# Uniswap Permit2サインフィッシング新目薬に警戒最近、Uniswap Permit2契約を利用した新しいフィッシング手法が登場しています。この方法は非常に巧妙で、防ぐのが難しく、Uniswapと相互作用したすべてのアドレスがリスクにさらされる可能性があります。この記事では、この目薬を詳しく解析し、皆さんの警戒心を高める手助けをします。## 何が起こったのか最近、あるユーザー(小A)のウォレット資産が盗まれましたが、彼は秘密鍵を漏洩したり、疑わしい契約と相互作用したりしていません。調査の結果、この盗まれたUSDTはTransfer From関数を通じて移動されたことがわかり、第三者による送金であることが示されています。さらに取引の詳細を確認すると、次のことがわかります:- 資産が見知らぬアドレスに移されました- この操作はUniswapのPermit2コントラクトと相互作用しています。重要な問題は:この不明なアドレスがどのように資産の権限を取得したのか?なぜUniswapが関与しているのか?! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0cc586809f131d9dfab81df33fd1835e)## Uniswap Permit2契約の紹介Uniswap Permit2は2022年末に導入された新しい契約で、アプリ間のトークン権限共有と管理を実現することを目的としています。それは:- ユーザーのインタラクションコストを削減する- ユーザーエクスペリエンスの向上 - スマートコントラクトの安全性を向上させるPermit2はユーザーとDappの間の中間層として機能し、ユーザーはPermit2に対してのみ権限を与えれば、Permit2を統合したすべてのDappがその権限を共有できます。これにより、ユーザーの操作プロセスが大幅に簡素化されます。しかし、Permit2は新たなセキュリティリスクももたらしました。ユーザーの操作がオフチェーン署名に変わり、すべてのオンチェーン操作が中間者によって行われます。このようなモデルでは、ユーザーは署名内容の重要性を無視しやすくなります。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-bb348691082594ecc577f91d7f9dc800)## フィッシング手法の分析このフィッシング手法の鍵はPermit関数にあります。攻撃者はユーザーの署名を利用して、ユーザーがPermit2に対して許可したトークンの額を自分に移転させます。署名を得ることができれば、ハッカーはユーザーの資産を移転できるのです。具体な手順は以下の通りです:1. ユーザーは以前UniswapでPermit2コントラクトを承認しました2. ユーザーはハッカーが巧妙に設計したPermit署名に誤って署名しました3. ハッカーは署名を使用してPermit2コントラクトのPermit関数を呼び出します4. ハッカーがユーザーのトークンの使用権を取得する5.ハッカーは、資産を転送するために転送元関数を呼び出しますこの方法の恐ろしさは、ユーザーが一度でもUniswapとやり取りし、Permit2を承認した場合、被害者になる可能性があることです。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-30520c8399a6ee69aa22424476c5870c)## 予防に関する推奨事項1. 所有者、支出者、価値、ノンス、期限などの重要な情報を含む、許可証の署名形式を認識する方法を学びます2. コールドウォレットとホットウォレットの分離戦略を使用し、インタラクティブウォレットには少量の資金のみを保管する3. Permit2コントラクトの承認時に制限額を設定するか、余分な承認を速やかにキャンセルする4. 所持しているトークンがpermit機能をサポートしているか確認し、関連する操作には特に注意を払うこと。5. 不幸にも目薬にあった場合は、十分な資産救済計画を策定し、専門の安全チームの支援を求めることができます。Permit2の適用範囲が拡大するにつれて、このようなフィッシングの事例が増加する可能性があります。皆さんは警戒を高め、自分のデジタル資産の安全を守ってください。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-730db044a34a8dc242f04cf8ae4d394c)
Uniswap Permit2 新しいフィッシング詐欺: 署名の漏洩により、コインを簡単に盗むことができます
Uniswap Permit2サインフィッシング新目薬に警戒
最近、Uniswap Permit2契約を利用した新しいフィッシング手法が登場しています。この方法は非常に巧妙で、防ぐのが難しく、Uniswapと相互作用したすべてのアドレスがリスクにさらされる可能性があります。この記事では、この目薬を詳しく解析し、皆さんの警戒心を高める手助けをします。
何が起こったのか
最近、あるユーザー(小A)のウォレット資産が盗まれましたが、彼は秘密鍵を漏洩したり、疑わしい契約と相互作用したりしていません。調査の結果、この盗まれたUSDTはTransfer From関数を通じて移動されたことがわかり、第三者による送金であることが示されています。
さらに取引の詳細を確認すると、次のことがわかります:
重要な問題は:この不明なアドレスがどのように資産の権限を取得したのか?なぜUniswapが関与しているのか?
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Uniswap Permit2契約の紹介
Uniswap Permit2は2022年末に導入された新しい契約で、アプリ間のトークン権限共有と管理を実現することを目的としています。それは:
Permit2はユーザーとDappの間の中間層として機能し、ユーザーはPermit2に対してのみ権限を与えれば、Permit2を統合したすべてのDappがその権限を共有できます。これにより、ユーザーの操作プロセスが大幅に簡素化されます。
しかし、Permit2は新たなセキュリティリスクももたらしました。ユーザーの操作がオフチェーン署名に変わり、すべてのオンチェーン操作が中間者によって行われます。このようなモデルでは、ユーザーは署名内容の重要性を無視しやすくなります。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
フィッシング手法の分析
このフィッシング手法の鍵はPermit関数にあります。攻撃者はユーザーの署名を利用して、ユーザーがPermit2に対して許可したトークンの額を自分に移転させます。署名を得ることができれば、ハッカーはユーザーの資産を移転できるのです。
具体な手順は以下の通りです:
この方法の恐ろしさは、ユーザーが一度でもUniswapとやり取りし、Permit2を承認した場合、被害者になる可能性があることです。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
予防に関する推奨事項
所有者、支出者、価値、ノンス、期限などの重要な情報を含む、許可証の署名形式を認識する方法を学びます
コールドウォレットとホットウォレットの分離戦略を使用し、インタラクティブウォレットには少量の資金のみを保管する
Permit2コントラクトの承認時に制限額を設定するか、余分な承認を速やかにキャンセルする
所持しているトークンがpermit機能をサポートしているか確認し、関連する操作には特に注意を払うこと。
不幸にも目薬にあった場合は、十分な資産救済計画を策定し、専門の安全チームの支援を求めることができます。
Permit2の適用範囲が拡大するにつれて、このようなフィッシングの事例が増加する可能性があります。皆さんは警戒を高め、自分のデジタル資産の安全を守ってください。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く