المخاطر الخفية: تحليل عملية تضليل توقيع Uniswap Permit2
القراصنة هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمشروعات، تجعل ميزة الشيفرة المصدرية المفتوحة منهم حذرين للغاية، خشية أن يؤدي سطر واحد من الشيفرة الخاطئة إلى ثغرة أمنية. بالنسبة للمستخدمين الأفراد، فإن كل تفاعل على السلسلة أو توقيع قد يهدد أمان الأصول، إذا لم يفهموا معنى العمليات. لذا، فإن مشكلة الأمان كانت دائمًا واحدة من أكثر القضايا صعوبة في عالم التشفير. نظرًا للطبيعة غير القابلة للعكس للبلوكشين، فإن الأصول المسروقة تكاد تكون مستحيلة الاسترجاع، مما يجعل المعرفة الأمنية ذات أهمية خاصة في عالم التشفير.
مؤخراً، أثار نوع جديد من أساليب الاحتيال انتباه الجميع. هذه الطريقة سرية للغاية وصعبة الحماية، حيث يكفي توقيع واحد لسرقة الأصول. والأسوأ من ذلك، أن العناوين التي تفاعلت مع Uniswap قد تواجه خطرًا. ستقوم هذه المقالة بتحليل عميق لهذه الطريقة الاحتيالية القائمة على التوقيع، لمساعدة القراء على تجنب خسائر الأصول.
سير الأحداث
الأمر بدأ عندما أبلغ صديق يُدعى صغير أ بأن أصوله ( قد سُرقت. على عكس حالات السرقة الشائعة، لم يقم صغير أ بكشف مفتاحه الخاص، ولم يتفاعل مع عقود مشبوهة. وكشفت التحقيقات الإضافية أن USDT الخاص بصغير أ قد تم نقله من خلال دالة Transfer From. وهذا يعني أن عنوانًا طرفيًا هو الذي قام بتحويل الرموز، وليس بسبب تسرب مفتاحه الخاص.
تفاصيل المعاملة تظهر:
عنوان ينتهي بالرقم fd51 قام بنقل أصول الصغيرة A إلى عنوان آخر
هذه العملية تتم من خلال التفاعل مع عقد Permit2 الخاص بـ Uniswap
المسألة الأساسية هي: كيف حصل عنوان fd51 على صلاحيات التحكم في أصول صغير A؟ ولماذا يتعلق الأمر بـ Uniswap؟
أظهر التحليل المتعمق أنه قبل نقل أصول A الصغيرة، قام عنوان fd51 أيضًا بإجراء عملية تصريح، وأن هاتين العمليتين تتفاعلان مع عقد Permit2 الخاص بـ Uniswap.
Uniswap Permit2 هو عقد جديد تم إطلاقه في نهاية عام 2022. يسمح بمشاركة وإدارة تفويضات الرموز بين التطبيقات المختلفة، ويهدف إلى خلق تجربة مستخدم أكثر اتساقًا وفعالية من حيث التكلفة وأمانًا.
هدف Permit2 هو تقليل تكلفة التفاعل للمستخدمين. في النموذج التقليدي، يحتاج المستخدم إلى تفويض منفصل في كل مرة يتفاعل فيها مع Dapp مختلفة. كوسيط، يحتاج المستخدم فقط إلى تفويض Permit2 مرة واحدة، ويمكن لجميع Dapps المدمجة مع Permit2 مشاركة هذا التفويض.
على الرغم من أن هذه الطريقة تعزز تجربة المستخدم، إلا أنها تجلب مخاطر جديدة. يقوم Permit2 بتحويل عمليات المستخدم إلى توقيع خارج السلسلة، ويتم تنفيذ جميع العمليات على السلسلة بواسطة طرف وسيط. وهذا يجعل المستخدمين قادرين على إتمام المعاملات حتى بدون ETH، ولكن في نفس الوقت يزيد من خطر إساءة استخدام التوقيع.
![توقيع تم سرقته؟ الكشف عن عملية احتيال توقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
تحليل أساليب الصيد
المفتاح في هجوم الصيد هو استخدام دالة permit في عقد Permit2. تتيح هذه الدالة للمستخدمين تفويض عناوين أخرى لاستخدام رموزهم من خلال التوقيع. بعد أن يحصل المهاجم على توقيع المستخدم، يمكنه نقل أصول المستخدم من خلال عقد Permit2.
عملية الهجوم كما يلي:
قام المستخدم بإجراء عمليات تفويض على منصات مثل Uniswap التي تدمج Permit2
المهاجمون يحثون المستخدمين على توقيع رسائل تبدو غير ضارة
بعد الحصول على التفويض، يقوم المهاجم باستدعاء دالة transferFrom لنقل أصول المستخدم.
من المهم ملاحظة أن Uniswap Permit2 يطلب بشكل افتراضي حدود تفويض غير محدودة، مما يزيد من المخاطر.
![توقيعك مسروق؟ كشف عن عملية الاحتيال بتوقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
نصائح للوقاية
تعلم كيفية التعرف على وفهم محتوى التوقيع، خاصةً ما يتعلق بالتوقيع المتعلق بـ Permit
استخدام استراتيجية فصل المحفظة الباردة والساخنة، حيث تحتفظ المحفظة التفاعلية بمبلغ صغير فقط من الأموال
عند تفويض عقد Permit2، يتم تفويض المبلغ المطلوب فقط، أو إلغاء التفويض الزائد في الوقت المناسب.
تعرف على ما إذا كانت الرموز التي تمتلكها تدعم وظيفة التصريح، وكن حذرًا بشأن المعاملات ذات الصلة.
في حال تعرضت لهجوم، إذا كانت لديك أصول على منصات أخرى، يجب وضع خطة شاملة لنقل الأصول.
مع توسع نطاق تطبيق Permit2، قد تزداد هجمات التصيد التي تستند إليه. وهذه الطريقة في التصيد بواسطة التوقيع خفية للغاية وصعبة الحماية، نأمل أن يظل القراء متيقظين، وأن يشاركوا المعرفة ذات الصلة مع المزيد من الأشخاص، للحفاظ على أمان الأصول.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 21
أعجبني
21
5
مشاركة
تعليق
0/400
SandwichHunter
· 07-31 06:02
تعلم من الأخطاء ولا توقع بشكل أعمى
شاهد النسخة الأصليةرد0
MetaverseLandlady
· 07-30 22:59
小حمقى还得长个心眼
شاهد النسخة الأصليةرد0
OnChainDetective
· 07-29 14:56
تتبع عدة استغلالات لـ permit2... النمط يشير إلى أن 47% من الضحايا كان لديهم تفاعلات سابقة مع uni. هذا ليس عشوائيًا.
شاهد النسخة الأصليةرد0
0xSherlock
· 07-29 14:52
خائف خائف... لا يزال من الأفضل استخدام حساب ثانوي للعب U
احتيال توقيع Uniswap Permit2 الجديد: مخاطر سرقة الأصول واستراتيجيات الحماية
المخاطر الخفية: تحليل عملية تضليل توقيع Uniswap Permit2
القراصنة هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمشروعات، تجعل ميزة الشيفرة المصدرية المفتوحة منهم حذرين للغاية، خشية أن يؤدي سطر واحد من الشيفرة الخاطئة إلى ثغرة أمنية. بالنسبة للمستخدمين الأفراد، فإن كل تفاعل على السلسلة أو توقيع قد يهدد أمان الأصول، إذا لم يفهموا معنى العمليات. لذا، فإن مشكلة الأمان كانت دائمًا واحدة من أكثر القضايا صعوبة في عالم التشفير. نظرًا للطبيعة غير القابلة للعكس للبلوكشين، فإن الأصول المسروقة تكاد تكون مستحيلة الاسترجاع، مما يجعل المعرفة الأمنية ذات أهمية خاصة في عالم التشفير.
مؤخراً، أثار نوع جديد من أساليب الاحتيال انتباه الجميع. هذه الطريقة سرية للغاية وصعبة الحماية، حيث يكفي توقيع واحد لسرقة الأصول. والأسوأ من ذلك، أن العناوين التي تفاعلت مع Uniswap قد تواجه خطرًا. ستقوم هذه المقالة بتحليل عميق لهذه الطريقة الاحتيالية القائمة على التوقيع، لمساعدة القراء على تجنب خسائر الأصول.
سير الأحداث
الأمر بدأ عندما أبلغ صديق يُدعى صغير أ بأن أصوله ( قد سُرقت. على عكس حالات السرقة الشائعة، لم يقم صغير أ بكشف مفتاحه الخاص، ولم يتفاعل مع عقود مشبوهة. وكشفت التحقيقات الإضافية أن USDT الخاص بصغير أ قد تم نقله من خلال دالة Transfer From. وهذا يعني أن عنوانًا طرفيًا هو الذي قام بتحويل الرموز، وليس بسبب تسرب مفتاحه الخاص.
تفاصيل المعاملة تظهر:
المسألة الأساسية هي: كيف حصل عنوان fd51 على صلاحيات التحكم في أصول صغير A؟ ولماذا يتعلق الأمر بـ Uniswap؟
أظهر التحليل المتعمق أنه قبل نقل أصول A الصغيرة، قام عنوان fd51 أيضًا بإجراء عملية تصريح، وأن هاتين العمليتين تتفاعلان مع عقد Permit2 الخاص بـ Uniswap.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
تحليل عقد Uniswap Permit2
Uniswap Permit2 هو عقد جديد تم إطلاقه في نهاية عام 2022. يسمح بمشاركة وإدارة تفويضات الرموز بين التطبيقات المختلفة، ويهدف إلى خلق تجربة مستخدم أكثر اتساقًا وفعالية من حيث التكلفة وأمانًا.
هدف Permit2 هو تقليل تكلفة التفاعل للمستخدمين. في النموذج التقليدي، يحتاج المستخدم إلى تفويض منفصل في كل مرة يتفاعل فيها مع Dapp مختلفة. كوسيط، يحتاج المستخدم فقط إلى تفويض Permit2 مرة واحدة، ويمكن لجميع Dapps المدمجة مع Permit2 مشاركة هذا التفويض.
على الرغم من أن هذه الطريقة تعزز تجربة المستخدم، إلا أنها تجلب مخاطر جديدة. يقوم Permit2 بتحويل عمليات المستخدم إلى توقيع خارج السلسلة، ويتم تنفيذ جميع العمليات على السلسلة بواسطة طرف وسيط. وهذا يجعل المستخدمين قادرين على إتمام المعاملات حتى بدون ETH، ولكن في نفس الوقت يزيد من خطر إساءة استخدام التوقيع.
![توقيع تم سرقته؟ الكشف عن عملية احتيال توقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
تحليل أساليب الصيد
المفتاح في هجوم الصيد هو استخدام دالة permit في عقد Permit2. تتيح هذه الدالة للمستخدمين تفويض عناوين أخرى لاستخدام رموزهم من خلال التوقيع. بعد أن يحصل المهاجم على توقيع المستخدم، يمكنه نقل أصول المستخدم من خلال عقد Permit2.
عملية الهجوم كما يلي:
من المهم ملاحظة أن Uniswap Permit2 يطلب بشكل افتراضي حدود تفويض غير محدودة، مما يزيد من المخاطر.
![توقيعك مسروق؟ كشف عن عملية الاحتيال بتوقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
نصائح للوقاية
تعلم كيفية التعرف على وفهم محتوى التوقيع، خاصةً ما يتعلق بالتوقيع المتعلق بـ Permit
استخدام استراتيجية فصل المحفظة الباردة والساخنة، حيث تحتفظ المحفظة التفاعلية بمبلغ صغير فقط من الأموال
عند تفويض عقد Permit2، يتم تفويض المبلغ المطلوب فقط، أو إلغاء التفويض الزائد في الوقت المناسب.
تعرف على ما إذا كانت الرموز التي تمتلكها تدعم وظيفة التصريح، وكن حذرًا بشأن المعاملات ذات الصلة.
في حال تعرضت لهجوم، إذا كانت لديك أصول على منصات أخرى، يجب وضع خطة شاملة لنقل الأصول.
مع توسع نطاق تطبيق Permit2، قد تزداد هجمات التصيد التي تستند إليه. وهذه الطريقة في التصيد بواسطة التوقيع خفية للغاية وصعبة الحماية، نأمل أن يظل القراء متيقظين، وأن يشاركوا المعرفة ذات الصلة مع المزيد من الأشخاص، للحفاظ على أمان الأصول.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(