Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pengembang proyek, kode sumber terbuka membuat mereka khawatir setiap baris kode mungkin memiliki celah. Bagi pengguna individu, jika tidak memahami arti dari operasi, setiap interaksi atau tanda tangan di blockchain dapat menyebabkan aset dicuri. Oleh karena itu, masalah keamanan selalu menjadi salah satu titik masalah dalam dunia kripto. Karena sifat blockchain, aset yang dicuri hampir tidak mungkin untuk dipulihkan, sehingga menguasai pengetahuan tentang keamanan sangat penting.
Baru-baru ini ditemukan metode phishing baru, hanya dengan menandatangani, Anda akan dicuri, teknik ini tersembunyi dan sulit untuk dicegah. Alamat yang pernah berinteraksi dengan DEX tertentu mungkin menghadapi risiko. Artikel ini akan mengedukasi tentang metode phishing tanda tangan ini, untuk menghindari lebih banyak kerugian aset.
Kronologi Peristiwa
Baru-baru ini, seorang teman ( Xiao A ) kehilangan aset dompetnya. Berbeda dengan cara pencurian yang umum, Xiao A tidak mengungkapkan kunci privatnya, dan juga tidak berinteraksi dengan kontrak situs phishing.
Penampil blockchain menunjukkan bahwa USDT yang dicuri dari Xiao A dipindahkan melalui fungsi Transfer From. Ini berarti alamat lain yang melakukan pemindahan Token, bukan kebocoran kunci pribadi dompet.
Detail transaksi menunjukkan:
Alamat dengan akhiran fd51 telah mentransfer aset kecil A ke alamat dengan akhiran a0c8
Operasi ini berinteraksi dengan kontrak Permit2 dari suatu DEX
Pertanyaan kunci adalah: bagaimana cara alamat dengan akhiran fd51 mendapatkan hak aset? Mengapa terkait dengan DEX tertentu?
Lihat lebih lanjut catatan interaksi alamat dengan akhiran fd51, sebelum mentransfer aset kecil A, alamat tersebut melakukan operasi Permit, dan kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari suatu DEX.
Kontrak Permit2 adalah kontrak baru yang diluncurkan oleh suatu DEX pada akhir tahun 2022. Ini memungkinkan otorisasi token untuk dibagikan dan dikelola di antara aplikasi yang berbeda, bertujuan untuk menciptakan pengalaman pengguna yang lebih terintegrasi, lebih rendah biaya, dan lebih aman. Di masa depan, dengan lebih banyak proyek yang terintegrasi, Permit2 dapat mencapai persetujuan Token yang terstandarisasi antar aplikasi.
Dalam metode interaksi tradisional, pengguna harus memberikan otorisasi secara terpisah untuk setiap interaksi dengan Dapp. Permit2 bertindak sebagai perantara, di mana pengguna hanya perlu memberikan otorisasi kepada kontrak Permit2, semua Dapp yang terintegrasi dengan Permit2 dapat berbagi batas otorisasi. Ini mengurangi biaya interaksi pengguna dan meningkatkan pengalaman.
Namun Permit2 juga merupakan pedang bermata dua. Ini mengubah operasi pengguna menjadi tanda tangan off-chain, sementara operasi on-chain dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk menggunakan token lain untuk membayar gas atau direimburse oleh peran perantara meskipun dompet pengguna tidak memiliki ETH. Namun, tanda tangan off-chain adalah langkah yang paling mudah diabaikan oleh pengguna.
Untuk memicu teknik phishing ini, prasyarat kunci adalah dompet harus memberikan izin kepada kontrak Permit2. Saat ini, setiap kali melakukan Swap di Dapp yang terintegrasi dengan Permit2, izin harus diberikan kepada kontrak Permit2. Yang lebih menakutkan adalah, terlepas dari jumlah Swap, kontrak Permit2 secara default akan meminta pengguna untuk memberikan izin untuk seluruh saldo Token tersebut.
Ini berarti, selama berinteraksi dengan DEX tertentu setelah tahun 2023 dan memberikan otorisasi kepada kontrak Permit2, mungkin akan terpapar pada risiko phishing ini. Hacker memanfaatkan fungsi Permit, untuk memindahkan kuota token yang diberikan kepada Permit2 ke alamat lain melalui tanda tangan pengguna.
analisis detail kejadian
Fungsi Permit memungkinkan penandatanganan awal "kontrak", memberikan otorisasi kepada orang lain untuk menggunakan sejumlah token di masa depan. Ini memerlukan tanda tangan untuk memverifikasi keaslian otorisasi.
Alur kerja fungsi:
Periksa apakah waktu saat ini telah melebihi masa berlaku tanda tangan
Verifikasi keaslian tanda tangan
Perbarui catatan otorisasi setelah melalui
Fokusnya adalah pada fungsi verify dan fungsi _updateApproval.
fungsi verify mengambil data v, r, s dari informasi tanda tangan, memulihkan alamat tanda tangan dan membandingkannya dengan alamat yang diberikan. fungsi _updateApproval memperbarui nilai otorisasi setelah verifikasi berhasil.
Detail transaksi aktual menunjukkan:
owner adalah alamat dompet A kecil
Token yang diotorisasi adalah USDT
Spender adalah alamat hacker dengan nomor akhir fd51
sigDeadline adalah masa berlaku tanda tangan
signature adalah informasi tanda tangan dari A kecil
Kecil A sebelumnya mengklik batas otorisasi tanpa batas default saat menggunakan DEX tertentu.
Ringkasan proses kejadian: A kecil sebelumnya memberikan otorisasi kepada Permit2 untuk batas USDT tanpa batas, kemudian secara tidak sengaja terjebak dalam jebakan tanda tangan yang dirancang oleh hacker. Hacker memanfaatkan tanda tangan untuk melakukan operasi Permit dan Transfer From di kontrak Permit2 untuk memindahkan aset. Saat ini, kontrak Permit2 dari DEX ini telah menjadi daerah rawan phishing.
bagaimana cara mencegahnya?
Memahami dan mengenali konten tanda tangan: belajar mengenali format tanda tangan Permit, termasuk informasi kunci seperti Owner, Spender, value, nonce, dan deadline.
Memisahkan aset dan dompet interaksi: Menyimpan aset besar di dompet dingin, dompet interaksi hanya menyimpan sejumlah kecil dana.
Batasi jumlah otorisasi Permit2 atau batalkan otorisasi: hanya otorisasi jumlah transaksi yang diperlukan, atau gunakan plugin keamanan untuk membatalkan otorisasi.
Memahami apakah token mendukung fungsi permit: Perhatikan apakah token yang dimiliki mendukung fungsi ini, dan berhati-hatilah terhadap transaksi terkait.
Menyusun rencana penyelamatan aset yang komprehensif: Jika setelah dicuri masih ada aset di platform lain, perlu berhati-hati saat menarik dan memindahkan, dapat mempertimbangkan menggunakan pemindahan MEV atau mencari bantuan dari tim keamanan profesional.
Kedepannya, pemancingan yang berbasis Permit2 mungkin akan meningkat. Metode pemancingan tanda tangan ini sulit dideteksi dan dicegah, seiring dengan meluasnya aplikasi Permit2, alamat yang terpapar risiko juga akan meningkat. Kami berharap pembaca menyebarkan artikel ini, untuk menghindari lebih banyak orang mengalami kerugian.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
10
Posting ulang
Bagikan
Komentar
0/400
MoonMathMagic
· 7jam yang lalu
Tanda tangan ini terlalu menakutkan, pemain DEX akan kesulitan.
Lihat AsliBalas0
TestnetNomad
· 08-15 10:46
Bermain DEX tidak hati-hati, G kehilangan beberapa ratus dolar, sungguh tidak adil.
Lihat AsliBalas0
NullWhisperer
· 08-15 00:09
secara teknis, permit2 hanyalah vektor serangan lain yang menunggu untuk terjadi...
Lihat AsliBalas0
ShibaMillionairen't
· 08-14 15:17
Tanda tangan dicuri, ya? Latihan lebih banyak.
Lihat AsliBalas0
ImpermanentPhilosopher
· 08-14 04:10
Detik signing suckers juga cocok untuk mempelajari memancing?
Lihat AsliBalas0
DataOnlooker
· 08-14 04:08
Tanda tangan sudah dicuri? Sangat berbahaya
Lihat AsliBalas0
LiquidationSurvivor
· 08-14 04:06
Lagi satu eyewash baru... Sepertinya risiko Alamat harus lebih diperhatikan.
Lihat AsliBalas0
TokenStorm
· 08-14 04:04
Masih tanda tangan bodoh? Dari data on-chain, kombinasi permit2 ini bisa memangkas 80% suckers.
Lihat AsliBalas0
GameFiCritic
· 08-14 03:55
Semua elemen tanda tangan telah dipancing, dan masih bilang dirinya mengerti cara mengoperasikannya. Mati tertawa.
Lihat AsliBalas0
UnluckyValidator
· 08-14 03:48
Sepertinya kita harus lebih berhati-hati dengan DEX lagi, pikirkan baik-baik sebelum berinteraksi.
Peringatan Penipuan Tanda Tangan Kontrak Permit2 Uniswap: Pentingnya Mencegah Kerugian Aset
Mengungkap Penipuan Tanda Tangan Permit2 Uniswap
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pengembang proyek, kode sumber terbuka membuat mereka khawatir setiap baris kode mungkin memiliki celah. Bagi pengguna individu, jika tidak memahami arti dari operasi, setiap interaksi atau tanda tangan di blockchain dapat menyebabkan aset dicuri. Oleh karena itu, masalah keamanan selalu menjadi salah satu titik masalah dalam dunia kripto. Karena sifat blockchain, aset yang dicuri hampir tidak mungkin untuk dipulihkan, sehingga menguasai pengetahuan tentang keamanan sangat penting.
Baru-baru ini ditemukan metode phishing baru, hanya dengan menandatangani, Anda akan dicuri, teknik ini tersembunyi dan sulit untuk dicegah. Alamat yang pernah berinteraksi dengan DEX tertentu mungkin menghadapi risiko. Artikel ini akan mengedukasi tentang metode phishing tanda tangan ini, untuk menghindari lebih banyak kerugian aset.
Kronologi Peristiwa
Baru-baru ini, seorang teman ( Xiao A ) kehilangan aset dompetnya. Berbeda dengan cara pencurian yang umum, Xiao A tidak mengungkapkan kunci privatnya, dan juga tidak berinteraksi dengan kontrak situs phishing.
Penampil blockchain menunjukkan bahwa USDT yang dicuri dari Xiao A dipindahkan melalui fungsi Transfer From. Ini berarti alamat lain yang melakukan pemindahan Token, bukan kebocoran kunci pribadi dompet.
Detail transaksi menunjukkan:
Pertanyaan kunci adalah: bagaimana cara alamat dengan akhiran fd51 mendapatkan hak aset? Mengapa terkait dengan DEX tertentu?
Lihat lebih lanjut catatan interaksi alamat dengan akhiran fd51, sebelum mentransfer aset kecil A, alamat tersebut melakukan operasi Permit, dan kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari suatu DEX.
Kontrak Permit2 adalah kontrak baru yang diluncurkan oleh suatu DEX pada akhir tahun 2022. Ini memungkinkan otorisasi token untuk dibagikan dan dikelola di antara aplikasi yang berbeda, bertujuan untuk menciptakan pengalaman pengguna yang lebih terintegrasi, lebih rendah biaya, dan lebih aman. Di masa depan, dengan lebih banyak proyek yang terintegrasi, Permit2 dapat mencapai persetujuan Token yang terstandarisasi antar aplikasi.
Dalam metode interaksi tradisional, pengguna harus memberikan otorisasi secara terpisah untuk setiap interaksi dengan Dapp. Permit2 bertindak sebagai perantara, di mana pengguna hanya perlu memberikan otorisasi kepada kontrak Permit2, semua Dapp yang terintegrasi dengan Permit2 dapat berbagi batas otorisasi. Ini mengurangi biaya interaksi pengguna dan meningkatkan pengalaman.
Namun Permit2 juga merupakan pedang bermata dua. Ini mengubah operasi pengguna menjadi tanda tangan off-chain, sementara operasi on-chain dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk menggunakan token lain untuk membayar gas atau direimburse oleh peran perantara meskipun dompet pengguna tidak memiliki ETH. Namun, tanda tangan off-chain adalah langkah yang paling mudah diabaikan oleh pengguna.
Untuk memicu teknik phishing ini, prasyarat kunci adalah dompet harus memberikan izin kepada kontrak Permit2. Saat ini, setiap kali melakukan Swap di Dapp yang terintegrasi dengan Permit2, izin harus diberikan kepada kontrak Permit2. Yang lebih menakutkan adalah, terlepas dari jumlah Swap, kontrak Permit2 secara default akan meminta pengguna untuk memberikan izin untuk seluruh saldo Token tersebut.
Ini berarti, selama berinteraksi dengan DEX tertentu setelah tahun 2023 dan memberikan otorisasi kepada kontrak Permit2, mungkin akan terpapar pada risiko phishing ini. Hacker memanfaatkan fungsi Permit, untuk memindahkan kuota token yang diberikan kepada Permit2 ke alamat lain melalui tanda tangan pengguna.
analisis detail kejadian
Fungsi Permit memungkinkan penandatanganan awal "kontrak", memberikan otorisasi kepada orang lain untuk menggunakan sejumlah token di masa depan. Ini memerlukan tanda tangan untuk memverifikasi keaslian otorisasi.
Alur kerja fungsi:
Fokusnya adalah pada fungsi verify dan fungsi _updateApproval.
fungsi verify mengambil data v, r, s dari informasi tanda tangan, memulihkan alamat tanda tangan dan membandingkannya dengan alamat yang diberikan. fungsi _updateApproval memperbarui nilai otorisasi setelah verifikasi berhasil.
Detail transaksi aktual menunjukkan:
Kecil A sebelumnya mengklik batas otorisasi tanpa batas default saat menggunakan DEX tertentu.
Ringkasan proses kejadian: A kecil sebelumnya memberikan otorisasi kepada Permit2 untuk batas USDT tanpa batas, kemudian secara tidak sengaja terjebak dalam jebakan tanda tangan yang dirancang oleh hacker. Hacker memanfaatkan tanda tangan untuk melakukan operasi Permit dan Transfer From di kontrak Permit2 untuk memindahkan aset. Saat ini, kontrak Permit2 dari DEX ini telah menjadi daerah rawan phishing.
bagaimana cara mencegahnya?
Memisahkan aset dan dompet interaksi: Menyimpan aset besar di dompet dingin, dompet interaksi hanya menyimpan sejumlah kecil dana.
Batasi jumlah otorisasi Permit2 atau batalkan otorisasi: hanya otorisasi jumlah transaksi yang diperlukan, atau gunakan plugin keamanan untuk membatalkan otorisasi.
Memahami apakah token mendukung fungsi permit: Perhatikan apakah token yang dimiliki mendukung fungsi ini, dan berhati-hatilah terhadap transaksi terkait.
Menyusun rencana penyelamatan aset yang komprehensif: Jika setelah dicuri masih ada aset di platform lain, perlu berhati-hati saat menarik dan memindahkan, dapat mempertimbangkan menggunakan pemindahan MEV atau mencari bantuan dari tim keamanan profesional.
Kedepannya, pemancingan yang berbasis Permit2 mungkin akan meningkat. Metode pemancingan tanda tangan ini sulit dideteksi dan dicegah, seiring dengan meluasnya aplikasi Permit2, alamat yang terpapar risiko juga akan meningkat. Kami berharap pembaca menyebarkan artikel ini, untuk menghindari lebih banyak orang mengalami kerugian.