الهاكرز هم وجود مخيف في نظام Web3 البيئي. بالنسبة للمشاريع، فإن خاصية الشيفرة المصدرية المفتوحة تجعلهم يتطورون بقلق شديد، خوفًا من أن يؤدي خطأ واحد إلى ترك ثغرة. بالنسبة للمستخدمين الأفراد، إذا لم يفهموا معنى عملياتهم، فإن كل تفاعل أو توقيع على السلسلة قد يؤدي إلى سرقة الأصول. لذلك، كانت مشكلة الأمان واحدة من أكثر النقاط ضعفًا في عالم التشفير. نظرًا لخصائص البلوكشين، فإن الأصول المسروقة تكاد تكون غير قابلة للاسترداد، لذا فإن معرفة الأمان تعتبر مهمة جدًا.
في الآونة الأخيرة، اكتشف أحد الباحثين طريقة جديدة للاحتيال، حيث يكفي التوقيع لسرقة الأصول. هذه الطريقة خفية للغاية وصعبة الوقاية، كما أن أي عنوان تفاعل مع Uniswap قد يواجه خطرًا. ستتناول هذه المقالة توعية حول هذه الطريقة الاحتيالية القائمة على التوقيع، لتجنب المزيد من خسائر الأصول.
تفاصيل الحدث
صديق طلب المساعدة بعد سرقة أموال محفظته (. على عكس طرق السرقة الشائعة، لم يقم صغير A بكشف المفتاح الخاص، ولم يتفاعل مع أي عقد مشبوه.
أظهرت التحقيقات أن USDT الخاص بـ A الصغيرة تم نقله من خلال دالة TransferFrom. هذا يعني أن عنوان طرف ثالث هو الذي قام بعملية نقل الرمز، وليس تسرب مفتاح المحفظة الخاص.
تفاصيل الصفقة تظهر:
عنوان )fd51( قام بنقل أصول 小A إلى عنوان آخر )a0c8(
هذه العملية تتفاعل مع عقد Permit2 الخاص بـ Uniswap
السؤال الرئيسي هو: كيف حصل عنوان fd51 على صلاحيات الأصول؟ ولماذا يتعلق الأمر بـ Uniswap؟
أظهرت التحقيقات المتقدمة أنه قبل نقل الأصول، أجرت عنوان fd51 عملية تصريح، وكانت العمليتان تتفاعلان مع عقد Uniswap Permit2.
Uniswap Permit2 هو عقد جديد تم طرحه في نهاية عام 2022، يهدف إلى تحقيق مشاركة وإدارة تفويضات الرموز عبر التطبيقات، مما يخلق تجربة مستخدم أكثر اتساقًا وكفاءة وأمانًا. مع تكامل المزيد من المشاريع، من المتوقع أن يحقق Permit2 معيار تفويض الرموز، مما يقلل من تكاليف المعاملات ويزيد من الأمان.
ظهور Permit2 قد يغير قواعد بيئة Dapp. تقليديًا، يحتاج المستخدم إلى منح إذن لكل Dapp على حدة، بينما يعمل Permit2 كوسيط، حيث يحتاج المستخدم فقط لمنح الإذن لـ Permit2، ويمكن لجميع Dapp المدمجة مشاركة الإذن. هذا يقلل من تكلفة تفاعل المستخدم ويعزز التجربة.
![هل تم سرقة التوقيع؟ كشف عن تضليل توقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
ومع ذلك، فإن Permit2 هو أيضًا سلاح ذو حدين. إنه يحول عمليات المستخدم إلى توقيع خارج السلسلة، بينما يتم تنفيذ العمليات على السلسلة بواسطة شخصية وسيطة. وهذا يسمح للمستخدمين باستخدام رموز أخرى لدفع رسوم الغاز أو تعويضها من قبل الشخصية الوسيطة دون الحاجة إلى ETH، ولكنه يجعل توقيع خارج السلسلة هو أكثر نقطة ضعف يمكن تجاهلها من الناحية الأمنية.
تشير التحليلات إلى أنه كلما تم التفاعل مع Uniswap بعد عام 2023 وتفويض Permit2، قد يواجه المستخدمون هذا الخطر من الاحتيال. المفتاح هنا هو دالة Permit، التي تسمح للقراصنة بالحصول على صلاحيات التوكن ونقل الأصول من خلال توقيع المستخدم.
) تحليل تفصيلي للحدث
وظيفة Permit تشبه التوقيع على عقد عبر الإنترنت، حيث تسمح بتفويض الآخرين لاستخدام الرموز في المستقبل. ستتحقق من صلاحية التوقيع، وتتحقق من صحة التوقيع، ثم تقوم بتحديث سجل التفويض.
تستخرج دالة verify القيم v و r و s من التوقيع، وتستعيد عنوان التوقيع وتقارنه بعنوان مالك الرمز. بينما تقوم دالة _updateApproval بتحديث قيمة التفويض بعد التحقق الناجح.
تفاصيل تظهر عنوان العقد والمبلغ المصرح بهما للتوكن
Spender هو عنوان القراصنة
sigDeadline هو فترة صلاحية التوقيع
signature هو معلومات توقيع صغير A
استخدمت الصغيرة A سابقًا Uniswap ومنحت حدًا شبه غير محدود. استغل القراصنة ذلك، من خلال التصيد للحصول على التوقيع، لتنفيذ عمليات Permit و TransferFrom في عقد Permit2 لنقل الأصول.
تعلم كيفية التعرف على تنسيق توقيع Permit، والذي يتضمن معلومات رئيسية مثل Owner و Spender و value و nonce و deadline.
![هل تم سرقة التوقيع؟ كشف حيلة تصيد توقيع Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
استخدم محفظة الأصول ومحفظة التفاعل بشكل منفصل، لتقليل الخسائر المحتملة.
كن حذرًا عند تفويض عقد Permit2، وقم بتفويض المبلغ الضروري فقط أو قم بإلغاء التفويضات الزائدة.
تحقق مما إذا كانت الرموز التي تمتلكها تدعم وظيفة الإذن، يجب أن تكون حذرًا بشكل خاص عند تداول الرموز المدعومة.
إذا اكتشفت أنك تعرضت للتضليل ولكن لا تزال لديك أصول على منصات أخرى، يجب وضع خطة شاملة لتحويل الأموال، ويمكن النظر في استخدام التحويل MEV أو طلب المساعدة من فريق أمان محترف.
مع توسيع نطاق تطبيق Permit2، قد تزداد عمليات الاحتيال القائمة عليه. إن طريقة الاحتيال بالتوقيع هذه خفية وصعبة الدفاع ضدها، كما ستزداد العناوين المعرضة للخطر. يرجى توخي الحذر ونشر المعرفة ذات الصلة لتجنب المزيد من الخسائر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
احتيال جديد لتصيد توقيعات Uniswap Permit2: كيفية التعرف على المخاطر ووقاية سرقة الأصول
كشف خدعة توقيع Uniswap Permit2
الهاكرز هم وجود مخيف في نظام Web3 البيئي. بالنسبة للمشاريع، فإن خاصية الشيفرة المصدرية المفتوحة تجعلهم يتطورون بقلق شديد، خوفًا من أن يؤدي خطأ واحد إلى ترك ثغرة. بالنسبة للمستخدمين الأفراد، إذا لم يفهموا معنى عملياتهم، فإن كل تفاعل أو توقيع على السلسلة قد يؤدي إلى سرقة الأصول. لذلك، كانت مشكلة الأمان واحدة من أكثر النقاط ضعفًا في عالم التشفير. نظرًا لخصائص البلوكشين، فإن الأصول المسروقة تكاد تكون غير قابلة للاسترداد، لذا فإن معرفة الأمان تعتبر مهمة جدًا.
في الآونة الأخيرة، اكتشف أحد الباحثين طريقة جديدة للاحتيال، حيث يكفي التوقيع لسرقة الأصول. هذه الطريقة خفية للغاية وصعبة الوقاية، كما أن أي عنوان تفاعل مع Uniswap قد يواجه خطرًا. ستتناول هذه المقالة توعية حول هذه الطريقة الاحتيالية القائمة على التوقيع، لتجنب المزيد من خسائر الأصول.
تفاصيل الحدث
صديق طلب المساعدة بعد سرقة أموال محفظته (. على عكس طرق السرقة الشائعة، لم يقم صغير A بكشف المفتاح الخاص، ولم يتفاعل مع أي عقد مشبوه.
أظهرت التحقيقات أن USDT الخاص بـ A الصغيرة تم نقله من خلال دالة TransferFrom. هذا يعني أن عنوان طرف ثالث هو الذي قام بعملية نقل الرمز، وليس تسرب مفتاح المحفظة الخاص.
تفاصيل الصفقة تظهر:
السؤال الرئيسي هو: كيف حصل عنوان fd51 على صلاحيات الأصول؟ ولماذا يتعلق الأمر بـ Uniswap؟
أظهرت التحقيقات المتقدمة أنه قبل نقل الأصول، أجرت عنوان fd51 عملية تصريح، وكانت العمليتان تتفاعلان مع عقد Uniswap Permit2.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Uniswap Permit2 هو عقد جديد تم طرحه في نهاية عام 2022، يهدف إلى تحقيق مشاركة وإدارة تفويضات الرموز عبر التطبيقات، مما يخلق تجربة مستخدم أكثر اتساقًا وكفاءة وأمانًا. مع تكامل المزيد من المشاريع، من المتوقع أن يحقق Permit2 معيار تفويض الرموز، مما يقلل من تكاليف المعاملات ويزيد من الأمان.
ظهور Permit2 قد يغير قواعد بيئة Dapp. تقليديًا، يحتاج المستخدم إلى منح إذن لكل Dapp على حدة، بينما يعمل Permit2 كوسيط، حيث يحتاج المستخدم فقط لمنح الإذن لـ Permit2، ويمكن لجميع Dapp المدمجة مشاركة الإذن. هذا يقلل من تكلفة تفاعل المستخدم ويعزز التجربة.
![هل تم سرقة التوقيع؟ كشف عن تضليل توقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
ومع ذلك، فإن Permit2 هو أيضًا سلاح ذو حدين. إنه يحول عمليات المستخدم إلى توقيع خارج السلسلة، بينما يتم تنفيذ العمليات على السلسلة بواسطة شخصية وسيطة. وهذا يسمح للمستخدمين باستخدام رموز أخرى لدفع رسوم الغاز أو تعويضها من قبل الشخصية الوسيطة دون الحاجة إلى ETH، ولكنه يجعل توقيع خارج السلسلة هو أكثر نقطة ضعف يمكن تجاهلها من الناحية الأمنية.
تشير التحليلات إلى أنه كلما تم التفاعل مع Uniswap بعد عام 2023 وتفويض Permit2، قد يواجه المستخدمون هذا الخطر من الاحتيال. المفتاح هنا هو دالة Permit، التي تسمح للقراصنة بالحصول على صلاحيات التوكن ونقل الأصول من خلال توقيع المستخدم.
) تحليل تفصيلي للحدث
وظيفة Permit تشبه التوقيع على عقد عبر الإنترنت، حيث تسمح بتفويض الآخرين لاستخدام الرموز في المستقبل. ستتحقق من صلاحية التوقيع، وتتحقق من صحة التوقيع، ثم تقوم بتحديث سجل التفويض.
تستخرج دالة verify القيم v و r و s من التوقيع، وتستعيد عنوان التوقيع وتقارنه بعنوان مالك الرمز. بينما تقوم دالة _updateApproval بتحديث قيمة التفويض بعد التحقق الناجح.
![تمت سرقة التوقيع؟ كشف النقاب عن خدعة تصيد توقيع Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
في المعاملات الفعلية:
استخدمت الصغيرة A سابقًا Uniswap ومنحت حدًا شبه غير محدود. استغل القراصنة ذلك، من خلال التصيد للحصول على التوقيع، لتنفيذ عمليات Permit و TransferFrom في عقد Permit2 لنقل الأصول.
![توقيعك يتعرض للسرقة؟ كشف خدعة تصيد توقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
حالياً، أصبح عقد Uniswap Permit2 نقطة جذب للتضليل، حيث يأتي عدد كبير من التفاعلات من عناوين التضليل المحددة.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
) نصائح للوقاية
![هل تم سرقة التوقيع؟ كشف حيلة تصيد توقيع Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
استخدم محفظة الأصول ومحفظة التفاعل بشكل منفصل، لتقليل الخسائر المحتملة.
كن حذرًا عند تفويض عقد Permit2، وقم بتفويض المبلغ الضروري فقط أو قم بإلغاء التفويضات الزائدة.
تحقق مما إذا كانت الرموز التي تمتلكها تدعم وظيفة الإذن، يجب أن تكون حذرًا بشكل خاص عند تداول الرموز المدعومة.
إذا اكتشفت أنك تعرضت للتضليل ولكن لا تزال لديك أصول على منصات أخرى، يجب وضع خطة شاملة لتحويل الأموال، ويمكن النظر في استخدام التحويل MEV أو طلب المساعدة من فريق أمان محترف.
مع توسيع نطاق تطبيق Permit2، قد تزداد عمليات الاحتيال القائمة عليه. إن طريقة الاحتيال بالتوقيع هذه خفية وصعبة الدفاع ضدها، كما ستزداد العناوين المعرضة للخطر. يرجى توخي الحذر ونشر المعرفة ذات الصلة لتجنب المزيد من الخسائر.