Cảnh giác với trò lừa bịp mới liên quan đến chữ ký Uniswap Permit2
Gần đây, một phương pháp lừa đảo mới sử dụng hợp đồng Uniswap Permit2 đang nổi lên. Phương pháp này cực kỳ tinh vi, khó phòng ngừa, và tất cả các địa chỉ đã tương tác với Uniswap đều có thể đối mặt với rủi ro. Bài viết này sẽ phân tích chi tiết trò lừa bịp này, giúp mọi người nâng cao cảnh giác.
Diễn biến sự kiện
Gần đây, một người dùng ( nhỏ A ) đã bị đánh cắp tài sản trong ví, nhưng anh ta không tiết lộ khóa riêng tư hoặc tương tác với hợp đồng nghi ngờ. Cuộc điều tra cho thấy, số USDT bị đánh cắp này đã được chuyển đi qua hàm Transfer From, cho thấy đây là giao dịch chuyển tiền của bên thứ ba.
Tiếp tục xem xét chi tiết giao dịch, phát hiện:
Tài sản đã được chuyển đến một địa chỉ lạ
Hành động này tương tác với hợp đồng Permit2 của Uniswap.
Câu hỏi quan trọng là: địa chỉ lạ này đã nhận được quyền truy cập tài sản như thế nào? Tại sao lại liên quan đến Uniswap?
Giới thiệu hợp đồng Uniswap Permit2
Uniswap Permit2 là hợp đồng mới được ra mắt vào cuối năm 2022, nhằm mục đích thực hiện việc chia sẻ và quản lý quyền cấp phép token giữa các ứng dụng. Nó có thể:
Giảm chi phí tương tác của người dùng
Nâng cao trải nghiệm người dùng
Tăng cường tính bảo mật của hợp đồng thông minh
Permit2 như một lớp trung gian giữa người dùng và Dapp, người dùng chỉ cần cấp quyền cho Permit2, tất cả các Dapp tích hợp Permit2 đều có thể chia sẻ quyền này. Điều này đã đơn giản hóa đáng kể quy trình thao tác của người dùng.
Tuy nhiên, Permit2 cũng mang lại những rủi ro về an ninh mới. Nó biến các thao tác của người dùng thành chữ ký ngoại tuyến, tất cả các thao tác trên chuỗi đều được thực hiện bởi một vai trò trung gian. Trong mô hình này, người dùng dễ dàng bỏ qua tầm quan trọng của nội dung chữ ký.
Phân tích phương pháp câu cá
Cách câu cá này chủ yếu dựa vào hàm Permit. Kẻ tấn công lợi dụng chữ ký của người dùng, chuyển nhượng hạn mức token mà người dùng đã ủy quyền cho Permit2 sang tài khoản của mình. Chỉ cần có chữ ký, hacker có thể chuyển nhượng tài sản của người dùng.
Cụ thể các bước như sau:
Người dùng đã ủy quyền hợp đồng Permit2 trên Uniswap trước đó
Người dùng vô tình ký vào chữ ký Permit được thiết kế tinh vi bởi hacker
Hacker lợi dụng chữ ký gọi hàm Permit của hợp đồng Permit2
Hacker nhận quyền sử dụng token của người dùng
Hacker gọi hàm Transfer From để chuyển tài sản
Điều đáng sợ của phương pháp này là, bất kỳ khi nào người dùng đã tương tác với Uniswap và ủy quyền Permit2, họ có thể trở thành nạn nhân.
Gợi ý phòng ngừa
Học cách nhận biết định dạng chữ ký Permit, bao gồm Owner, Spender, value, nonce và deadline cùng các thông tin quan trọng khác.
Sử dụng chiến lược tách biệt ví nóng và ví lạnh, ví tương tác chỉ lưu trữ một lượng nhỏ tiền.
Giới hạn số tiền khi ủy quyền hợp đồng Permit2, hoặc hủy bỏ ủy quyền thừa kịp thời.
Tìm hiểu xem các token bạn nắm giữ có hỗ trợ chức năng permit hay không, hãy đặc biệt cẩn thận với các thao tác liên quan.
Nếu không may bị lừa bịp, cần lập kế hoạch cứu trợ tài sản hoàn chỉnh, có thể tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp.
Khi phạm vi ứng dụng Permit2 mở rộng, các trường hợp lừa đảo kiểu này có thể sẽ ngày càng nhiều. Mọi người hãy nâng cao cảnh giác, bảo vệ an toàn tài sản kỹ thuật số của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
6
Chia sẻ
Bình luận
0/400
SellTheBounce
· 16giờ trước
đồ ngốc新品种又增加了 vị thế đối diện short去了
Xem bản gốcTrả lời0
0xLuckbox
· 23giờ trước
Lại đến để lừa đồ ngốc rồi. Chạy thôi!
Xem bản gốcTrả lời0
AirdropHunterXiao
· 23giờ trước
Lại xuất hiện trò lừa bịp mới? Bảo mạng là quan trọng lắm bạn thân!
Xem bản gốcTrả lời0
GamefiHarvester
· 23giờ trước
Lại được chơi cho Suckers rồi, không bao giờ hết.
Xem bản gốcTrả lời0
RektRecorder
· 23giờ trước
Chơi Uni mà vẫn có thể thua tiền, thật là kém.
Xem bản gốcTrả lời0
rug_connoisseur
· 23giờ trước
Quá đáng, người không có tín thì không đứng vững, Quốc Đường có thể tin được, tại sao uni lại không thể tin được?
Uniswap Permit2 trò lừa bịp mới: chữ ký bị lộ dễ dàng盗币
Cảnh giác với trò lừa bịp mới liên quan đến chữ ký Uniswap Permit2
Gần đây, một phương pháp lừa đảo mới sử dụng hợp đồng Uniswap Permit2 đang nổi lên. Phương pháp này cực kỳ tinh vi, khó phòng ngừa, và tất cả các địa chỉ đã tương tác với Uniswap đều có thể đối mặt với rủi ro. Bài viết này sẽ phân tích chi tiết trò lừa bịp này, giúp mọi người nâng cao cảnh giác.
Diễn biến sự kiện
Gần đây, một người dùng ( nhỏ A ) đã bị đánh cắp tài sản trong ví, nhưng anh ta không tiết lộ khóa riêng tư hoặc tương tác với hợp đồng nghi ngờ. Cuộc điều tra cho thấy, số USDT bị đánh cắp này đã được chuyển đi qua hàm Transfer From, cho thấy đây là giao dịch chuyển tiền của bên thứ ba.
Tiếp tục xem xét chi tiết giao dịch, phát hiện:
Câu hỏi quan trọng là: địa chỉ lạ này đã nhận được quyền truy cập tài sản như thế nào? Tại sao lại liên quan đến Uniswap?
Giới thiệu hợp đồng Uniswap Permit2
Uniswap Permit2 là hợp đồng mới được ra mắt vào cuối năm 2022, nhằm mục đích thực hiện việc chia sẻ và quản lý quyền cấp phép token giữa các ứng dụng. Nó có thể:
Permit2 như một lớp trung gian giữa người dùng và Dapp, người dùng chỉ cần cấp quyền cho Permit2, tất cả các Dapp tích hợp Permit2 đều có thể chia sẻ quyền này. Điều này đã đơn giản hóa đáng kể quy trình thao tác của người dùng.
Tuy nhiên, Permit2 cũng mang lại những rủi ro về an ninh mới. Nó biến các thao tác của người dùng thành chữ ký ngoại tuyến, tất cả các thao tác trên chuỗi đều được thực hiện bởi một vai trò trung gian. Trong mô hình này, người dùng dễ dàng bỏ qua tầm quan trọng của nội dung chữ ký.
Phân tích phương pháp câu cá
Cách câu cá này chủ yếu dựa vào hàm Permit. Kẻ tấn công lợi dụng chữ ký của người dùng, chuyển nhượng hạn mức token mà người dùng đã ủy quyền cho Permit2 sang tài khoản của mình. Chỉ cần có chữ ký, hacker có thể chuyển nhượng tài sản của người dùng.
Cụ thể các bước như sau:
Điều đáng sợ của phương pháp này là, bất kỳ khi nào người dùng đã tương tác với Uniswap và ủy quyền Permit2, họ có thể trở thành nạn nhân.
Gợi ý phòng ngừa
Học cách nhận biết định dạng chữ ký Permit, bao gồm Owner, Spender, value, nonce và deadline cùng các thông tin quan trọng khác.
Sử dụng chiến lược tách biệt ví nóng và ví lạnh, ví tương tác chỉ lưu trữ một lượng nhỏ tiền.
Giới hạn số tiền khi ủy quyền hợp đồng Permit2, hoặc hủy bỏ ủy quyền thừa kịp thời.
Tìm hiểu xem các token bạn nắm giữ có hỗ trợ chức năng permit hay không, hãy đặc biệt cẩn thận với các thao tác liên quan.
Nếu không may bị lừa bịp, cần lập kế hoạch cứu trợ tài sản hoàn chỉnh, có thể tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp.
Khi phạm vi ứng dụng Permit2 mở rộng, các trường hợp lừa đảo kiểu này có thể sẽ ngày càng nhiều. Mọi người hãy nâng cao cảnh giác, bảo vệ an toàn tài sản kỹ thuật số của mình.