Dévoiler le piège de phishing par signature Permit2 d'Uniswap
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les équipes de projet, le code source ouvert suscite des inquiétudes quant à chaque ligne de code pouvant contenir des vulnérabilités. Pour les utilisateurs individuels, si l'on ne comprend pas la signification des opérations, chaque interaction ou signature sur la chaîne peut entraîner le vol d'actifs. Ainsi, les problèmes de sécurité ont toujours été l'un des points sensibles du monde de la cryptographie. En raison des caractéristiques de la blockchain, une fois que des actifs sont volés, il est presque impossible de les récupérer, il est donc particulièrement important de maîtriser les connaissances en matière de sécurité.
Récemment, une nouvelle méthode de phishing a été découverte, où il suffit de signer pour se faire voler, la méthode étant discrète et difficile à prévenir. Les adresses ayant interagi avec certains DEX peuvent être à risque. Cet article expliquera cette méthode de phishing par signature afin d'éviter davantage de pertes d'actifs.
déroulement de l'événement
Récemment, un ami (, petit A ) a eu ses actifs de portefeuille volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée et n'a pas non plus interagi avec des contrats de sites de phishing.
Le navigateur blockchain indique que les USDT volés de Xiao A ont été transférés par la fonction Transfer From. Cela signifie qu'une autre adresse a effectué le transfert du Token, et non une fuite de la clé privée du portefeuille.
Détails de la transaction :
L'adresse se terminant par fd51 a transféré les actifs de Xiao A à l'adresse se terminant par a0c8.
Cette opération interagit avec le contrat Permit2 d'un certain DEX.
La question clé est : comment obtenir les droits d'actif pour l'adresse se terminant par fd51 ? Pourquoi est-ce lié à un DEX ?
Pour examiner davantage les enregistrements d'interaction de l'adresse se terminant par fd51, avant de transférer les actifs de petit A, cette adresse a effectué des opérations de Permis, et les deux opérations ont interagi avec le contrat Permit2 d'un certain DEX.
Le contrat Permit2 est un nouveau contrat lancé par un DEX à la fin de 2022. Il permet l'autorisation de jetons pour le partage et la gestion entre différentes applications, dans le but de créer une expérience utilisateur plus unifiée, moins coûteuse et plus sécurisée. À l'avenir, avec l'intégration de plus de projets, Permit2 pourra réaliser l'approbation de jetons standardisée entre applications.
Dans les méthodes d'interaction traditionnelles, chaque fois qu'un utilisateur interagit avec un Dapp, il doit donner une autorisation distincte. Permit2 agit en tant qu'intermédiaire, permettant à l'utilisateur de n'autoriser que le contrat Permit2, et tous les Dapp intégrant Permit2 peuvent partager le quota d'autorisation. Cela réduit le coût d'interaction pour l'utilisateur et améliore l'expérience.
Mais Permit2 est également une arme à double tranchant. Il transforme les opérations des utilisateurs en signatures hors chaîne, tandis que les opérations sur la chaîne sont effectuées par un intermédiaire. Cela permet même si le portefeuille de l'utilisateur n'a pas d'ETH, d'utiliser d'autres tokens pour payer les frais de gaz ou d'être remboursé par un intermédiaire. Cependant, la signature hors chaîne est l'étape que les utilisateurs ont le plus tendance à ignorer.
Pour déclencher cette méthode de phishing, la condition clé est que le portefeuille doit autoriser le contrat Permit2. Actuellement, il est nécessaire d'autoriser le contrat Permit2 chaque fois que vous effectuez un échange sur une Dapp intégrant Permit2. Ce qui est encore plus alarmant, c'est que peu importe le montant de l'échange, le contrat Permit2 obligera par défaut les utilisateurs à autoriser le solde total de ce Token.
Cela signifie que tant qu'il y a une interaction avec un DEX après 2023 et une autorisation donnée au contrat Permit2, il est possible d'être exposé à ce risque de phishing. Les hackers exploitent la fonction Permit pour transférer le montant de Token autorisé à Permit2 vers d'autres adresses via la signature de l'utilisateur.
Analyse détaillée de l'événement
La fonction Permit permet de signer à l'avance un "contrat", autorisant d'autres à utiliser à l'avenir un certain nombre de jetons. Elle nécessite une signature pour vérifier l'authenticité de l'autorisation.
Flux de travail des fonctions:
Vérifiez si l'heure actuelle dépasse la période de validité de la signature
Vérifier l'authenticité de la signature
Mettre à jour l'enregistrement d'autorisation après le passage
L'accent est mis sur la fonction verify et la fonction _updateApproval.
La fonction verify récupère les données v, r, s à partir des informations de signature, restaure l'adresse de signature et la compare à l'adresse fournie. La fonction _updateApproval met à jour la valeur d'autorisation après vérification.
Détails de la transaction réelle :
owner est l'adresse du portefeuille de Xiao A
Le Token autorisé est USDT
Spender est l'adresse de hacker se terminant par fd51
sigDeadline est la durée de validité de la signature
signature est l'information de signature de petit A
Petit A avait précédemment cliqué sur le montant d'autorisation illimité par défaut lors de l'utilisation d'un certain DEX.
Résumé du processus : A a précédemment autorisé à Permit2 un montant illimité de USDT, puis est tombé accidentellement dans un piège de signature conçu par des hackers. Les hackers ont utilisé la signature pour effectuer des opérations de Permit et Transfer From dans le contrat Permit2 afin de transférer des actifs. Actuellement, le contrat Permit2 de ce DEX est devenu une zone de pêche aux informations.
Comment se prémunir?
Comprendre et identifier le contenu de la signature : apprendre à reconnaître le format de signature Permit, qui comprend des informations clés telles que le propriétaire, le dépensier, la valeur, le nonce et la date limite.
Séparer les actifs et le portefeuille d'interaction : stocker les gros actifs dans un portefeuille froid, le portefeuille d'interaction ne conservera qu'un montant limité de fonds.
Limiter le montant d'autorisation Permit2 ou annuler l'autorisation : autoriser uniquement le montant de la transaction nécessaire, ou utiliser un plugin de sécurité pour annuler l'autorisation.
Vérifiez si le jeton prend en charge la fonction de permis : faites attention à savoir si le jeton que vous détenez prend en charge cette fonction et soyez particulièrement prudent dans les transactions connexes.
Élaborer un plan de sauvetage des actifs complet : s'il reste des actifs sur d'autres plateformes après un vol, il faut les retirer et les transférer avec précaution, en envisageant d'utiliser le transfert MEV ou de solliciter l'aide d'une équipe de sécurité professionnelle.
L'avenir des phishing basé sur Permit2 pourrait augmenter. Cette méthode de phishing par signature est discrète et difficile à prévenir, et avec l'expansion de l'application de Permit2, le nombre d'adresses exposées aux risques augmentera également. J'espère que les lecteurs partageront cet article pour éviter que d'autres ne subissent des pertes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
10
Reposter
Partager
Commentaire
0/400
MoonMathMagic
· Il y a 13h
Cette signature est vraiment terrifiante, les joueurs de DEX sont en difficulté.
Voir l'originalRépondre0
TestnetNomad
· 08-15 10:46
J'ai perdu plusieurs centaines de dollars en jouant sur un DEX, c'est vraiment injuste.
Voir l'originalRépondre0
NullWhisperer
· 08-15 00:09
techniquement parlant, permit2 n'est qu'un autre vecteur d'attaque en attente de se produire...
Voir l'originalRépondre0
ShibaMillionairen't
· 08-14 15:17
La signature a été volée, n'est-ce pas ? Pratiquez plus avec les légumes.
Voir l'originalRépondre0
ImpermanentPhilosopher
· 08-14 04:10
Les pigeons qui signent en une seconde ont-ils vraiment le droit d'étudier la pêche ?
Voir l'originalRépondre0
DataOnlooker
· 08-14 04:08
La signature a été volée ? C'est vraiment dangereux.
Voir l'originalRépondre0
LiquidationSurvivor
· 08-14 04:06
Encore une nouvelle eyewash... Il semble qu'il faille faire plus attention aux risques d'adresse.
Voir l'originalRépondre0
TokenStorm
· 08-14 04:04
Vous signez toujours bêtement ? D'après les données off-chain, cette combinaison de permit2 peut réduire de 80% les pigeons.
Voir l'originalRépondre0
GameFiCritic
· 08-14 03:55
Tous les éléments de la signature ont été donnés à des pêcheurs, et ils disent qu'ils savent opérer. Je meurs de rire.
Voir l'originalRépondre0
UnluckyValidator
· 08-14 03:48
Il semble qu'il faille encore faire attention aux DEX. Réfléchissez bien avant d'interagir.
Alerte de phishing sur la signature de contrat Uniswap Permit2 : informations à connaître pour prévenir les pertes d'actifs
Dévoiler le piège de phishing par signature Permit2 d'Uniswap
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les équipes de projet, le code source ouvert suscite des inquiétudes quant à chaque ligne de code pouvant contenir des vulnérabilités. Pour les utilisateurs individuels, si l'on ne comprend pas la signification des opérations, chaque interaction ou signature sur la chaîne peut entraîner le vol d'actifs. Ainsi, les problèmes de sécurité ont toujours été l'un des points sensibles du monde de la cryptographie. En raison des caractéristiques de la blockchain, une fois que des actifs sont volés, il est presque impossible de les récupérer, il est donc particulièrement important de maîtriser les connaissances en matière de sécurité.
Récemment, une nouvelle méthode de phishing a été découverte, où il suffit de signer pour se faire voler, la méthode étant discrète et difficile à prévenir. Les adresses ayant interagi avec certains DEX peuvent être à risque. Cet article expliquera cette méthode de phishing par signature afin d'éviter davantage de pertes d'actifs.
déroulement de l'événement
Récemment, un ami (, petit A ) a eu ses actifs de portefeuille volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée et n'a pas non plus interagi avec des contrats de sites de phishing.
Le navigateur blockchain indique que les USDT volés de Xiao A ont été transférés par la fonction Transfer From. Cela signifie qu'une autre adresse a effectué le transfert du Token, et non une fuite de la clé privée du portefeuille.
Détails de la transaction :
La question clé est : comment obtenir les droits d'actif pour l'adresse se terminant par fd51 ? Pourquoi est-ce lié à un DEX ?
Pour examiner davantage les enregistrements d'interaction de l'adresse se terminant par fd51, avant de transférer les actifs de petit A, cette adresse a effectué des opérations de Permis, et les deux opérations ont interagi avec le contrat Permit2 d'un certain DEX.
Le contrat Permit2 est un nouveau contrat lancé par un DEX à la fin de 2022. Il permet l'autorisation de jetons pour le partage et la gestion entre différentes applications, dans le but de créer une expérience utilisateur plus unifiée, moins coûteuse et plus sécurisée. À l'avenir, avec l'intégration de plus de projets, Permit2 pourra réaliser l'approbation de jetons standardisée entre applications.
Dans les méthodes d'interaction traditionnelles, chaque fois qu'un utilisateur interagit avec un Dapp, il doit donner une autorisation distincte. Permit2 agit en tant qu'intermédiaire, permettant à l'utilisateur de n'autoriser que le contrat Permit2, et tous les Dapp intégrant Permit2 peuvent partager le quota d'autorisation. Cela réduit le coût d'interaction pour l'utilisateur et améliore l'expérience.
Mais Permit2 est également une arme à double tranchant. Il transforme les opérations des utilisateurs en signatures hors chaîne, tandis que les opérations sur la chaîne sont effectuées par un intermédiaire. Cela permet même si le portefeuille de l'utilisateur n'a pas d'ETH, d'utiliser d'autres tokens pour payer les frais de gaz ou d'être remboursé par un intermédiaire. Cependant, la signature hors chaîne est l'étape que les utilisateurs ont le plus tendance à ignorer.
Pour déclencher cette méthode de phishing, la condition clé est que le portefeuille doit autoriser le contrat Permit2. Actuellement, il est nécessaire d'autoriser le contrat Permit2 chaque fois que vous effectuez un échange sur une Dapp intégrant Permit2. Ce qui est encore plus alarmant, c'est que peu importe le montant de l'échange, le contrat Permit2 obligera par défaut les utilisateurs à autoriser le solde total de ce Token.
Cela signifie que tant qu'il y a une interaction avec un DEX après 2023 et une autorisation donnée au contrat Permit2, il est possible d'être exposé à ce risque de phishing. Les hackers exploitent la fonction Permit pour transférer le montant de Token autorisé à Permit2 vers d'autres adresses via la signature de l'utilisateur.
Analyse détaillée de l'événement
La fonction Permit permet de signer à l'avance un "contrat", autorisant d'autres à utiliser à l'avenir un certain nombre de jetons. Elle nécessite une signature pour vérifier l'authenticité de l'autorisation.
Flux de travail des fonctions:
L'accent est mis sur la fonction verify et la fonction _updateApproval.
La fonction verify récupère les données v, r, s à partir des informations de signature, restaure l'adresse de signature et la compare à l'adresse fournie. La fonction _updateApproval met à jour la valeur d'autorisation après vérification.
Détails de la transaction réelle :
Petit A avait précédemment cliqué sur le montant d'autorisation illimité par défaut lors de l'utilisation d'un certain DEX.
Résumé du processus : A a précédemment autorisé à Permit2 un montant illimité de USDT, puis est tombé accidentellement dans un piège de signature conçu par des hackers. Les hackers ont utilisé la signature pour effectuer des opérations de Permit et Transfer From dans le contrat Permit2 afin de transférer des actifs. Actuellement, le contrat Permit2 de ce DEX est devenu une zone de pêche aux informations.
Comment se prémunir?
Séparer les actifs et le portefeuille d'interaction : stocker les gros actifs dans un portefeuille froid, le portefeuille d'interaction ne conservera qu'un montant limité de fonds.
Limiter le montant d'autorisation Permit2 ou annuler l'autorisation : autoriser uniquement le montant de la transaction nécessaire, ou utiliser un plugin de sécurité pour annuler l'autorisation.
Vérifiez si le jeton prend en charge la fonction de permis : faites attention à savoir si le jeton que vous détenez prend en charge cette fonction et soyez particulièrement prudent dans les transactions connexes.
Élaborer un plan de sauvetage des actifs complet : s'il reste des actifs sur d'autres plateformes après un vol, il faut les retirer et les transférer avec précaution, en envisageant d'utiliser le transfert MEV ou de solliciter l'aide d'une équipe de sécurité professionnelle.
L'avenir des phishing basé sur Permit2 pourrait augmenter. Cette méthode de phishing par signature est discrète et difficile à prévenir, et avec l'expansion de l'application de Permit2, le nombre d'adresses exposées aux risques augmentera également. J'espère que les lecteurs partageront cet article pour éviter que d'autres ne subissent des pertes.