İmza güvenliği tekrar çan çalıyor: Uniswap Permit2 imza oltalama olayının derinlemesine analizi
Son zamanlarda, Uniswap Permit2 sözleşmesini kullanan yeni bir imza phishing yöntemi geniş bir dikkat çekti. Bu saldırı yöntemi son derece gizli ve önlenmesi zor olup, Uniswap ile etkileşimde bulunmuş adresler için risk teşkil edebilir. Bu makalede, bu yeni saldırı yöntemini derinlemesine analiz edecek ve buna karşı önleyici öneriler sunacağız.
Olayın Gelişi
Olay, bir kullanıcının (Küçük A) varlıklarının çalınmasıyla başladı. Yaygın çalınma yöntemlerinden farklı olarak, Küçük A özel anahtarını ifşa etmedi ve bir phishing sitesiyle etkileşime girmedi. Blockchain tarayıcısı aracılığıyla görülebilir ki, Küçük A cüzdanındaki USDT, Transfer From fonksiyonu aracılığıyla aktarılmıştır; bu, Token'ın bir üçüncü taraf adresi tarafından taşındığı, cüzdanın özel anahtarının ifşası değil.
Daha fazla araştırma, bu işlemin Uniswap'ın Permit2 sözleşmesiyle etkileşimde bulunduğunu ortaya koydu. Ana soru şudur: Transferi gerçekleştiren adres, varlık izinlerini nasıl elde etti? Neden Uniswap ile ilgili?
Uniswap Permit2 analizi
Uniswap Permit2, Uniswap'ın 2022'nin sonlarında tanıttığı yeni akıllı sözleşmedir. Token yetkilendirmesinin merkezi bir yönetimini sağlamayı, kullanıcı deneyimini artırmayı ve işlem maliyetlerini düşürmeyi amaçlamaktadır. Permit2, kullanıcılar ile DApp arasında bir aracı olarak hareket eder ve kullanıcının sadece Permit2 sözleşmesine bir kez yetki vermesiyle, Permit2'yi entegre eden tüm DApp'lerde bu yetki limitini paylaşmasına olanak tanır.
Bu mekanizma kullanıcı deneyimini artırsa da potansiyel riskler de getirmektedir. Geleneksel etkileşim yöntemlerinde, yetkilendirme ve fon transferi için kullanıcıların zincir üstü etkileşimde bulunması gerekmektedir. Ancak Permit2, kullanıcı işlemlerini zincir dışı imzalara dönüştürerek, tüm zincir üstü işlemleri ara birimlerin (örneğin Permit2 sözleşmesi) gerçekleştirmesini sağlar. Bu yöntem kolaylık sağlasa da, kullanıcıların imzalama aşamasında dikkatlerini dağıtmalarını daha da kolaylaştırmaktadır.
Saldırı Yöntemleri Detaylı Açıklama
Saldırganlar, Permit2 sözleşmesinin Permit fonksiyonunu kullanarak saldırı gerçekleştiriyor. Bu fonksiyon, kullanıcıların imza ile başkalarına gelecekte belirli bir zamanda kendi token'larını kullanmaları için yetki vermesine olanak tanır. Saldırı adımları aşağıdaki gibidir:
Kullanıcı daha önce Uniswap'ta işlem yaptı ve Permit2 sözleşmesine yetki verdi (genellikle sınırsız limit).
Saldırgan, kullanıcıyı masum bir imza işlemi yapmaya ikna eder.
Saldırgan, imzayı aldıktan sonra Permit2 sözleşmesinin Permit fonksiyonu ile imzayı doğrular.
Doğrulama başarılı olduktan sonra, saldırgan kullanıcı tokenlerinin kullanım hakkını elde eder.
Saldırgan daha sonra Transfer From fonksiyonu aracılığıyla kullanıcının varlıklarını transfer eder.
Önlem
İmza içeriğini anlama ve tanıma: Permit imza formatını, Owner, Spender, value, nonce ve deadline gibi anahtar bilgileri içerecek şekilde ayırt etmeyi öğrenin. Tanımlamaya yardımcı olması için güvenli eklentiler kullanılması önerilir.
Varlıklar ve etkileşim cüzdanlarının ayrılması: Büyük miktarda varlığı soğuk cüzdanda saklamak, günlük etkileşim için yalnızca az miktarda fon içeren sıcak cüzdan kullanarak potansiyel kayıpları azaltmak.
Limit Permit2 Yetki Miktarı: Uniswap'ta Swap işlemi yaparken yalnızca gerekli işlem tutarını yetkilendirin, fazla yetki vermekten kaçının. Eğer yetki verildiyse, güvenlik eklentisi aracılığıyla yetkiyi iptal edebilirsiniz.
Tokenin permit işlevini destekleyip desteklemediğini belirleyin: Sahip olduğunuz tokenin bu işlevi destekleyip desteklemediğine dikkat edin, permit işlevini destekleyen tokenlerin işlemlerinde ekstra dikkatli olun.
Acil Durum Planı Hazırlama: Eğer dolandırıldığınızı fark ederseniz ancak diğer platformlarda hala varlıklarınız varsa, kapsamlı bir varlık transfer planı hazırlamanız gerekir. MEV transferini kullanmayı veya profesyonel güvenlik ekiplerinden yardım almayı düşünebilirsiniz.
Permit2 uygulamasının kapsamının genişlemesiyle birlikte, buna dayalı oltalama saldırılarının sayısı giderek artabilir. Bu tür imza oltalama yöntemleri son derece gizli ve önlenmesi zor olup, kullanıcıların dikkatli olmaları, güvenlik bilincini artırmaları ve bir sonraki kurban olmaktan kaçınmaları gerekmektedir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
4
Share
Comment
0/400
BlockchainFoodie
· 07-23 09:06
bu permit2 olayı farklı vuruyor... açıkçası bir web3 degen'e zehirli trüf sunmak gibi
View OriginalReply0
YieldWhisperer
· 07-21 15:06
bu aynı saldırı modelini '18'de gördüm... bazı insanlar imza hijyenini asla öğrenmiyor smh
View OriginalReply0
SerumSquirrel
· 07-21 14:56
Balık tutma bu kadar gösterişli mi?
View OriginalReply0
SatoshiChallenger
· 07-21 14:43
Sahtecilik sonsuz tema Veriler konuşur %98 mağdur imzaladı ve gitti [冷笑]
Uniswap Permit2 imza oltalama çaylak yöntemi derinlik incelemesi ve önleme stratejileri
İmza güvenliği tekrar çan çalıyor: Uniswap Permit2 imza oltalama olayının derinlemesine analizi
Son zamanlarda, Uniswap Permit2 sözleşmesini kullanan yeni bir imza phishing yöntemi geniş bir dikkat çekti. Bu saldırı yöntemi son derece gizli ve önlenmesi zor olup, Uniswap ile etkileşimde bulunmuş adresler için risk teşkil edebilir. Bu makalede, bu yeni saldırı yöntemini derinlemesine analiz edecek ve buna karşı önleyici öneriler sunacağız.
Olayın Gelişi
Olay, bir kullanıcının (Küçük A) varlıklarının çalınmasıyla başladı. Yaygın çalınma yöntemlerinden farklı olarak, Küçük A özel anahtarını ifşa etmedi ve bir phishing sitesiyle etkileşime girmedi. Blockchain tarayıcısı aracılığıyla görülebilir ki, Küçük A cüzdanındaki USDT, Transfer From fonksiyonu aracılığıyla aktarılmıştır; bu, Token'ın bir üçüncü taraf adresi tarafından taşındığı, cüzdanın özel anahtarının ifşası değil.
Daha fazla araştırma, bu işlemin Uniswap'ın Permit2 sözleşmesiyle etkileşimde bulunduğunu ortaya koydu. Ana soru şudur: Transferi gerçekleştiren adres, varlık izinlerini nasıl elde etti? Neden Uniswap ile ilgili?
Uniswap Permit2 analizi
Uniswap Permit2, Uniswap'ın 2022'nin sonlarında tanıttığı yeni akıllı sözleşmedir. Token yetkilendirmesinin merkezi bir yönetimini sağlamayı, kullanıcı deneyimini artırmayı ve işlem maliyetlerini düşürmeyi amaçlamaktadır. Permit2, kullanıcılar ile DApp arasında bir aracı olarak hareket eder ve kullanıcının sadece Permit2 sözleşmesine bir kez yetki vermesiyle, Permit2'yi entegre eden tüm DApp'lerde bu yetki limitini paylaşmasına olanak tanır.
Bu mekanizma kullanıcı deneyimini artırsa da potansiyel riskler de getirmektedir. Geleneksel etkileşim yöntemlerinde, yetkilendirme ve fon transferi için kullanıcıların zincir üstü etkileşimde bulunması gerekmektedir. Ancak Permit2, kullanıcı işlemlerini zincir dışı imzalara dönüştürerek, tüm zincir üstü işlemleri ara birimlerin (örneğin Permit2 sözleşmesi) gerçekleştirmesini sağlar. Bu yöntem kolaylık sağlasa da, kullanıcıların imzalama aşamasında dikkatlerini dağıtmalarını daha da kolaylaştırmaktadır.
Saldırı Yöntemleri Detaylı Açıklama
Saldırganlar, Permit2 sözleşmesinin Permit fonksiyonunu kullanarak saldırı gerçekleştiriyor. Bu fonksiyon, kullanıcıların imza ile başkalarına gelecekte belirli bir zamanda kendi token'larını kullanmaları için yetki vermesine olanak tanır. Saldırı adımları aşağıdaki gibidir:
Önlem
İmza içeriğini anlama ve tanıma: Permit imza formatını, Owner, Spender, value, nonce ve deadline gibi anahtar bilgileri içerecek şekilde ayırt etmeyi öğrenin. Tanımlamaya yardımcı olması için güvenli eklentiler kullanılması önerilir.
Varlıklar ve etkileşim cüzdanlarının ayrılması: Büyük miktarda varlığı soğuk cüzdanda saklamak, günlük etkileşim için yalnızca az miktarda fon içeren sıcak cüzdan kullanarak potansiyel kayıpları azaltmak.
Limit Permit2 Yetki Miktarı: Uniswap'ta Swap işlemi yaparken yalnızca gerekli işlem tutarını yetkilendirin, fazla yetki vermekten kaçının. Eğer yetki verildiyse, güvenlik eklentisi aracılığıyla yetkiyi iptal edebilirsiniz.
Tokenin permit işlevini destekleyip desteklemediğini belirleyin: Sahip olduğunuz tokenin bu işlevi destekleyip desteklemediğine dikkat edin, permit işlevini destekleyen tokenlerin işlemlerinde ekstra dikkatli olun.
Acil Durum Planı Hazırlama: Eğer dolandırıldığınızı fark ederseniz ancak diğer platformlarda hala varlıklarınız varsa, kapsamlı bir varlık transfer planı hazırlamanız gerekir. MEV transferini kullanmayı veya profesyonel güvenlik ekiplerinden yardım almayı düşünebilirsiniz.
Permit2 uygulamasının kapsamının genişlemesiyle birlikte, buna dayalı oltalama saldırılarının sayısı giderek artabilir. Bu tür imza oltalama yöntemleri son derece gizli ve önlenmesi zor olup, kullanıcıların dikkatli olmaları, güvenlik bilincini artırmaları ve bir sonraki kurban olmaktan kaçınmaları gerekmektedir.