Méfiez-vous de la nouvelle arnaque de phishing par signature Uniswap Permit2
Récemment, une nouvelle méthode de phishing utilisant le contrat Uniswap Permit2 est en train d'émerger. Cette méthode est extrêmement discrète, difficile à prévenir, et toutes les adresses ayant interagi avec Uniswap pourraient être à risque. Cet article analysera en détail cette eyewash, afin d'aider chacun à rester vigilant.
Déroulement de l'événement
Récemment, un utilisateur (, petit A ), a eu ses actifs de portefeuille volés, mais il n'a pas divulgué sa clé privée ni interagi avec des contrats suspects. L'enquête a révélé que les USDT volés avaient été transférés par la fonction Transfer From, ce qui indique que le transfert a été effectué par un tiers.
Pour examiner plus en détail les transactions, il a été constaté :
Les actifs ont été transférés à une adresse inconnue
Cette opération interagit avec le contrat Permit2 d'Uniswap.
La question clé est : comment cette adresse inconnue a-t-elle obtenu les droits d'accès aux actifs ? Pourquoi est-elle impliquée dans Uniswap ?
Introduction au contrat Permit2 de Uniswap
Uniswap Permit2 est un nouveau contrat lancé fin 2022, conçu pour permettre le partage et la gestion des autorisations de jetons entre applications. Il peut :
Réduire le coût d'interaction des utilisateurs
Améliorer l'expérience utilisateur
Renforcer la sécurité des contrats intelligents
Permit2 en tant que couche intermédiaire entre l'utilisateur et le Dapp, l'utilisateur n'a qu'à autoriser Permit2, tous les Dapp intégrant Permit2 peuvent partager cette autorisation. Cela simplifie considérablement le processus d'opération pour l'utilisateur.
Cependant, Permit2 présente également de nouveaux risques de sécurité. Il transforme les opérations des utilisateurs en signatures hors ligne, toutes les opérations sur la chaîne étant effectuées par un rôle intermédiaire. Dans ce mode, les utilisateurs sont plus enclins à ignorer l'importance du contenu de la signature.
Analyse des techniques de phishing
La clé de cette méthode de phishing réside dans la fonction Permit. L'attaquant utilise la signature de l'utilisateur pour transférer le montant de jetons autorisé à Permit2 à son propre compte. Tant qu'il obtient la signature, le hacker peut transférer les actifs de l'utilisateur.
Les étapes spécifiques sont les suivantes :
L'utilisateur a précédemment autorisé le contrat Permit2 sur Uniswap.
L'utilisateur a par inadvertance signé un permit conçu avec soin par un hacker.
Les hackers utilisent la signature pour appeler la fonction Permit du contrat Permit2
Les hackers obtiennent l'accès aux tokens des utilisateurs.
Les hackers appellent la fonction Transfer From pour transférer des actifs
L'horreur de cette méthode réside dans le fait que toute personne ayant interagi avec Uniswap et ayant autorisé Permit2 peut devenir victime.
Conseils de prévention
Apprenez à reconnaître le format de signature Permit, qui contient des informations clés telles que Owner, Spender, value, nonce et deadline.
Utiliser une stratégie de séparation des portefeuilles chauds et froids, le portefeuille d'interaction ne stocke qu'une petite quantité de fonds.
Limiter le montant lors de l'autorisation du contrat Permit2, ou annuler rapidement les autorisations excessives
Vérifiez si les jetons que vous détenez prennent en charge la fonction permit, et soyez particulièrement prudent lors des opérations associées.
Si vous avez malheureusement été victime d'un eyewash, vous devez établir un plan complet de sauvetage d'actifs et demander l'aide d'une équipe de sécurité professionnelle.
Avec l'expansion de l'application Permit2, ce type de cas de phishing pourrait devenir de plus en plus fréquent. Veuillez rester vigilant et protéger la sécurité de vos actifs numériques.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
6
Partager
Commentaire
0/400
SellTheBounce
· Il y a 1h
Le nouveau type de pigeons a encore augmenté, prendre la position inverse pour shorting.
Voir l'originalRépondre0
0xLuckbox
· Il y a 8h
Encore un coup pour pigeons, je m'en vais, je m'en vais.
Voir l'originalRépondre0
AirdropHunterXiao
· Il y a 8h
Encore une nouvelle eyewash ? La vie est en jeu, les buddies !
Voir l'originalRépondre0
GamefiHarvester
· Il y a 8h
Encore se faire prendre pour des cons, c'est inépuisable.
Voir l'originalRépondre0
RektRecorder
· Il y a 8h
C'est vraiment nul de perdre de l'argent en jouant à Uni.
Voir l'originalRépondre0
rug_connoisseur
· Il y a 8h
Absurde, sans confiance, les gens ne peuvent pas se tenir debout. Pourquoi la China Railway ne peut-elle pas être digne de confiance, mais uni ne peut pas l'être ?
Nouvelle escroquerie de phishing Permit2 d'Uniswap : fuite de signature facile pour voler des jetons
Méfiez-vous de la nouvelle arnaque de phishing par signature Uniswap Permit2
Récemment, une nouvelle méthode de phishing utilisant le contrat Uniswap Permit2 est en train d'émerger. Cette méthode est extrêmement discrète, difficile à prévenir, et toutes les adresses ayant interagi avec Uniswap pourraient être à risque. Cet article analysera en détail cette eyewash, afin d'aider chacun à rester vigilant.
Déroulement de l'événement
Récemment, un utilisateur (, petit A ), a eu ses actifs de portefeuille volés, mais il n'a pas divulgué sa clé privée ni interagi avec des contrats suspects. L'enquête a révélé que les USDT volés avaient été transférés par la fonction Transfer From, ce qui indique que le transfert a été effectué par un tiers.
Pour examiner plus en détail les transactions, il a été constaté :
La question clé est : comment cette adresse inconnue a-t-elle obtenu les droits d'accès aux actifs ? Pourquoi est-elle impliquée dans Uniswap ?
Introduction au contrat Permit2 de Uniswap
Uniswap Permit2 est un nouveau contrat lancé fin 2022, conçu pour permettre le partage et la gestion des autorisations de jetons entre applications. Il peut :
Permit2 en tant que couche intermédiaire entre l'utilisateur et le Dapp, l'utilisateur n'a qu'à autoriser Permit2, tous les Dapp intégrant Permit2 peuvent partager cette autorisation. Cela simplifie considérablement le processus d'opération pour l'utilisateur.
Cependant, Permit2 présente également de nouveaux risques de sécurité. Il transforme les opérations des utilisateurs en signatures hors ligne, toutes les opérations sur la chaîne étant effectuées par un rôle intermédiaire. Dans ce mode, les utilisateurs sont plus enclins à ignorer l'importance du contenu de la signature.
Analyse des techniques de phishing
La clé de cette méthode de phishing réside dans la fonction Permit. L'attaquant utilise la signature de l'utilisateur pour transférer le montant de jetons autorisé à Permit2 à son propre compte. Tant qu'il obtient la signature, le hacker peut transférer les actifs de l'utilisateur.
Les étapes spécifiques sont les suivantes :
L'horreur de cette méthode réside dans le fait que toute personne ayant interagi avec Uniswap et ayant autorisé Permit2 peut devenir victime.
Conseils de prévention
Apprenez à reconnaître le format de signature Permit, qui contient des informations clés telles que Owner, Spender, value, nonce et deadline.
Utiliser une stratégie de séparation des portefeuilles chauds et froids, le portefeuille d'interaction ne stocke qu'une petite quantité de fonds.
Limiter le montant lors de l'autorisation du contrat Permit2, ou annuler rapidement les autorisations excessives
Vérifiez si les jetons que vous détenez prennent en charge la fonction permit, et soyez particulièrement prudent lors des opérations associées.
Si vous avez malheureusement été victime d'un eyewash, vous devez établir un plan complet de sauvetage d'actifs et demander l'aide d'une équipe de sécurité professionnelle.
Avec l'expansion de l'application Permit2, ce type de cas de phishing pourrait devenir de plus en plus fréquent. Veuillez rester vigilant et protéger la sécurité de vos actifs numériques.