Безопасность подписей снова под угрозой: Глубина анализа инцидента с фишингом подписей Uniswap Permit2
В последнее время новый метод фишинга с использованием контракта Uniswap Permit2 привлек широкое внимание. Этот способ атаки крайне скрытный и труднопредотвратимый, и может представлять риск для адресов, которые когда-либо взаимодействовали с Uniswap. В этой статье мы подробно проанализируем этот новый метод атаки и предложим соответствующие меры предостережения.
Ход событий
Событие началось с того, что активы одного пользователя (Маленький А) были украдены. В отличие от распространенных способов кражи, Маленький А не раскрыл свой приватный ключ и не взаимодействовал с контрактом фишингового сайта. Через блокчейн-обозреватель можно увидеть, что USDT в кошельке Маленького А был переведен с помощью функции Transfer From, что означает, что сторонний адрес совершил операцию по перемещению токена, а не утечка приватного ключа кошелька.
Дальнейшее расследование показало, что эта операция взаимодействовала с контрактом Permit2 от Uniswap. Ключевой вопрос заключается в том: как адрес, выполняющий перевод, получил права на активы? Почему это связано с Uniswap?
Парсинг Uniswap Permit2
Uniswap Permit2 — это новый смарт-контракт, который Uniswap запустил в конце 2022 года. Он предназначен для реализации единого управления авторизацией токенов, улучшения пользовательского опыта и снижения транзакционных издержек. Permit2 выступает посредником между пользователем и DApp, позволяя пользователю всего один раз авторизовать контракт Permit2, чтобы поделиться этой разрешенной суммой во всех DApp, интегрирующих Permit2.
Хотя этот механизм улучшает пользовательский опыт, он также создает потенциальные риски. В традиционном способе взаимодействия авторизация и перевод средств требуют от пользователя выполнения операций в блокчейне. Однако Permit2 переводит действия пользователя в подпись вне цепочки, все операции в блокчейне выполняются промежуточной стороной (например, контрактом Permit2). Хотя этот метод удобен, он также делает пользователей более уязвимыми к расслаблению бдительности на этапе подписания.
Подробное описание методов атаки
Атакующий использует функцию Permit контракта Permit2 для осуществления атаки. Эта функция позволяет пользователям авторизовать других лиц для использования своих токенов в будущем с помощью подписи. Шаги атаки следующие:
Пользователь ранее совершал сделки на Uniswap и предоставил разрешение контракту Permit2 (обычно с неограниченным лимитом).
После того как злоумышленник получил подпись, он проверяет подпись с помощью функции Permit контракта Permit2.
После успешной проверки злоумышленник получает право на использование токенов пользователя.
Атакующий затем перемещает активы пользователя с помощью функции Transfer From.
Меры предосторожности
Понимание и распознавание содержания подписи: Научитесь различать формат подписи Permit, включая ключевую информацию, такую как Owner, Spender, value, nonce и deadline. Рекомендуется использовать безопасные плагины для помощи в распознавании.
Разделение активов и интерактивного кошелька: Храните значительные активы в холодном кошельке, а для повседневного взаимодействия используйте только горячий кошелек с небольшим количеством средств, чтобы снизить потенциальные потери.
Ограничение лимита разрешения Permit2: При выполнении свопа на Uniswap разрешите только необходимую сумму для сделки, чтобы избежать избыточного разрешения. Если разрешение уже выдано, его можно отменить с помощью безопасного плагина.
Определите, поддерживает ли токен функцию permit: Обратите внимание на то, поддерживает ли токен, которым вы владеете, эту функцию; при торговле токенами, поддерживающими функцию permit, следует проявлять особую осторожность.
Разработка плана действий в чрезвычайных ситуациях: если вы обнаружили, что стали жертвой мошенничества, но все еще имеете активы на других платформах, необходимо разработать подробный план их перемещения, можно рассмотреть возможность использования MEV для перемещения или обратиться за помощью к профессиональной команде по безопасности.
С ростом сферы применения Permit2, основанные на этом фишинговые атаки могут становиться все более распространенными. Этот способ фишинга с подписями крайне скрытен и труден для предотвращения, пользователи должны быть бдительными, повышать свою безопасность и избегать стать следующей жертвой.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
4
Поделиться
комментарий
0/400
BlockchainFoodie
· 07-23 09:06
эта штука permit2 ощущается по-другому... как подавать отравленные трюфели веб3 дегену, если честно
Посмотреть ОригиналОтветить0
YieldWhisperer
· 07-21 15:06
видел этот же шаблон атаки в '18... некоторые люди никогда не учатся о гигиене подписи смх
Посмотреть ОригиналОтветить0
SerumSquirrel
· 07-21 14:56
Говорят, рыбалка стала такой модной?
Посмотреть ОригиналОтветить0
SatoshiChallenger
· 07-21 14:43
Рыбалка — вечная тема, данные говорят сами за себя, 98% жертв подписавших, уже G [冷笑]
Глубокий анализ и стратегии защиты от фишинга методов новичков с использованием Uniswap Permit2
Безопасность подписей снова под угрозой: Глубина анализа инцидента с фишингом подписей Uniswap Permit2
В последнее время новый метод фишинга с использованием контракта Uniswap Permit2 привлек широкое внимание. Этот способ атаки крайне скрытный и труднопредотвратимый, и может представлять риск для адресов, которые когда-либо взаимодействовали с Uniswap. В этой статье мы подробно проанализируем этот новый метод атаки и предложим соответствующие меры предостережения.
Ход событий
Событие началось с того, что активы одного пользователя (Маленький А) были украдены. В отличие от распространенных способов кражи, Маленький А не раскрыл свой приватный ключ и не взаимодействовал с контрактом фишингового сайта. Через блокчейн-обозреватель можно увидеть, что USDT в кошельке Маленького А был переведен с помощью функции Transfer From, что означает, что сторонний адрес совершил операцию по перемещению токена, а не утечка приватного ключа кошелька.
Дальнейшее расследование показало, что эта операция взаимодействовала с контрактом Permit2 от Uniswap. Ключевой вопрос заключается в том: как адрес, выполняющий перевод, получил права на активы? Почему это связано с Uniswap?
Парсинг Uniswap Permit2
Uniswap Permit2 — это новый смарт-контракт, который Uniswap запустил в конце 2022 года. Он предназначен для реализации единого управления авторизацией токенов, улучшения пользовательского опыта и снижения транзакционных издержек. Permit2 выступает посредником между пользователем и DApp, позволяя пользователю всего один раз авторизовать контракт Permit2, чтобы поделиться этой разрешенной суммой во всех DApp, интегрирующих Permit2.
Хотя этот механизм улучшает пользовательский опыт, он также создает потенциальные риски. В традиционном способе взаимодействия авторизация и перевод средств требуют от пользователя выполнения операций в блокчейне. Однако Permit2 переводит действия пользователя в подпись вне цепочки, все операции в блокчейне выполняются промежуточной стороной (например, контрактом Permit2). Хотя этот метод удобен, он также делает пользователей более уязвимыми к расслаблению бдительности на этапе подписания.
Подробное описание методов атаки
Атакующий использует функцию Permit контракта Permit2 для осуществления атаки. Эта функция позволяет пользователям авторизовать других лиц для использования своих токенов в будущем с помощью подписи. Шаги атаки следующие:
Меры предосторожности
Понимание и распознавание содержания подписи: Научитесь различать формат подписи Permit, включая ключевую информацию, такую как Owner, Spender, value, nonce и deadline. Рекомендуется использовать безопасные плагины для помощи в распознавании.
Разделение активов и интерактивного кошелька: Храните значительные активы в холодном кошельке, а для повседневного взаимодействия используйте только горячий кошелек с небольшим количеством средств, чтобы снизить потенциальные потери.
Ограничение лимита разрешения Permit2: При выполнении свопа на Uniswap разрешите только необходимую сумму для сделки, чтобы избежать избыточного разрешения. Если разрешение уже выдано, его можно отменить с помощью безопасного плагина.
Определите, поддерживает ли токен функцию permit: Обратите внимание на то, поддерживает ли токен, которым вы владеете, эту функцию; при торговле токенами, поддерживающими функцию permit, следует проявлять особую осторожность.
Разработка плана действий в чрезвычайных ситуациях: если вы обнаружили, что стали жертвой мошенничества, но все еще имеете активы на других платформах, необходимо разработать подробный план их перемещения, можно рассмотреть возможность использования MEV для перемещения или обратиться за помощью к профессиональной команде по безопасности.
С ростом сферы применения Permit2, основанные на этом фишинговые атаки могут становиться все более распространенными. Этот способ фишинга с подписями крайне скрытен и труден для предотвращения, пользователи должны быть бдительными, повышать свою безопасность и избегать стать следующей жертвой.