Révéler l'eyewash de phishing par signature Uniswap Permit2
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les équipes de projet, la nature open source du code les rend prudents lors du développement, de peur qu'une erreur ne laisse une vulnérabilité. Pour les utilisateurs individuels, si l'on ne comprend pas la signification de ses actions, chaque interaction ou signature en chaîne peut entraîner le vol d'actifs. Par conséquent, les problèmes de sécurité sont l'un des points sensibles du monde de la cryptographie. En raison des caractéristiques de la blockchain, il est presque impossible de récupérer les actifs volés, il est donc particulièrement important de posséder des connaissances en sécurité.
Récemment, un chercheur a découvert une nouvelle méthode de phishing qui peut entraîner le vol d'actifs simplement en signant. Cette méthode est extrêmement discrète et difficile à prévenir, et toutes les adresses ayant interagi avec Uniswap peuvent être exposées à des risques. Cet article vise à sensibiliser aux méthodes de phishing par signature afin de tenter d'éviter d'autres pertes d'actifs.
Développement de l'événement
Un ami a demandé de l'aide après que les actifs de son portefeuille ont été volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée et n'a pas interagi avec des contrats suspects.
L'enquête a révélé que les USDT de Xiao A ont été transférés via la fonction TransferFrom. Cela signifie qu'une adresse tierce a effectué le transfert des tokens, et non une fuite de la clé privée du portefeuille.
Détails de la transaction :
Une adresse (fd51) transfère les actifs de Xiao A à une autre adresse (a0c8)
Cette opération interagit avec le contrat Permit2 d'Uniswap.
La question clé est : comment l'adresse fd51 a-t-elle obtenu des droits d'actifs ? Pourquoi est-elle liée à Uniswap ?
Une enquête plus approfondie a révélé qu'avant le transfert d'actifs, l'adresse fd51 avait également effectué une opération Permit, et les deux opérations interagissaient avec le contrat Uniswap Permit2.
Uniswap Permit2 est un nouveau contrat lancé à la fin de 2022, visant à réaliser le partage et la gestion des autorisations de jetons entre applications, créant une expérience utilisateur plus unifiée, efficace et sécurisée. Avec l'intégration de plus en plus de projets, Permit2 devrait permettre la normalisation des autorisations de jetons, réduisant les coûts de transaction et améliorant la sécurité.
L'apparition de Permit2 pourrait changer les règles de l'écosystème Dapp. Traditionnellement, les utilisateurs devaient autoriser chaque Dapp individuellement, tandis que Permit2, en tant qu'intermédiaire, permet aux utilisateurs d'autoriser uniquement Permit2, ce qui permet à toutes les Dapp intégrées de partager cette autorisation. Cela réduit le coût d'interaction pour les utilisateurs et améliore l'expérience.
Cependant, Permit2 est également une arme à double tranchant. Il transforme les opérations des utilisateurs en signatures hors chaîne, tandis que les opérations sur la chaîne sont effectuées par un intermédiaire. Cela permet aux utilisateurs d'utiliser d'autres jetons pour payer les frais de Gas ou d'être remboursés par l'intermédiaire sans avoir besoin d'ETH, mais cela rend également les signatures hors chaîne la vulnérabilité de sécurité la plus facilement ignorée.
L'analyse montre que tant qu'il y a une interaction avec Uniswap et l'autorisation de Permit2 après 2023, il pourrait y avoir un risque de phishing. La clé réside dans la fonction Permit, qui permet aux hackers d'obtenir l'autorisation de tokens et de transférer des actifs grâce à la signature de l'utilisateur.
( Analyse détaillée de l'événement
La fonction Permit est similaire à la signature en ligne d'un contrat, permettant d'autoriser à l'avance d'autres à utiliser les jetons à l'avenir. Elle vérifie la durée de validité de la signature, valide l'authenticité de la signature, puis met à jour les enregistrements d'autorisation.
La fonction verify extrait les données v, r, s de la signature, récupère l'adresse de la signature et la compare à l'adresse du propriétaire du token. La fonction _updateApproval met à jour la valeur d'autorisation après validation.
![La signature est-elle volée ? Révélation sur l'escroquerie de phishing de signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp###
Dans les transactions réelles :
owner est l'adresse du portefeuille de Xiao A
Les détails affichent l'adresse du contrat Token autorisé et le montant.
Spender est l'adresse du hacker
sigDeadline est la période de validité de la signature
signature est l'information de signature de petit A
Le petit A avait précédemment accordé un montant presque illimité lors de l'utilisation d'Uniswap. Les hackers ont exploité cela en obtenant une signature par phishing, exécutant des opérations de Permit et TransferFrom dans le contrat Permit2 pour transférer des actifs.
Le contrat Uniswap Permit2 est actuellement devenu un point chaud pour les eyewash, avec de nombreuses interactions provenant d'adresses de phishing marquées.
( conseils de prévention
Apprenez à reconnaître le format de signature Permit, qui contient des informations clés telles que Owner, Spender, value, nonce et deadline.
![La signature a été volée ? Révélation de l'eyewash de phishing de la signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp###
Séparer le portefeuille d'actifs du portefeuille d'interaction pour réduire les pertes potentielles.
Autoriser prudemment le contrat Permit2, en autorisant uniquement le montant nécessaire ou en annulant les autorisations excessives.
Vérifiez si les tokens que vous détenez prennent en charge la fonction permit, et soyez particulièrement prudent lors des transactions avec les tokens pris en charge.
Si vous découvrez que vous avez été victime d'un eyewash mais que vous avez encore des actifs sur d'autres plateformes, vous devez établir un plan de transfert de fonds complet. Vous pouvez envisager d'utiliser le transfert MEV ou de demander l'assistance d'une équipe de sécurité professionnelle.
Avec l'expansion de l'application Permit2, le phishing basé sur celle-ci pourrait augmenter. Cette méthode de phishing par signature est discrète et difficile à détecter, et le nombre d'adresses exposées au risque augmentera également. Veuillez rester vigilant et diffuser les connaissances pertinentes pour éviter d'autres pertes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
4
Partager
Commentaire
0/400
BtcDailyResearcher
· 07-05 09:20
Il faut encore se dépêcher d'apprendre quelles mesures de sécurité.
Voir l'originalRépondre0
FloorPriceNightmare
· 07-02 16:29
À quoi ça sert d'être en sécurité si on se fait quand même voler.
Voir l'originalRépondre0
OfflineNewbie
· 07-02 16:28
Le clown, c'est moi ?
Voir l'originalRépondre0
AirdropHunterWang
· 07-02 16:15
Eh bien, nouvelle façon de jouer dans l'ancienne fosse.
Nouvelle arnaque de phishing par signature Permit2 d'Uniswap : comment identifier et prévenir le risque de vol d'actifs
Révéler l'eyewash de phishing par signature Uniswap Permit2
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les équipes de projet, la nature open source du code les rend prudents lors du développement, de peur qu'une erreur ne laisse une vulnérabilité. Pour les utilisateurs individuels, si l'on ne comprend pas la signification de ses actions, chaque interaction ou signature en chaîne peut entraîner le vol d'actifs. Par conséquent, les problèmes de sécurité sont l'un des points sensibles du monde de la cryptographie. En raison des caractéristiques de la blockchain, il est presque impossible de récupérer les actifs volés, il est donc particulièrement important de posséder des connaissances en sécurité.
Récemment, un chercheur a découvert une nouvelle méthode de phishing qui peut entraîner le vol d'actifs simplement en signant. Cette méthode est extrêmement discrète et difficile à prévenir, et toutes les adresses ayant interagi avec Uniswap peuvent être exposées à des risques. Cet article vise à sensibiliser aux méthodes de phishing par signature afin de tenter d'éviter d'autres pertes d'actifs.
Développement de l'événement
Un ami a demandé de l'aide après que les actifs de son portefeuille ont été volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée et n'a pas interagi avec des contrats suspects.
L'enquête a révélé que les USDT de Xiao A ont été transférés via la fonction TransferFrom. Cela signifie qu'une adresse tierce a effectué le transfert des tokens, et non une fuite de la clé privée du portefeuille.
Détails de la transaction :
La question clé est : comment l'adresse fd51 a-t-elle obtenu des droits d'actifs ? Pourquoi est-elle liée à Uniswap ?
Une enquête plus approfondie a révélé qu'avant le transfert d'actifs, l'adresse fd51 avait également effectué une opération Permit, et les deux opérations interagissaient avec le contrat Uniswap Permit2.
Uniswap Permit2 est un nouveau contrat lancé à la fin de 2022, visant à réaliser le partage et la gestion des autorisations de jetons entre applications, créant une expérience utilisateur plus unifiée, efficace et sécurisée. Avec l'intégration de plus en plus de projets, Permit2 devrait permettre la normalisation des autorisations de jetons, réduisant les coûts de transaction et améliorant la sécurité.
L'apparition de Permit2 pourrait changer les règles de l'écosystème Dapp. Traditionnellement, les utilisateurs devaient autoriser chaque Dapp individuellement, tandis que Permit2, en tant qu'intermédiaire, permet aux utilisateurs d'autoriser uniquement Permit2, ce qui permet à toutes les Dapp intégrées de partager cette autorisation. Cela réduit le coût d'interaction pour les utilisateurs et améliore l'expérience.
Cependant, Permit2 est également une arme à double tranchant. Il transforme les opérations des utilisateurs en signatures hors chaîne, tandis que les opérations sur la chaîne sont effectuées par un intermédiaire. Cela permet aux utilisateurs d'utiliser d'autres jetons pour payer les frais de Gas ou d'être remboursés par l'intermédiaire sans avoir besoin d'ETH, mais cela rend également les signatures hors chaîne la vulnérabilité de sécurité la plus facilement ignorée.
L'analyse montre que tant qu'il y a une interaction avec Uniswap et l'autorisation de Permit2 après 2023, il pourrait y avoir un risque de phishing. La clé réside dans la fonction Permit, qui permet aux hackers d'obtenir l'autorisation de tokens et de transférer des actifs grâce à la signature de l'utilisateur.
( Analyse détaillée de l'événement
La fonction Permit est similaire à la signature en ligne d'un contrat, permettant d'autoriser à l'avance d'autres à utiliser les jetons à l'avenir. Elle vérifie la durée de validité de la signature, valide l'authenticité de la signature, puis met à jour les enregistrements d'autorisation.
La fonction verify extrait les données v, r, s de la signature, récupère l'adresse de la signature et la compare à l'adresse du propriétaire du token. La fonction _updateApproval met à jour la valeur d'autorisation après validation.
![La signature est-elle volée ? Révélation sur l'escroquerie de phishing de signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp###
Dans les transactions réelles :
Le petit A avait précédemment accordé un montant presque illimité lors de l'utilisation d'Uniswap. Les hackers ont exploité cela en obtenant une signature par phishing, exécutant des opérations de Permit et TransferFrom dans le contrat Permit2 pour transférer des actifs.
Le contrat Uniswap Permit2 est actuellement devenu un point chaud pour les eyewash, avec de nombreuses interactions provenant d'adresses de phishing marquées.
( conseils de prévention
![La signature a été volée ? Révélation de l'eyewash de phishing de la signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp###
Séparer le portefeuille d'actifs du portefeuille d'interaction pour réduire les pertes potentielles.
Autoriser prudemment le contrat Permit2, en autorisant uniquement le montant nécessaire ou en annulant les autorisations excessives.
Vérifiez si les tokens que vous détenez prennent en charge la fonction permit, et soyez particulièrement prudent lors des transactions avec les tokens pris en charge.
Si vous découvrez que vous avez été victime d'un eyewash mais que vous avez encore des actifs sur d'autres plateformes, vous devez établir un plan de transfert de fonds complet. Vous pouvez envisager d'utiliser le transfert MEV ou de demander l'assistance d'une équipe de sécurité professionnelle.
Avec l'expansion de l'application Permit2, le phishing basé sur celle-ci pourrait augmenter. Cette méthode de phishing par signature est discrète et difficile à détecter, et le nombre d'adresses exposées au risque augmentera également. Veuillez rester vigilant et diffuser les connaissances pertinentes pour éviter d'autres pertes.