Осторожно, новая схема мошенничества с фишингом подписей Uniswap Permit2
В последнее время возникает новый вид мошенничества, использующий контракт Uniswap Permit2. Этот метод крайне скрытен, его трудно предотвратить, и все адреса, взаимодействовавшие с Uniswap, могут оказаться под угрозой. В этой статье подробно анализируется это промывание глаз, чтобы помочь всем повысить бдительность.
Ход событий
Недавно пользователь ( 小A) потерял активы в своем кошельке, но он не раскрывал свой приватный ключ и не взаимодействовал с подозрительными контрактами. Расследование показало, что украденный USDT был переведен с помощью функции Transfer From, что указывает на перевод, выполненный третьей стороной.
Дальнейший просмотр деталей сделки показывает:
Активы были переведены на незнакомый адрес
Эта операция взаимодействует с контрактом Permit2 Uniswap.
Ключевой вопрос: как этот незнакомый адрес получил права на активы? Почему он связан с Uniswap?
Введение в контракт Uniswap Permit2
Uniswap Permit2 — это новый контракт, запущенный в конце 2022 года, предназначенный для совместного использования и управления авторизацией токенов между приложениями. Он может:
Снижение затрат на взаимодействие с пользователями
Улучшение пользовательского опыта
Повышение безопасности смарт-контрактов
Permit2 как промежуточный уровень между пользователем и Dapp, пользователю необходимо лишь предоставить разрешение Permit2, и все Dapp, интегрированные с Permit2, могут делиться этим разрешением. Это значительно упрощает процесс взаимодействия для пользователя.
Однако, Permit2 также принес новые проблемы с безопасностью. Он превращает действия пользователя в подписи вне цепи, все действия в цепи выполняются посредником. В этой модели пользователи легче игнорируют важность содержания подписи.
Анализ методов рыбной ловли
Ключом к этому способу фишинга является функция Permit. Злоумышленник использует подпись пользователя, чтобы перенаправить лимит токенов, предоставленный пользователем для Permit2, на себя. Как только злоумышленник получает подпись, он может перенести активы пользователя.
Конкретные шаги следующие:
Пользователь ранее предоставил разрешение контракту Permit2 на Uniswap
Пользователь случайно подписал Permit-подпись, тщательно разработанную хакерами
Хакеры используют подпись для вызова функции Permit контракта Permit2
Хакеры получают доступ к использованию токенов пользователей
Хакеры вызывают функцию Transfer From для перевода активов
Ужас этого метода заключается в том, что любой пользователь, который когда-либо взаимодействовал с Uniswap и авторизовал Permit2, может стать жертвой.
Рекомендации по предотвращению
Научитесь распознавать формат подписи Permit, включая ключевую информацию, такую как Владельца, Распорядителя, значение, nonce и срок действия.
Используйте стратегию разделения холодного и горячего кошелька, интерактивный кошелек должен хранить только небольшую сумму средств.
Ограничьте сумму при авторизации контракта Permit2 или своевременно отмените лишнюю авторизацию.
Узнайте, поддерживает ли токен, который вы держите, функцию permit, будьте особенно осторожны при соответствующих операциях.
Если, к сожалению, вы стали жертвой промывания глаз, необходимо разработать полноценный план спасения активов и можно обратиться за помощью к профессиональной команде безопасности.
С расширением области применения Permit2 такие случаи мошенничества могут становиться все более распространенными. Пожалуйста, будьте бдительны и защищайте свою цифровую активность.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
7
Поделиться
комментарий
0/400
MevHunter
· 8м назад
Снова нужно менять правила подписи. Надоело.
Посмотреть ОригиналОтветить0
SellTheBounce
· 08-03 22:23
неудачники新品种又增加了 занять противоположную позицию шортить去了
Посмотреть ОригиналОтветить0
0xLuckbox
· 08-03 15:22
Снова пришли обманывать неудачников, уходим, уходим.
Посмотреть ОригиналОтветить0
AirdropHunterXiao
· 08-03 15:19
Снова новое промывание глаз? Берегите свою жизнь, приятели!
Посмотреть ОригиналОтветить0
GamefiHarvester
· 08-03 15:09
Опять будут играть для лохов, не могут закончить.
Посмотреть ОригиналОтветить0
RektRecorder
· 08-03 15:09
Играть на Uni и всё равно терять деньги, это действительно плохо.
Посмотреть ОригиналОтветить0
rug_connoisseur
· 08-03 15:04
Неприемлемо. Человек без доверия не может стоять. Почему Национальная железная дорога может быть надежной, а uni нет?
Uniswap Permit2 новый тип промывания глаз: утечка подписи легко позволяет украсть токены
Осторожно, новая схема мошенничества с фишингом подписей Uniswap Permit2
В последнее время возникает новый вид мошенничества, использующий контракт Uniswap Permit2. Этот метод крайне скрытен, его трудно предотвратить, и все адреса, взаимодействовавшие с Uniswap, могут оказаться под угрозой. В этой статье подробно анализируется это промывание глаз, чтобы помочь всем повысить бдительность.
Ход событий
Недавно пользователь ( 小A) потерял активы в своем кошельке, но он не раскрывал свой приватный ключ и не взаимодействовал с подозрительными контрактами. Расследование показало, что украденный USDT был переведен с помощью функции Transfer From, что указывает на перевод, выполненный третьей стороной.
Дальнейший просмотр деталей сделки показывает:
Ключевой вопрос: как этот незнакомый адрес получил права на активы? Почему он связан с Uniswap?
Введение в контракт Uniswap Permit2
Uniswap Permit2 — это новый контракт, запущенный в конце 2022 года, предназначенный для совместного использования и управления авторизацией токенов между приложениями. Он может:
Permit2 как промежуточный уровень между пользователем и Dapp, пользователю необходимо лишь предоставить разрешение Permit2, и все Dapp, интегрированные с Permit2, могут делиться этим разрешением. Это значительно упрощает процесс взаимодействия для пользователя.
Однако, Permit2 также принес новые проблемы с безопасностью. Он превращает действия пользователя в подписи вне цепи, все действия в цепи выполняются посредником. В этой модели пользователи легче игнорируют важность содержания подписи.
Анализ методов рыбной ловли
Ключом к этому способу фишинга является функция Permit. Злоумышленник использует подпись пользователя, чтобы перенаправить лимит токенов, предоставленный пользователем для Permit2, на себя. Как только злоумышленник получает подпись, он может перенести активы пользователя.
Конкретные шаги следующие:
Ужас этого метода заключается в том, что любой пользователь, который когда-либо взаимодействовал с Uniswap и авторизовал Permit2, может стать жертвой.
Рекомендации по предотвращению
Научитесь распознавать формат подписи Permit, включая ключевую информацию, такую как Владельца, Распорядителя, значение, nonce и срок действия.
Используйте стратегию разделения холодного и горячего кошелька, интерактивный кошелек должен хранить только небольшую сумму средств.
Ограничьте сумму при авторизации контракта Permit2 или своевременно отмените лишнюю авторизацию.
Узнайте, поддерживает ли токен, который вы держите, функцию permit, будьте особенно осторожны при соответствующих операциях.
Если, к сожалению, вы стали жертвой промывания глаз, необходимо разработать полноценный план спасения активов и можно обратиться за помощью к профессиональной команде безопасности.
С расширением области применения Permit2 такие случаи мошенничества могут становиться все более распространенными. Пожалуйста, будьте бдительны и защищайте свою цифровую активность.