Cuidado com o novo esquema de phishing de assinatura Uniswap Permit2
Recentemente, uma nova técnica de phishing utilizando o contrato Uniswap Permit2 está surgindo. Este método é extremamente discreto, difícil de prevenir, e todos os endereços que interagiram com a Uniswap podem estar em risco. Este artigo irá analisar detalhadamente este lavar os olhos, ajudando todos a aumentar a vigilância.
O desenrolar do evento
Recentemente, um usuário (, o pequeno A ), teve os ativos da sua carteira roubados, mas ele não divulgou a chave privada nem interagiu com contratos suspeitos. A investigação revelou que o USDT roubado foi transferido através da função Transfer From, indicando que foi uma transferência operada por terceiros.
Para ver mais detalhes da transação, descubra:
Os ativos foram transferidos para um endereço desconhecido
Esta operação interage com o contrato Permit2 da Uniswap.
A questão chave é: como é que este endereço desconhecido obteve permissão para os ativos? Por que é que está envolvido com a Uniswap?
Introdução ao contrato Permit2 do Uniswap
Uniswap Permit2 é um novo contrato lançado no final de 2022, destinado a permitir o compartilhamento e gerenciamento de autorização de tokens entre aplicações. Ele pode:
Reduzir o custo de interação do usuário
Melhorar a experiência do usuário
Aumentar a segurança dos contratos inteligentes
Permit2 serve como uma camada intermediária entre o usuário e o Dapp, permitindo que o usuário apenas autorize o Permit2, e todos os Dapps que integrem o Permit2 possam compartilhar essa autorização. Isso simplifica bastante o fluxo de operação do usuário.
No entanto, o Permit2 também trouxe novos riscos de segurança. Ele transforma as operações dos usuários em assinaturas fora da cadeia, com todas as operações na cadeia sendo realizadas por um intermediário. Neste modelo, os usuários tornam-se mais propensos a ignorar a importância do conteúdo da assinatura.
Análise das técnicas de pesca
A chave para esse tipo de phishing está na função Permit. O atacante utiliza a assinatura do usuário para transferir o limite de tokens que o usuário autorizou ao Permit2 para si mesmo. Assim que obtiver a assinatura, o hacker poderá transferir os ativos do usuário.
Os passos específicos são os seguintes:
O usuário autorizou anteriormente o contrato Permit2 no Uniswap
O usuário assinou inadvertidamente a assinatura Permit cuidadosamente projetada pelo hacker
Hackers utilizam a assinatura para chamar a função Permit do contrato Permit2
Hackers obtêm acesso aos tokens dos usuários
Hackers chamam a função Transfer From para transferir ativos
O terrível desta abordagem é que, desde que o usuário tenha interagido com o Uniswap e autorizado o Permit2, pode se tornar uma vítima.
Sugestões de Prevenção
Aprenda a identificar o formato da assinatura Permit, que inclui informações chave como Owner, Spender, value, nonce e deadline.
Usar a estratégia de separação de carteiras quentes e frias, a carteira de interação deve armazenar apenas uma pequena quantidade de fundos.
Limitar o montante de autorização no contrato Permit2, ou cancelar rapidamente autorizações em excesso.
Verifique se os tokens que possui suportam a função permit, e tenha cuidado redobrado nas operações relacionadas.
Se por acaso for enganado, é necessário elaborar um plano completo de resgate de ativos, podendo solicitar a ajuda de uma equipe de segurança profissional.
Com a expansão do uso do Permit2, este tipo de casos de phishing poderá aumentar. Pedimos a todos que fiquem atentos e protejam a segurança dos seus ativos digitais.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
17 gostos
Recompensa
17
7
Partilhar
Comentar
0/400
MevHunter
· 5h atrás
Mais uma vez tem que mudar as regras da assinatura. Que chato.
Ver originalResponder0
SellTheBounce
· 08-03 22:23
idiotas novos tipos aumentaram, tomar a posição inversa e shorting.
Ver originalResponder0
0xLuckbox
· 08-03 15:22
Outra vez a enganar idiotas. Fui-me embora.
Ver originalResponder0
AirdropHunterXiao
· 08-03 15:19
Outra lavagem de olhos? A vida é o mais importante, companheiros!
Ver originalResponder0
GamefiHarvester
· 08-03 15:09
Ser enganado por idiotas lá, fazer as pessoas de parvas.
Ver originalResponder0
RektRecorder
· 08-03 15:09
Brincar com Uni ainda pode resultar em perdas, é mesmo fraco.
Ver originalResponder0
rug_connoisseur
· 08-03 15:04
Absurdidade. Sem confiança, o homem não se estabelece. Como é que a Uni não pode ser confiável, se até a ferrovia nacional pode?
Uniswap Permit2 novo esquema de lavar os olhos: assinatura vazada fácil de roubar moeda
Cuidado com o novo esquema de phishing de assinatura Uniswap Permit2
Recentemente, uma nova técnica de phishing utilizando o contrato Uniswap Permit2 está surgindo. Este método é extremamente discreto, difícil de prevenir, e todos os endereços que interagiram com a Uniswap podem estar em risco. Este artigo irá analisar detalhadamente este lavar os olhos, ajudando todos a aumentar a vigilância.
O desenrolar do evento
Recentemente, um usuário (, o pequeno A ), teve os ativos da sua carteira roubados, mas ele não divulgou a chave privada nem interagiu com contratos suspeitos. A investigação revelou que o USDT roubado foi transferido através da função Transfer From, indicando que foi uma transferência operada por terceiros.
Para ver mais detalhes da transação, descubra:
A questão chave é: como é que este endereço desconhecido obteve permissão para os ativos? Por que é que está envolvido com a Uniswap?
Introdução ao contrato Permit2 do Uniswap
Uniswap Permit2 é um novo contrato lançado no final de 2022, destinado a permitir o compartilhamento e gerenciamento de autorização de tokens entre aplicações. Ele pode:
Permit2 serve como uma camada intermediária entre o usuário e o Dapp, permitindo que o usuário apenas autorize o Permit2, e todos os Dapps que integrem o Permit2 possam compartilhar essa autorização. Isso simplifica bastante o fluxo de operação do usuário.
No entanto, o Permit2 também trouxe novos riscos de segurança. Ele transforma as operações dos usuários em assinaturas fora da cadeia, com todas as operações na cadeia sendo realizadas por um intermediário. Neste modelo, os usuários tornam-se mais propensos a ignorar a importância do conteúdo da assinatura.
Análise das técnicas de pesca
A chave para esse tipo de phishing está na função Permit. O atacante utiliza a assinatura do usuário para transferir o limite de tokens que o usuário autorizou ao Permit2 para si mesmo. Assim que obtiver a assinatura, o hacker poderá transferir os ativos do usuário.
Os passos específicos são os seguintes:
O terrível desta abordagem é que, desde que o usuário tenha interagido com o Uniswap e autorizado o Permit2, pode se tornar uma vítima.
Sugestões de Prevenção
Aprenda a identificar o formato da assinatura Permit, que inclui informações chave como Owner, Spender, value, nonce e deadline.
Usar a estratégia de separação de carteiras quentes e frias, a carteira de interação deve armazenar apenas uma pequena quantidade de fundos.
Limitar o montante de autorização no contrato Permit2, ou cancelar rapidamente autorizações em excesso.
Verifique se os tokens que possui suportam a função permit, e tenha cuidado redobrado nas operações relacionadas.
Se por acaso for enganado, é necessário elaborar um plano completo de resgate de ativos, podendo solicitar a ajuda de uma equipe de segurança profissional.
Com a expansão do uso do Permit2, este tipo de casos de phishing poderá aumentar. Pedimos a todos que fiquem atentos e protejam a segurança dos seus ativos digitais.