Підписка вкрадена? Розкриття шахрайства з підписами Uniswap Permit2
Хакери є страшним явищем у екосистемі Web3. Для проектів відкритий код означає, що будь-яка помилка може бути використана, а наслідки безпекових інцидентів можуть бути серйозними. Для окремих користувачів незнання значення операцій може призвести до крадіжки активів. Незворотна природа блокчейну ускладнює повернення вкрадених активів, тому знання з безпеки є особливо важливими.
Останнім часом активно з'явився новий вид рибальства, який може призвести до крадіжки лише за допомогою підпису, метод прихований і важкий для виявлення. Адреси, які взаємодіяли з певними DEX, можуть бути під ризиком. У цій статті буде розглянуто цей метод рибальства через підпис, щоб уникнути подальших втрат активів.
Подія виникла через те, що активи друга ( маленького A) були вкрадені. На відміну від звичайних способів крадіжки, маленький A не розкрив приватний ключ і не взаємодіяв з фішинговим контрактом. Розслідування показало, що USDT маленького A був переведений через функцію Transfer From, що означає, що інша адреса виконала передачу токена.
Ключова підказка:
Адреса передає активи маленького А на іншу адресу
Взаємодія з контрактом Permit2 певного DEX
Питання полягає в тому, як ця адреса отримала права на активи та чому вона пов'язана з певним DEX.
Подальше розслідування виявило, що перед переказом активів ця адреса виконала операцію Permit, а об'єктами взаємодії були контракти Permit2 певного DEX. Permit2 є новим контрактом, запущеним цим DEX наприкінці 2022 року, що має на меті реалізацію спільного управління авторизацією токенів через різні додатки.
Мета Permit2 полягає в спрощенні процесу взаємодії з користувачем та зниженні витрат на газ. У традиційній моделі користувач повинен надавати окремі дозволи для кожного Dapp, тоді як Permit2 дозволяє пропустити цей етап. Він виступає посередником між користувачем та Dapp, і користувачеві потрібно лише надати дозвіл Permit2, після чого всі інтегровані Dapp можуть ділитися цим дозволом.
Цей спосіб хоч і підвищує зручність для користувачів, але також несе ризики. Permit2 перетворює дії користувача на підписування поза ланцюгом, всі операції в ланцюгу виконуються посередницькою стороною. Це дозволяє користувачам, навіть якщо у них немає ETH, використовувати інші токени для сплати Gas або покладатися на посередницьку сторону.
Однак, підпис поза ланцюгом є найбільш ігнорованим етапом. Багато користувачів не перевіряють вміст підпису, коли підключаються до Dapp, що є найбільш небезпечним моментом.
Ключовим моментом події з малим А є функція Permit. Ця функція дозволяє користувачам заздалегідь підписувати "контракти", уповноважуючи інших використовувати свої токени в майбутньому. Як тільки з'являється підпис користувача, зловмисник може перенести обсяг токенів, уповноважених користувачем для Permit2.
Важливо відзначити, що певний DEX за замовчуванням запитує безмежний ліміт авторизації Permit2. Це означає, що користувачі, які взаємодіють з цим DEX і авторизують Permit2 після 2023 року, можуть зіткнутися з ризиками.
Запобіжні рекомендації:
Навчіться розпізнавати формат підпису Permit
Відокремлення зберігання активів та інтерактивного гаманця
Обмежити суму, що надається Permit2, або вчасно скасувати授权
Дізнайтеся, чи підтримує ваш токен функцію permit.
Розробка вдосконаленого плану порятунку активів
З розширенням сфери застосування Permit2 може збільшитися кількість відповідних методів шахрайства. Цей метод підписного шахрайства надзвичайно прихований і важко захиститися, адреси, які піддаються ризику, стають все більше. Сподіваємося, що читачі зможуть поширити цю інформацію серед більшої кількості людей, щоб уникнути більших втрат активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
20 лайків
Нагородити
20
1
Поділіться
Прокоментувати
0/400
MetaverseLandlord
· 07-23 17:12
Кинути гроші, кинути гроші, це справді небезпечно!
Нові загрози фішингу з підписами: ризики авторизації Permit2 та рекомендації щодо запобігання
Підписка вкрадена? Розкриття шахрайства з підписами Uniswap Permit2
Хакери є страшним явищем у екосистемі Web3. Для проектів відкритий код означає, що будь-яка помилка може бути використана, а наслідки безпекових інцидентів можуть бути серйозними. Для окремих користувачів незнання значення операцій може призвести до крадіжки активів. Незворотна природа блокчейну ускладнює повернення вкрадених активів, тому знання з безпеки є особливо важливими.
Останнім часом активно з'явився новий вид рибальства, який може призвести до крадіжки лише за допомогою підпису, метод прихований і важкий для виявлення. Адреси, які взаємодіяли з певними DEX, можуть бути під ризиком. У цій статті буде розглянуто цей метод рибальства через підпис, щоб уникнути подальших втрат активів.
Подія виникла через те, що активи друга ( маленького A) були вкрадені. На відміну від звичайних способів крадіжки, маленький A не розкрив приватний ключ і не взаємодіяв з фішинговим контрактом. Розслідування показало, що USDT маленького A був переведений через функцію Transfer From, що означає, що інша адреса виконала передачу токена.
Ключова підказка:
Питання полягає в тому, як ця адреса отримала права на активи та чому вона пов'язана з певним DEX.
Подальше розслідування виявило, що перед переказом активів ця адреса виконала операцію Permit, а об'єктами взаємодії були контракти Permit2 певного DEX. Permit2 є новим контрактом, запущеним цим DEX наприкінці 2022 року, що має на меті реалізацію спільного управління авторизацією токенів через різні додатки.
Мета Permit2 полягає в спрощенні процесу взаємодії з користувачем та зниженні витрат на газ. У традиційній моделі користувач повинен надавати окремі дозволи для кожного Dapp, тоді як Permit2 дозволяє пропустити цей етап. Він виступає посередником між користувачем та Dapp, і користувачеві потрібно лише надати дозвіл Permit2, після чого всі інтегровані Dapp можуть ділитися цим дозволом.
Цей спосіб хоч і підвищує зручність для користувачів, але також несе ризики. Permit2 перетворює дії користувача на підписування поза ланцюгом, всі операції в ланцюгу виконуються посередницькою стороною. Це дозволяє користувачам, навіть якщо у них немає ETH, використовувати інші токени для сплати Gas або покладатися на посередницьку сторону.
Однак, підпис поза ланцюгом є найбільш ігнорованим етапом. Багато користувачів не перевіряють вміст підпису, коли підключаються до Dapp, що є найбільш небезпечним моментом.
Ключовим моментом події з малим А є функція Permit. Ця функція дозволяє користувачам заздалегідь підписувати "контракти", уповноважуючи інших використовувати свої токени в майбутньому. Як тільки з'являється підпис користувача, зловмисник може перенести обсяг токенів, уповноважених користувачем для Permit2.
Важливо відзначити, що певний DEX за замовчуванням запитує безмежний ліміт авторизації Permit2. Це означає, що користувачі, які взаємодіють з цим DEX і авторизують Permit2 після 2023 року, можуть зіткнутися з ризиками.
Запобіжні рекомендації:
З розширенням сфери застосування Permit2 може збільшитися кількість відповідних методів шахрайства. Цей метод підписного шахрайства надзвичайно прихований і важко захиститися, адреси, які піддаються ризику, стають все більше. Сподіваємося, що читачі зможуть поширити цю інформацію серед більшої кількості людей, щоб уникнути більших втрат активів.