Остерігайтеся нового замилювання очей з підписом Uniswap Permit2
Нещодавно виник новий тип фішингової атаки, що використовує контракт Uniswap Permit2. Цей метод надзвичайно прихований, його важко виявити, і всі адреси, які взаємодіяли з Uniswap, можуть бути під загрозою. У цій статті буде детально розглянуто це замилювання очей, щоб допомогти всім підвищити обізнаність.
Хід подій
Нещодавно один користувач ( малий А ) втратив активи свого гаманця, але він не розкривав свій приватний ключ або не взаємодіяв з підозрілими контрактами. Розслідування виявило, що вкрадений USDT був переміщений за допомогою функції Transfer From, що свідчить про те, що переказ здійснював третій сторонній.
Додатково переглянувши деталі угоди, виявлено:
Активи були переведені на незнайому адресу
Ця операція взаємодіє з контрактом Permit2 від Uniswap
Ключове питання: як ця незнайома адреса отримала доступ до активів? Чому це стосується Uniswap?
Вступ до контракту Uniswap Permit2
Uniswap Permit2 є новим контрактом, представленим наприкінці 2022 року, який має на меті реалізацію спільного використання та управління авторизацією токенів між додатками. Він може:
Зменшити витрати на взаємодію користувачів
Покращення досвіду користувачів
Покращення безпеки смарт-контрактів
Permit2 як проміжний шар між користувачем та Dapp, користувачеві потрібно лише надати дозвіл Permit2, всі Dapp, які інтегрують Permit2, можуть ділитися цим дозволом. Це значно спрощує процеси дій користувача.
Однак, Permit2 також принесло нові ризики безпеки. Воно перетворює дії користувачів на підписі поза ланцюгом, всі дії в ланцюгу виконуються посередницькою стороною. У цій моделі користувачі легше ігнорують важливість вмісту підпису.
Аналіз методів фішингу
Ключовим моментом цього способу фішингу є функція Permit. Зловмисник використовує підпис користувача, щоб перевести дозволений токен користувача до Permit2 на себе. Як тільки він отримує підпис, хакер може перевести активи користувача.
Конкретні кроки такі:
Користувач раніше авторизував контракт Permit2 на Uniswap
Користувач випадково підписав Permit підпис, ретельно спроектований хакерами
Хакери використовують підпис для виклику функції Permit контракту Permit2
Хакери отримали доступ до використання токенів користувачів
Хакер викликає функцію Transfer From для передачі активів
Страшна сторона цього методу полягає в тому, що будь-який користувач, який коли-небудь взаємодіяв з Uniswap і надав Permit2, може стати жертвою.
Рекомендації щодо запобігання
Навчіться розпізнавати формат підпису Permit, що включає ключову інформацію, таку як Owner, Spender, value, nonce та deadline.
Використовуйте стратегію розділення гарячих і холодних гаманців, гаманець для взаємодії зберігає лише невелику кількість коштів.
Обмеження суми при авторизації контракту Permit2 або своєчасне скасування надмірної авторизації
Досліджуйте, чи підтримує ваш токен функцію permit, будьте особливо обережні з відповідними операціями.
Якщо, на жаль, вас обманули, потрібно розробити детальний план порятунку активів, можна звернутися за допомогою до професійної команди безпеки.
З розширенням сфери застосування Permit2, такі випадки шахрайства можуть ставати все більш поширеними. Прошу всіх бути уважними та захищати свої цифрові активи.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
6
Поділіться
Прокоментувати
0/400
SellTheBounce
· 1год тому
невдахи新品种又增加了 зайняти протилежну позицію шортити去了
Переглянути оригіналвідповісти на0
0xLuckbox
· 8год тому
Знову прийшли кинути невдахи, втікаю, втікаю.
Переглянути оригіналвідповісти на0
AirdropHunterXiao
· 8год тому
Ще одне замилювання очей? Збереження життя важливе, приятелі!
Переглянути оригіналвідповісти на0
GamefiHarvester
· 8год тому
Знову обдурюють людей, як лохів. Не закінчиться.
Переглянути оригіналвідповісти на0
RektRecorder
· 8год тому
Грати в Uni і все ще втрачати гроші – це справжня недалекоглядність.
Переглянути оригіналвідповісти на0
rug_connoisseur
· 8год тому
Неприпустимо. Людина без честі не може стояти. Чому національна залізниця може бути надійною, а UNI не може?
Uniswap Permit2 новий вид замилювання очей: підпис витікає легко краде монети
Остерігайтеся нового замилювання очей з підписом Uniswap Permit2
Нещодавно виник новий тип фішингової атаки, що використовує контракт Uniswap Permit2. Цей метод надзвичайно прихований, його важко виявити, і всі адреси, які взаємодіяли з Uniswap, можуть бути під загрозою. У цій статті буде детально розглянуто це замилювання очей, щоб допомогти всім підвищити обізнаність.
Хід подій
Нещодавно один користувач ( малий А ) втратив активи свого гаманця, але він не розкривав свій приватний ключ або не взаємодіяв з підозрілими контрактами. Розслідування виявило, що вкрадений USDT був переміщений за допомогою функції Transfer From, що свідчить про те, що переказ здійснював третій сторонній.
Додатково переглянувши деталі угоди, виявлено:
Ключове питання: як ця незнайома адреса отримала доступ до активів? Чому це стосується Uniswap?
Вступ до контракту Uniswap Permit2
Uniswap Permit2 є новим контрактом, представленим наприкінці 2022 року, який має на меті реалізацію спільного використання та управління авторизацією токенів між додатками. Він може:
Permit2 як проміжний шар між користувачем та Dapp, користувачеві потрібно лише надати дозвіл Permit2, всі Dapp, які інтегрують Permit2, можуть ділитися цим дозволом. Це значно спрощує процеси дій користувача.
Однак, Permit2 також принесло нові ризики безпеки. Воно перетворює дії користувачів на підписі поза ланцюгом, всі дії в ланцюгу виконуються посередницькою стороною. У цій моделі користувачі легше ігнорують важливість вмісту підпису.
Аналіз методів фішингу
Ключовим моментом цього способу фішингу є функція Permit. Зловмисник використовує підпис користувача, щоб перевести дозволений токен користувача до Permit2 на себе. Як тільки він отримує підпис, хакер може перевести активи користувача.
Конкретні кроки такі:
Страшна сторона цього методу полягає в тому, що будь-який користувач, який коли-небудь взаємодіяв з Uniswap і надав Permit2, може стати жертвою.
Рекомендації щодо запобігання
Навчіться розпізнавати формат підпису Permit, що включає ключову інформацію, таку як Owner, Spender, value, nonce та deadline.
Використовуйте стратегію розділення гарячих і холодних гаманців, гаманець для взаємодії зберігає лише невелику кількість коштів.
Обмеження суми при авторизації контракту Permit2 або своєчасне скасування надмірної авторизації
Досліджуйте, чи підтримує ваш токен функцію permit, будьте особливо обережні з відповідними операціями.
Якщо, на жаль, вас обманули, потрібно розробити детальний план порятунку активів, можна звернутися за допомогою до професійної команди безпеки.
З розширенням сфери застосування Permit2, такі випадки шахрайства можуть ставати все більш поширеними. Прошу всіх бути уважними та захищати свої цифрові активи.