Hacker là một sự tồn tại đáng sợ trong hệ sinh thái Web3. Đối với các dự án, tính năng mã nguồn mở khiến họ phát triển với sự lo lắng, sợ rằng một sai sót có thể để lại lỗ hổng. Đối với người dùng cá nhân, nếu không hiểu rõ ý nghĩa của các thao tác của mình, mỗi lần tương tác trên chuỗi hoặc ký xác nhận đều có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những điểm đau của thế giới tiền điện tử. Do đặc điểm của blockchain, tài sản bị đánh cắp gần như không thể thu hồi, vì vậy việc có kiến thức về an ninh là vô cùng quan trọng.
Gần đây, một nhà nghiên cứu đã phát hiện ra một phương pháp lừa đảo mới, chỉ cần ký tên là có thể dẫn đến việc tài sản bị đánh cắp. Phương pháp này cực kỳ tinh vi và khó phòng ngừa, và những địa chỉ đã tương tác với Uniswap đều có thể đối mặt với rủi ro. Bài viết này sẽ phổ cập về phương pháp lừa đảo bằng chữ ký này, nhằm cố gắng tránh mất mát tài sản nhiều hơn.
Diễn biến sự kiện
Một người bạn ( nhỏ A ) tìm kiếm sự giúp đỡ sau khi tài sản ví của anh ấy bị đánh cắp. Khác với những cách đánh cắp thường gặp, nhỏ A không tiết lộ khóa riêng và cũng không tương tác với bất kỳ hợp đồng nghi ngờ nào.
Cuộc điều tra cho thấy, USDT của A nhỏ đã được chuyển qua hàm TransferFrom. Điều này có nghĩa là địa chỉ bên thứ ba đã thực hiện việc chuyển Token, chứ không phải là do lộ khóa riêng của ví.
Chi tiết giao dịch hiển thị:
Một địa chỉ (fd51) đã chuyển tài sản của nhỏ A đến một địa chỉ khác (a0c8)
Hành động này tương tác với hợp đồng Permit2 của Uniswap.
Câu hỏi chính là: địa chỉ fd51 đã nhận được quyền tài sản như thế nào? Tại sao lại liên quan đến Uniswap?
Điều tra sâu hơn cho thấy, trước khi chuyển giao tài sản, địa chỉ fd51 đã thực hiện một thao tác Permit, và cả hai thao tác đều tương tác với hợp đồng Uniswap Permit2.
Uniswap Permit2 là hợp đồng mới được ra mắt vào cuối năm 2022, nhằm mục đích thực hiện việc chia sẻ và quản lý quyền cấp phép token giữa các ứng dụng, tạo ra trải nghiệm người dùng thống nhất, hiệu quả và an toàn hơn. Khi có nhiều dự án tích hợp hơn, Permit2 được kỳ vọng sẽ đạt được tiêu chuẩn hóa quyền cấp phép token, giảm chi phí giao dịch và cải thiện độ an toàn.
Sự xuất hiện của Permit2 có thể thay đổi quy tắc sinh thái Dapp. Truyền thống, người dùng phải cấp quyền riêng cho từng Dapp, trong khi Permit2 hoạt động như một trung gian, người dùng chỉ cần cấp quyền cho Permit2, tất cả các Dapp tích hợp có thể chia sẻ quyền này. Điều này giảm chi phí tương tác của người dùng và nâng cao trải nghiệm.
Tuy nhiên, Permit2 cũng là một con dao hai lưỡi. Nó biến các thao tác của người dùng thành chữ ký off-chain, trong khi các thao tác on-chain được thực hiện bởi một bên trung gian. Điều này cho phép người dùng thanh toán Gas bằng các Token khác mà không cần ETH hoặc được hoàn trả bởi bên trung gian, nhưng cũng khiến chữ ký off-chain trở thành một mối nguy hiểm về an ninh dễ bị bỏ qua nhất.
Phân tích cho thấy, chỉ cần tương tác với Uniswap và ủy quyền Permit2 sau năm 2023, có thể phải đối mặt với rủi ro lừa đảo này. Điểm mấu chốt nằm ở hàm Permit, cho phép hacker lấy quyền Token thông qua chữ ký của người dùng và chuyển tài sản.
Phân tích chi tiết sự kiện
Hàm Permit tương tự như ký hợp đồng trực tuyến, cho phép ủy quyền trước cho người khác sử dụng token trong tương lai. Nó sẽ kiểm tra thời gian hiệu lực của chữ ký, xác minh tính xác thực của chữ ký, sau đó cập nhật bản ghi ủy quyền.
Hàm verify trích xuất dữ liệu v, r, s từ chữ ký, phục hồi địa chỉ chữ ký và so sánh với địa chỉ chủ sở hữu token. Hàm _updateApproval sẽ cập nhật giá trị ủy quyền sau khi xác minh thành công.
Thực tế giao dịch:
owner là địa chỉ ví của A nhỏ
Details hiển thị địa chỉ hợp đồng Token được ủy quyền và số tiền
Spender là địa chỉ hacker
sigDeadline là thời gian hiệu lực của chữ ký
signature là thông tin chữ ký của A nhỏ
Nhỏ A trước đây đã cấp cho Uniswap một hạn mức gần như vô hạn. Hacker đã lợi dụng điều này, thông qua việc lừa đảo để lấy chữ ký, thực hiện các thao tác Permit và TransferFrom trong hợp đồng Permit2 để chuyển tài sản.
Hiện tại hợp đồng Uniswap Permit2 đã trở thành điểm nóng của trò lừa bịp, lượng tương tác lớn đến từ các địa chỉ lừa đảo đã được đánh dấu.
đề xuất phòng ngừa
Học cách nhận diện định dạng chữ ký Permit, bao gồm Owner, Spender, value, nonce và deadline cùng các thông tin quan trọng khác.
Sử dụng ví tài sản và ví tương tác tách biệt, giảm thiểu tổn thất tiềm ẩn.
Cẩn thận ủy quyền hợp đồng Permit2, chỉ ủy quyền số tiền cần thiết hoặc hủy bỏ ủy quyền dư thừa.
Tìm hiểu xem các token đang nắm giữ có hỗ trợ chức năng permit hay không, cần đặc biệt cẩn thận với các giao dịch của những token được hỗ trợ.
Nếu phát hiện bị lừa nhưng vẫn có tài sản trên các nền tảng khác, cần lập kế hoạch chuyển tiền hoàn chỉnh, có thể xem xét sử dụng MEV để chuyển tiền hoặc tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp.
Khi phạm vi ứng dụng của Permit2 mở rộng, việc lừa đảo dựa trên nó có thể gia tăng. Phương thức lừa đảo bằng chữ ký này rất tinh vi và khó phòng ngừa, các địa chỉ có nguy cơ bị lộ cũng sẽ tăng lên. Hãy nâng cao cảnh giác và lan truyền kiến thức liên quan để tránh thiệt hại nhiều hơn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
14 thích
Phần thưởng
14
4
Chia sẻ
Bình luận
0/400
BtcDailyResearcher
· 07-05 09:20
Lại phải vội vàng học các biện pháp an toàn gì nữa rồi.
Chiêu lừa đảo mới trong việc ký tên Permit2 của Uniswap: Cách nhận diện và phòng ngừa rủi ro bị đánh cắp tài sản
Hé lộ trò lừa bịp ký tên Permit2 Uniswap
Hacker là một sự tồn tại đáng sợ trong hệ sinh thái Web3. Đối với các dự án, tính năng mã nguồn mở khiến họ phát triển với sự lo lắng, sợ rằng một sai sót có thể để lại lỗ hổng. Đối với người dùng cá nhân, nếu không hiểu rõ ý nghĩa của các thao tác của mình, mỗi lần tương tác trên chuỗi hoặc ký xác nhận đều có thể dẫn đến việc tài sản bị đánh cắp. Do đó, vấn đề an ninh luôn là một trong những điểm đau của thế giới tiền điện tử. Do đặc điểm của blockchain, tài sản bị đánh cắp gần như không thể thu hồi, vì vậy việc có kiến thức về an ninh là vô cùng quan trọng.
Gần đây, một nhà nghiên cứu đã phát hiện ra một phương pháp lừa đảo mới, chỉ cần ký tên là có thể dẫn đến việc tài sản bị đánh cắp. Phương pháp này cực kỳ tinh vi và khó phòng ngừa, và những địa chỉ đã tương tác với Uniswap đều có thể đối mặt với rủi ro. Bài viết này sẽ phổ cập về phương pháp lừa đảo bằng chữ ký này, nhằm cố gắng tránh mất mát tài sản nhiều hơn.
Diễn biến sự kiện
Một người bạn ( nhỏ A ) tìm kiếm sự giúp đỡ sau khi tài sản ví của anh ấy bị đánh cắp. Khác với những cách đánh cắp thường gặp, nhỏ A không tiết lộ khóa riêng và cũng không tương tác với bất kỳ hợp đồng nghi ngờ nào.
Cuộc điều tra cho thấy, USDT của A nhỏ đã được chuyển qua hàm TransferFrom. Điều này có nghĩa là địa chỉ bên thứ ba đã thực hiện việc chuyển Token, chứ không phải là do lộ khóa riêng của ví.
Chi tiết giao dịch hiển thị:
Câu hỏi chính là: địa chỉ fd51 đã nhận được quyền tài sản như thế nào? Tại sao lại liên quan đến Uniswap?
Điều tra sâu hơn cho thấy, trước khi chuyển giao tài sản, địa chỉ fd51 đã thực hiện một thao tác Permit, và cả hai thao tác đều tương tác với hợp đồng Uniswap Permit2.
Uniswap Permit2 là hợp đồng mới được ra mắt vào cuối năm 2022, nhằm mục đích thực hiện việc chia sẻ và quản lý quyền cấp phép token giữa các ứng dụng, tạo ra trải nghiệm người dùng thống nhất, hiệu quả và an toàn hơn. Khi có nhiều dự án tích hợp hơn, Permit2 được kỳ vọng sẽ đạt được tiêu chuẩn hóa quyền cấp phép token, giảm chi phí giao dịch và cải thiện độ an toàn.
Sự xuất hiện của Permit2 có thể thay đổi quy tắc sinh thái Dapp. Truyền thống, người dùng phải cấp quyền riêng cho từng Dapp, trong khi Permit2 hoạt động như một trung gian, người dùng chỉ cần cấp quyền cho Permit2, tất cả các Dapp tích hợp có thể chia sẻ quyền này. Điều này giảm chi phí tương tác của người dùng và nâng cao trải nghiệm.
Tuy nhiên, Permit2 cũng là một con dao hai lưỡi. Nó biến các thao tác của người dùng thành chữ ký off-chain, trong khi các thao tác on-chain được thực hiện bởi một bên trung gian. Điều này cho phép người dùng thanh toán Gas bằng các Token khác mà không cần ETH hoặc được hoàn trả bởi bên trung gian, nhưng cũng khiến chữ ký off-chain trở thành một mối nguy hiểm về an ninh dễ bị bỏ qua nhất.
Phân tích cho thấy, chỉ cần tương tác với Uniswap và ủy quyền Permit2 sau năm 2023, có thể phải đối mặt với rủi ro lừa đảo này. Điểm mấu chốt nằm ở hàm Permit, cho phép hacker lấy quyền Token thông qua chữ ký của người dùng và chuyển tài sản.
Phân tích chi tiết sự kiện
Hàm Permit tương tự như ký hợp đồng trực tuyến, cho phép ủy quyền trước cho người khác sử dụng token trong tương lai. Nó sẽ kiểm tra thời gian hiệu lực của chữ ký, xác minh tính xác thực của chữ ký, sau đó cập nhật bản ghi ủy quyền.
Hàm verify trích xuất dữ liệu v, r, s từ chữ ký, phục hồi địa chỉ chữ ký và so sánh với địa chỉ chủ sở hữu token. Hàm _updateApproval sẽ cập nhật giá trị ủy quyền sau khi xác minh thành công.
Thực tế giao dịch:
Nhỏ A trước đây đã cấp cho Uniswap một hạn mức gần như vô hạn. Hacker đã lợi dụng điều này, thông qua việc lừa đảo để lấy chữ ký, thực hiện các thao tác Permit và TransferFrom trong hợp đồng Permit2 để chuyển tài sản.
Hiện tại hợp đồng Uniswap Permit2 đã trở thành điểm nóng của trò lừa bịp, lượng tương tác lớn đến từ các địa chỉ lừa đảo đã được đánh dấu.
đề xuất phòng ngừa
Sử dụng ví tài sản và ví tương tác tách biệt, giảm thiểu tổn thất tiềm ẩn.
Cẩn thận ủy quyền hợp đồng Permit2, chỉ ủy quyền số tiền cần thiết hoặc hủy bỏ ủy quyền dư thừa.
Tìm hiểu xem các token đang nắm giữ có hỗ trợ chức năng permit hay không, cần đặc biệt cẩn thận với các giao dịch của những token được hỗ trợ.
Nếu phát hiện bị lừa nhưng vẫn có tài sản trên các nền tảng khác, cần lập kế hoạch chuyển tiền hoàn chỉnh, có thể xem xét sử dụng MEV để chuyển tiền hoặc tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp.
Khi phạm vi ứng dụng của Permit2 mở rộng, việc lừa đảo dựa trên nó có thể gia tăng. Phương thức lừa đảo bằng chữ ký này rất tinh vi và khó phòng ngừa, các địa chỉ có nguy cơ bị lộ cũng sẽ tăng lên. Hãy nâng cao cảnh giác và lan truyền kiến thức liên quan để tránh thiệt hại nhiều hơn.