap, dapat mempertimbangkan untuk menggunakan pemindahan MEV atau mencari bantuan dari tim keamanan profesional.
Seiring dengan meluasnya penggunaan Permit2, serangan phishing yang berbasis ini mungkin akan semakin banyak. Metode phishing tanda tangan ini sangat tersembunyi dan sulit untuk dicegah, pengguna perlu meningkatkan kewaspadaan, memperkuat kesadaran keamanan, dan menghindari menjadi korban berikutnya.