Cuidado con el nuevo lavado de ojos de firmas de Uniswap Permit2
Recientemente, está surgiendo un nuevo método de phishing que utiliza el contrato Permit2 de Uniswap. Este método es extremadamente encubierto, difícil de prevenir, y todas las direcciones que han interactuado con Uniswap podrían estar en riesgo. Este artículo analizará en detalle este Lavado de ojos, ayudando a todos a mantenerse alerta.
Desarrollo del evento
Recientemente, los activos de la billetera de un usuario (, pequeño A ), fueron robados, pero él no divulgó su clave privada ni interactuó con contratos sospechosos. La investigación reveló que el USDT robado fue transferido a través de la función Transfer From, lo que indica que fue una transferencia operada por un tercero.
Al revisar más a fondo los detalles de la transacción, se descubre:
Los activos han sido transferidos a una dirección desconocida
Esta operación interactúa con el contrato Permit2 de Uniswap.
La pregunta clave es: ¿cómo obtuvo este dirección desconocida los permisos de activos? ¿Por qué está involucrado Uniswap?
Introducción al contrato Permit2 de Uniswap
Uniswap Permit2 es un nuevo contrato lanzado a finales de 2022, diseñado para lograr el uso compartido y la gestión de autorizaciones de tokens entre aplicaciones. Puede:
Reducir el costo de interacción de los usuarios
Mejorar la experiencia del usuario
Aumentar la seguridad de los contratos inteligentes
Permit2 actúa como una capa intermedia entre el usuario y la Dapp, permitiendo que el usuario autorice solo a Permit2, y todas las Dapps que integren Permit2 pueden compartir esta autorización. Esto simplifica enormemente el proceso de operación del usuario.
Sin embargo, Permit2 también ha traído nuevos riesgos de seguridad. Convierte las operaciones de los usuarios en firmas fuera de la cadena, y todas las operaciones en la cadena son realizadas por un actor intermedio. En este modelo, los usuarios son más propensos a ignorar la importancia del contenido de la firma.
Análisis de técnicas de pesca
La clave de este tipo de pesca es la función Permit. Los atacantes utilizan la firma del usuario para transferir la cantidad de tokens autorizada por el usuario a Permit2 a su propia cuenta. Tan pronto como obtienen la firma, los hackers pueden transferir los activos del usuario.
Los pasos específicos son los siguientes:
El usuario autorizó anteriormente el contrato Permit2 en Uniswap.
El usuario firmó por accidente una firma de Permit diseñada cuidadosamente por un hacker.
Los hackers utilizan la firma para llamar a la función Permit del contrato Permit2
Los hackers obtienen acceso al uso de los tokens de los usuarios
Los hackers llaman a la función Transfer From para transferir activos
Lo aterrador de este método es que cualquier usuario que haya interactuado con Uniswap y haya autorizado Permit2 podría convertirse en una víctima.
Consejos de prevención
Aprender a identificar el formato de firma de Permit, que incluye información clave como Owner, Spender, value, nonce y deadline.
Utilizar una estrategia de separación de billeteras frías y calientes, la billetera de interacción solo debe almacenar una pequeña cantidad de fondos.
Limitar el monto de autorización al contrato Permit2, o cancelar a tiempo las autorizaciones excesivas.
Asegúrate de que los tokens que posees soporten la función de permiso, ten especial cuidado con las operaciones relacionadas.
Si desafortunadamente caes en un Lavado de ojos, debes elaborar un plan completo de rescate de activos y puedes buscar la ayuda de un equipo de seguridad profesional.
Con la expansión del alcance de la aplicación Permit2, este tipo de casos de Lavado de ojos pueden volverse cada vez más comunes. Por favor, mantengan la vigilancia y protejan la seguridad de sus activos digitales.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
6
Compartir
Comentar
0/400
SellTheBounce
· 08-03 22:23
Se ha añadido una nueva variedad de tontos, he tomado la posición contraria y he hecho shorting.
Ver originalesResponder0
0xLuckbox
· 08-03 15:22
Otra vez a estafar a los tontos. Me voy, me voy.
Ver originalesResponder0
AirdropHunterXiao
· 08-03 15:19
¿Otra nueva Lavado de ojos? ¡La vida es lo más importante, amigos!
Ver originalesResponder0
GamefiHarvester
· 08-03 15:09
Ser engañados otra vez, no se acaba.
Ver originalesResponder0
RektRecorder
· 08-03 15:09
Jugar con Uni y aún perder dinero, realmente es un desastre.
Ver originalesResponder0
rug_connoisseur
· 08-03 15:04
Es absurdo. Sin confianza, una persona no puede establecerse. ¿Por qué no se puede confiar en uni?
Uniswap Permit2 nuevo Lavado de ojos: firma filtrada fácil para robar moneda
Cuidado con el nuevo lavado de ojos de firmas de Uniswap Permit2
Recientemente, está surgiendo un nuevo método de phishing que utiliza el contrato Permit2 de Uniswap. Este método es extremadamente encubierto, difícil de prevenir, y todas las direcciones que han interactuado con Uniswap podrían estar en riesgo. Este artículo analizará en detalle este Lavado de ojos, ayudando a todos a mantenerse alerta.
Desarrollo del evento
Recientemente, los activos de la billetera de un usuario (, pequeño A ), fueron robados, pero él no divulgó su clave privada ni interactuó con contratos sospechosos. La investigación reveló que el USDT robado fue transferido a través de la función Transfer From, lo que indica que fue una transferencia operada por un tercero.
Al revisar más a fondo los detalles de la transacción, se descubre:
La pregunta clave es: ¿cómo obtuvo este dirección desconocida los permisos de activos? ¿Por qué está involucrado Uniswap?
Introducción al contrato Permit2 de Uniswap
Uniswap Permit2 es un nuevo contrato lanzado a finales de 2022, diseñado para lograr el uso compartido y la gestión de autorizaciones de tokens entre aplicaciones. Puede:
Permit2 actúa como una capa intermedia entre el usuario y la Dapp, permitiendo que el usuario autorice solo a Permit2, y todas las Dapps que integren Permit2 pueden compartir esta autorización. Esto simplifica enormemente el proceso de operación del usuario.
Sin embargo, Permit2 también ha traído nuevos riesgos de seguridad. Convierte las operaciones de los usuarios en firmas fuera de la cadena, y todas las operaciones en la cadena son realizadas por un actor intermedio. En este modelo, los usuarios son más propensos a ignorar la importancia del contenido de la firma.
Análisis de técnicas de pesca
La clave de este tipo de pesca es la función Permit. Los atacantes utilizan la firma del usuario para transferir la cantidad de tokens autorizada por el usuario a Permit2 a su propia cuenta. Tan pronto como obtienen la firma, los hackers pueden transferir los activos del usuario.
Los pasos específicos son los siguientes:
Lo aterrador de este método es que cualquier usuario que haya interactuado con Uniswap y haya autorizado Permit2 podría convertirse en una víctima.
Consejos de prevención
Aprender a identificar el formato de firma de Permit, que incluye información clave como Owner, Spender, value, nonce y deadline.
Utilizar una estrategia de separación de billeteras frías y calientes, la billetera de interacción solo debe almacenar una pequeña cantidad de fondos.
Limitar el monto de autorización al contrato Permit2, o cancelar a tiempo las autorizaciones excesivas.
Asegúrate de que los tokens que posees soporten la función de permiso, ten especial cuidado con las operaciones relacionadas.
Si desafortunadamente caes en un Lavado de ojos, debes elaborar un plan completo de rescate de activos y puedes buscar la ayuda de un equipo de seguridad profesional.
Con la expansión del alcance de la aplicación Permit2, este tipo de casos de Lavado de ojos pueden volverse cada vez más comunes. Por favor, mantengan la vigilancia y protejan la seguridad de sus activos digitales.