Uniswap Permit2シグネチャフィッシングの方法と防止戦略の詳細な分析

サインの安全性を再び警鐘:Uniswap Permit2サインフィッシング事件の深い解析

最近、Uniswap Permit2コントラクトを利用した新しい署名フィッシング手法が広く注目を集めています。この攻撃手法は非常に巧妙で防ぐのが難しく、Uniswapでのインタラクションを行ったことがあるアドレスにはリスクが存在する可能性があります。本稿では、この新しい攻撃手法を詳しく分析し、それに対する対策の提案を行います。

###イベント

事件はユーザー(小A)の資産が盗まれたことに起因します。一般的な盗難手法とは異なり、小Aは秘密鍵を漏らしておらず、フィッシングサイトの契約とも相互作用していません。ブロックチェーンブラウザを通じて見ると、小AのウォレットにあるUSDTはTransfer From関数を介して移動されており、これは第三者のアドレスがトークンを移動させたことを意味し、ウォレットの秘密鍵が漏れたわけではありません。

さらに調査したところ、今回はUniswapのPermit2契約と相互作用していることがわかりました。重要な問題は、転送を実行したアドレスがどのように資産の権限を取得したのか、なぜUniswapが関与しているのかということです。

! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く

Uniswap Permit2 の解析

Uniswap Permit2は、Uniswapが2022年末に発表した新しいスマートコントラクトです。これは、トークンの承認を一元管理し、ユーザーエクスペリエンスを向上させ、取引コストを削減することを目的としています。Permit2は、ユーザーとDAppの間の仲介者として機能し、ユーザーはPermit2コントラクトに対して一度だけ承認を行うことで、Permit2を統合したすべてのDAppでこの承認枠を共有できるようになります。

このメカニズムはユーザー体験を向上させましたが、潜在的なリスクももたらしました。従来のインタラクション方式では、承認と資金移転にはユーザーがオンチェーンでインタラクションする必要があります。しかし、Permit2はユーザーの操作をオフチェーンの署名に置き換え、すべてのオンチェーン操作は中間の役割(例えばPermit2コントラクト)によって行われます。この方法は便利ですが、ユーザーが署名の段階で警戒を緩めやすくなります。

! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く

攻撃手口を詳しく解説

攻撃者はPermit2コントラクトのPermit関数を利用して攻撃を実施します。この関数は、ユーザーが署名を通じて、他者が将来のある時点で自分のトークンを使用することを許可することを可能にします。攻撃手順は以下の通りです:

  1. ユーザーは以前にUniswapで取引を行い、Permit2コントラクトに承認を与えました(通常は無制限の額)。
  2. 攻撃者はユーザーに無害に見える署名操作を行うよう誘導します。
  3. 攻撃者は署名を取得した後、Permit2コントラクトのPermit関数を使用して署名を検証します。
  4. 検証が通過した後、攻撃者はユーザーのトークンの使用権を取得します。
  5. 次に、攻撃者は「Transfer From」機能を通じてユーザーの資産を転送します。

! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く

###注意事項

  1. 署名内容の理解と認識:Owner、Spender、value、nonce、deadlineなどの重要な情報を含むPermit署名形式を識別できるように学びます。安全なプラグインを使用して識別を補助することをお勧めします。

  2. 資産とインタラクションウォレットの分離:大量の資産をコールドウォレットに保存し、日常のインタラクションには少量の資金を含むホットウォレットを使用して、潜在的な損失を減らします。

  3. Permit2の承認限度を制限する:Uniswapでスワップを行う際には、必要な取引額のみを承認し、過剰な額の承認を避けます。すでに承認している場合は、安全なプラグインを使用して承認をキャンセルできます。

  4. トークンがpermit機能をサポートしているかを確認:保有しているトークンがこの機能をサポートしているかに注目し、permit機能をサポートするトークンの取引には特に注意が必要です。

  5. 緊急対策を策定する:詐欺に遭ったが他のプラットフォームにまだ資産がある場合、資産移転計画を整備する必要があり、MEV移転を使用するか、専門のセキュリティチームの支援を求めることを検討できます。

Permit2の適用範囲が広がるにつれて、それに基づくフィッシング攻撃が増加する可能性があります。この署名フィッシング方式は非常に巧妙で防ぐことが難しく、ユーザーは警戒を高めてセキュリティ意識を強化し、次の犠牲者にならないようにする必要があります。

! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く

UNI-4.13%
原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については免責事項をご覧ください。
  • 報酬
  • 4
  • 共有
コメント
0/400
BlockchainFoodievip
· 17時間前
このpermit2のことは特別だ... 正直なところ、Web3のデジェンに毒入りトリュフを出すようなものだ
原文表示返信0
YieldWhisperervip
· 07-21 15:06
2018年にこの同じ攻撃パターンを見ました... 一部の人々はシグネチャーハイジーンについて学ばないのですね smh
原文表示返信0
SerumSquirrelvip
· 07-21 14:56
釣りはこんなに派手なのですか?
原文表示返信0
SatoshiChallengervip
· 07-21 14:43
釣りは永遠のテーマ データは物語る 98%の被害者がサインを済ませるとG [冷笑]
原文表示返信0
いつでもどこでも暗号資産取引
qrCode
スキャンしてGateアプリをダウンロード
コミュニティ
日本語
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)