Korsanlar, Web3 ekosisteminde korkutucu bir varlık olarak kabul ediliyor. Proje sahipleri için, kodun açık kaynaklı olması, geliştirme sırasında titiz olmalarını sağlıyor, bir hata yapmaktan korkuyorlar ve bu da açıklar bırakabilir. Bireysel kullanıcılar içinse, eğer yaptıkları işlemlerin anlamını anlamıyorlarsa, her bir zincir etkileşimi veya imzası varlıkların çalınmasına neden olabilir. Bu nedenle güvenlik sorunu, kripto dünyasının en büyük sıkıntılarından biri olmuştur. Blok zincirinin özellikleri nedeniyle, çalınan varlıkların neredeyse geri alınamaz olması, güvenlik bilgisine sahip olmanın önemini artırmaktadır.
Son zamanlarda, bir araştırmacı yeni bir phishing yöntemi keşfetti; sadece imza atarak varlıkların çalınmasına neden olabiliyor. Bu yöntem son derece gizli ve önlenmesi zor olup, Uniswap ile etkileşimde bulunan adreslerin hepsi risk altında olabilir. Bu makalede bu imza phishing yöntemine dair bilgi verilecek, böylece daha fazla varlık kaybının önüne geçilmeye çalışılacak.
olayın gelişimi
Bir arkadaşım ( küçük A ) cüzdan varlıkları çalındıktan sonra yardım arıyor. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi ve şüpheli sözleşmelerle etkileşime geçmedi.
Araştırmalar, küçük A'nın USDT'sinin TransferFrom fonksiyonu aracılığıyla transfer edildiğini ortaya koydu. Bu, üçüncü taraf bir adresin token'ı transfer ettiğini, cüzdanın özel anahtarının sızdırılmadığını gösteriyor.
İşlem detayları gösteriyor:
Bir adres (fd51), küçük A'nın varlıklarını başka bir adrese (a0c8) aktarıyor.
Bu işlem Uniswap'ın Permit2 sözleşmesiyle etkileşime geçiyor.
Ana sorun şudur: fd51 adresi varlık yetkisini nasıl aldı? Neden Uniswap ile ilgili?
Daha fazla araştırma sonucunda, varlık transferinden önce fd51 adresinin bir Permit işlemi gerçekleştirdiği ve her iki işlemin de Uniswap Permit2 sözleşmesi ile etkileşimde bulunduğu tespit edilmiştir.
Uniswap Permit2, 2022'nin sonlarında piyasaya sürülen yeni bir sözleşmedir ve uygulamalar arasında token yetkilendirme paylaşımını ve yönetimini sağlamak amacıyla tasarlanmıştır, daha birleşik, verimli ve güvenli bir kullanıcı deneyimi yaratmaktadır. Daha fazla projenin entegrasyonu ile Permit2, token yetkilendirme standartlaşmasını sağlamak, işlem maliyetlerini düşürmek ve güvenliği artırmak umudundadır.
Permit2'nin ortaya çıkışı Dapp ekosistem kurallarını değiştirebilir. Geleneksel olarak, kullanıcıların her Dapp için ayrı ayrı yetki vermesi gerekirken, Permit2 bir aracılık rolü üstlenerek, kullanıcıların yalnızca Permit2'ye yetki vermesi yeterlidir ve tüm entegre Dapp'ler bu yetkiyi paylaşabilir. Bu, kullanıcı etkileşim maliyetlerini düşürerek deneyimi artırır.
Ancak, Permit2 de çift taraflı bir kılıçtır. Kullanıcı işlemlerini zincir dışı imzaya dönüştürür, zincir üzerindeki işlemler ise ara karakter tarafından gerçekleştirilir. Bu, kullanıcıların ETH olmadan diğer Token'larla Gas ödemesine veya ara karakter tarafından geri ödenmesine olanak tanırken, zincir dışı imzayı en çok göz ardı edilen bir güvenlik açığı haline getirir.
Analizler, 2023'ten sonra Uniswap ile etkileşimde bulunup Permit2'yi yetkilendirdikçe bu tür bir dolandırıcılık riskinin ortaya çıkabileceğini göstermektedir. Anahtar, kullanıcı imzası ile hackerların Token yetkisi almasına ve varlıkları transfer etmesine olanak tanıyan Permit fonksiyonundadır.
olay detaylı analizi
Permit fonksiyonu, çevrimiçi sözleşme imzalamaya benzer; başkalarının gelecekte token kullanmasına önceden yetki vermeye olanak tanır. İmza geçerlilik süresini kontrol eder, imzanın doğruluğunu doğrular ve ardından yetkilendirme kayıtlarını günceller.
verify fonksiyonu imzadan v, r, s verilerini çıkarır, imza adresini geri yükler ve token sahibinin adresi ile karşılaştırır. _updateApproval fonksiyonu ise doğrulama başarılı olduktan sonra yetki değerini günceller.
Gerçek ticarette:
owner küçük A'nın cüzdan adresi
Detaylar, yetkilendirilmiş Token sözleşme adresini ve miktarını gösterir.
Spender, bir hacker adresidir.
sigDeadline, imza geçerlilik süresidir.
signature küçük A'nın imza bilgisi
Küçük A, daha önce Uniswap kullanırken neredeyse sınırsız bir limit vermişti. Hackerlar bunu kullanarak, kimlik avı yoluyla imza alarak, Permit2 sözleşmesinde Permit ve TransferFrom işlemlerini gerçekleştirip varlık transfer etti.
Şu anda Uniswap Permit2 sözleşmesi, oltalama merkezine dönüşmüş durumda; etkileşimlerin büyük bir kısmı işaretlenmiş oltalama adreslerinden gelmektedir.
önleme önerileri
Permit imza formatını tanımayı öğrenin, Owner, Spender, value, nonce ve deadline gibi anahtar bilgileri içerir.
Varlık cüzdanı ile etkileşim cüzdanını ayırın, potansiyel kayıpları azaltın.
Permit2 sözleşmesini dikkatli bir şekilde yetkilendirin, yalnızca gerekli miktarı yetkilendirin veya fazla yetkiyi iptal edin.
Sahip olduğunuz tokenlerin permit fonksiyonunu destekleyip desteklemediğini öğrenin, destekleyen tokenlerle yapılan işlemlere özellikle dikkat edin.
Eğer bir dolandırıcılığa uğradıysanız ancak diğer platformlarda hala varlıklarınız varsa, kapsamlı bir fon transfer planı oluşturmalısınız. MEV transferi kullanmayı veya profesyonel bir güvenlik ekibinden yardım almayı düşünebilirsiniz.
Permit2 uygulamasının kapsamı genişledikçe, buna dayalı oltalama olaylarının artması muhtemeldir. Bu tür imza oltalama yöntemleri gizli ve önlenmesi zor olup, ifşa riski taşıyan adreslerin sayısı da artacaktır. Lütfen dikkatli olun ve ilgili bilgileri yayarak daha fazla kaybı önleyin.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Likes
Reward
14
4
Share
Comment
0/400
BtcDailyResearcher
· 07-05 09:20
Yine ne güvenlik önlemleri öğrenmemiz gerektiği konusunda endişelenmemiz gerekecek.
Uniswap Permit2 imza oltası yeni eyewash: Varlık çalınma riskini nasıl tanıyabilir ve önleyebilirsiniz?
Uniswap Permit2 İmza Phishing Eyewash'ını Açığa Çıkarmak
Korsanlar, Web3 ekosisteminde korkutucu bir varlık olarak kabul ediliyor. Proje sahipleri için, kodun açık kaynaklı olması, geliştirme sırasında titiz olmalarını sağlıyor, bir hata yapmaktan korkuyorlar ve bu da açıklar bırakabilir. Bireysel kullanıcılar içinse, eğer yaptıkları işlemlerin anlamını anlamıyorlarsa, her bir zincir etkileşimi veya imzası varlıkların çalınmasına neden olabilir. Bu nedenle güvenlik sorunu, kripto dünyasının en büyük sıkıntılarından biri olmuştur. Blok zincirinin özellikleri nedeniyle, çalınan varlıkların neredeyse geri alınamaz olması, güvenlik bilgisine sahip olmanın önemini artırmaktadır.
Son zamanlarda, bir araştırmacı yeni bir phishing yöntemi keşfetti; sadece imza atarak varlıkların çalınmasına neden olabiliyor. Bu yöntem son derece gizli ve önlenmesi zor olup, Uniswap ile etkileşimde bulunan adreslerin hepsi risk altında olabilir. Bu makalede bu imza phishing yöntemine dair bilgi verilecek, böylece daha fazla varlık kaybının önüne geçilmeye çalışılacak.
olayın gelişimi
Bir arkadaşım ( küçük A ) cüzdan varlıkları çalındıktan sonra yardım arıyor. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi ve şüpheli sözleşmelerle etkileşime geçmedi.
Araştırmalar, küçük A'nın USDT'sinin TransferFrom fonksiyonu aracılığıyla transfer edildiğini ortaya koydu. Bu, üçüncü taraf bir adresin token'ı transfer ettiğini, cüzdanın özel anahtarının sızdırılmadığını gösteriyor.
İşlem detayları gösteriyor:
Ana sorun şudur: fd51 adresi varlık yetkisini nasıl aldı? Neden Uniswap ile ilgili?
Daha fazla araştırma sonucunda, varlık transferinden önce fd51 adresinin bir Permit işlemi gerçekleştirdiği ve her iki işlemin de Uniswap Permit2 sözleşmesi ile etkileşimde bulunduğu tespit edilmiştir.
Uniswap Permit2, 2022'nin sonlarında piyasaya sürülen yeni bir sözleşmedir ve uygulamalar arasında token yetkilendirme paylaşımını ve yönetimini sağlamak amacıyla tasarlanmıştır, daha birleşik, verimli ve güvenli bir kullanıcı deneyimi yaratmaktadır. Daha fazla projenin entegrasyonu ile Permit2, token yetkilendirme standartlaşmasını sağlamak, işlem maliyetlerini düşürmek ve güvenliği artırmak umudundadır.
Permit2'nin ortaya çıkışı Dapp ekosistem kurallarını değiştirebilir. Geleneksel olarak, kullanıcıların her Dapp için ayrı ayrı yetki vermesi gerekirken, Permit2 bir aracılık rolü üstlenerek, kullanıcıların yalnızca Permit2'ye yetki vermesi yeterlidir ve tüm entegre Dapp'ler bu yetkiyi paylaşabilir. Bu, kullanıcı etkileşim maliyetlerini düşürerek deneyimi artırır.
Ancak, Permit2 de çift taraflı bir kılıçtır. Kullanıcı işlemlerini zincir dışı imzaya dönüştürür, zincir üzerindeki işlemler ise ara karakter tarafından gerçekleştirilir. Bu, kullanıcıların ETH olmadan diğer Token'larla Gas ödemesine veya ara karakter tarafından geri ödenmesine olanak tanırken, zincir dışı imzayı en çok göz ardı edilen bir güvenlik açığı haline getirir.
Analizler, 2023'ten sonra Uniswap ile etkileşimde bulunup Permit2'yi yetkilendirdikçe bu tür bir dolandırıcılık riskinin ortaya çıkabileceğini göstermektedir. Anahtar, kullanıcı imzası ile hackerların Token yetkisi almasına ve varlıkları transfer etmesine olanak tanıyan Permit fonksiyonundadır.
olay detaylı analizi
Permit fonksiyonu, çevrimiçi sözleşme imzalamaya benzer; başkalarının gelecekte token kullanmasına önceden yetki vermeye olanak tanır. İmza geçerlilik süresini kontrol eder, imzanın doğruluğunu doğrular ve ardından yetkilendirme kayıtlarını günceller.
verify fonksiyonu imzadan v, r, s verilerini çıkarır, imza adresini geri yükler ve token sahibinin adresi ile karşılaştırır. _updateApproval fonksiyonu ise doğrulama başarılı olduktan sonra yetki değerini günceller.
Gerçek ticarette:
Küçük A, daha önce Uniswap kullanırken neredeyse sınırsız bir limit vermişti. Hackerlar bunu kullanarak, kimlik avı yoluyla imza alarak, Permit2 sözleşmesinde Permit ve TransferFrom işlemlerini gerçekleştirip varlık transfer etti.
Şu anda Uniswap Permit2 sözleşmesi, oltalama merkezine dönüşmüş durumda; etkileşimlerin büyük bir kısmı işaretlenmiş oltalama adreslerinden gelmektedir.
önleme önerileri
Varlık cüzdanı ile etkileşim cüzdanını ayırın, potansiyel kayıpları azaltın.
Permit2 sözleşmesini dikkatli bir şekilde yetkilendirin, yalnızca gerekli miktarı yetkilendirin veya fazla yetkiyi iptal edin.
Sahip olduğunuz tokenlerin permit fonksiyonunu destekleyip desteklemediğini öğrenin, destekleyen tokenlerle yapılan işlemlere özellikle dikkat edin.
Eğer bir dolandırıcılığa uğradıysanız ancak diğer platformlarda hala varlıklarınız varsa, kapsamlı bir fon transfer planı oluşturmalısınız. MEV transferi kullanmayı veya profesyonel bir güvenlik ekibinden yardım almayı düşünebilirsiniz.
Permit2 uygulamasının kapsamı genişledikçe, buna dayalı oltalama olaylarının artması muhtemeldir. Bu tür imza oltalama yöntemleri gizli ve önlenmesi zor olup, ifşa riski taşıyan adreslerin sayısı da artacaktır. Lütfen dikkatli olun ve ilgili bilgileri yayarak daha fazla kaybı önleyin.