Peligros ocultos: Análisis del lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia intimidante en el ecosistema Web3. Para los desarrolladores de proyectos, la característica de código abierto les hace estar nerviosos, temiendo que una línea de código erróneo pueda provocar una vulnerabilidad de seguridad. Para los usuarios individuales, cada interacción en la cadena o firma puede poner en peligro la seguridad de sus activos, si no comprenden el significado de la operación. Por lo tanto, los problemas de seguridad siempre han sido uno de los desafíos más difíciles en el mundo de las criptomonedas. Debido a la naturaleza irreversible de la blockchain, los activos robados son casi imposibles de recuperar, lo que hace que el conocimiento de seguridad sea especialmente importante en el mundo de las criptomonedas.
Recientemente, un nuevo método de phishing ha llamado la atención. Este método es extremadamente encubierto y difícil de prevenir, ya que solo se necesita una firma para que los activos sean robados. Lo que es peor, las direcciones que han interactuado con Uniswap pueden estar en riesgo. Este artículo analizará en profundidad este método de phishing por firma para ayudar a los lectores a evitar pérdidas de activos.
Descripción del evento
La situación se originó cuando un amigo llamado Xiao A, con el número de identificación (, afirmó que sus activos habían sido robados. A diferencia de los casos comunes de robo, Xiao A no había filtrado su clave privada ni había interactuado con contratos sospechosos. Una investigación más profunda reveló que los USDT de Xiao A fueron transferidos mediante la función Transfer From. Esto significa que una dirección de terceros operó para transferir el Token, y no hubo filtración de la clave privada.
Detalles de la transacción:
Una dirección que termina en fd51 transfirió los activos de Xiao A a otra dirección
Esta operación se realiza interactuando con el contrato Permit2 de Uniswap
La cuestión clave es: ¿cómo obtuvo la dirección fd51 los permisos de operación de los activos de Xiao A? ¿Por qué está relacionada con Uniswap?
Un análisis profundo revela que, antes de transferir los activos de A, la dirección fd51 realizó una operación de Permiso, y ambas operaciones interactuaron con el contrato Permit2 de Uniswap.
![¿Firmar y ser robado? Revelando el lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Análisis del contrato Permit2 de Uniswap
Uniswap Permit2 es un nuevo contrato lanzado a finales de 2022. Permite compartir y gestionar la autorización de tokens entre diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, rentable y segura.
El objetivo de Permit2 es reducir el costo de interacción del usuario. En el modelo tradicional, el usuario debe otorgar autorización de forma independiente cada vez que interactúa con diferentes Dapps. Permit2 actúa como intermediario, permitiendo que el usuario solo autorice a Permit2 una vez, y todas las Dapps que integren Permit2 pueden compartir esa autorización.
Este método, aunque mejora la experiencia del usuario, también trae nuevos riesgos. Permit2 convierte las operaciones del usuario en firmas fuera de la cadena, y todas las operaciones en la cadena son realizadas por un rol intermedio. Esto permite que los usuarios completen transacciones incluso sin ETH, pero al mismo tiempo aumenta el riesgo de abuso de las firmas.
![¿Te roban al firmar? Revelamos el lavado de ojos de firmas de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Análisis de técnicas de phishing
La clave del ataque de phishing radica en el uso de la función permit del contrato Permit2. Esta función permite a los usuarios autorizar a otras direcciones a usar sus tokens mediante una firma. Una vez que el atacante obtiene la firma del usuario, puede transferir los activos del usuario a través del contrato Permit2.
El proceso de ataque es el siguiente:
El usuario ha realizado operaciones de autorización en plataformas que integran Permit2, como Uniswap.
El atacante induce al usuario a firmar mensajes que parecen inofensivos.
El atacante utiliza la firma para llamar a la función permit del contrato Permit2
El contrato Permit2 verifica la validez de la firma y actualiza la autorización
El atacante llama a la función transferFrom para transferir los activos del usuario después de haber obtenido la autorización.
Cabe destacar que el Permit2 de Uniswap solicita por defecto un límite de autorización ilimitado, lo que aumenta aún más el riesgo.
![¿Firma y te roban? Revelando el Lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Sugerencias de prevención
Aprende a identificar y comprender el contenido de la firma, especialmente en lo que se refiere a las firmas relacionadas con el Permiso.
Adoptar una estrategia de separación de billeteras frías y calientes, la billetera de interacción solo debe mantener una pequeña cantidad de fondos.
Al autorizar el contrato Permit2, solo autorice la cantidad necesaria o cancele a tiempo la autorización excesiva.
Conocer si los tokens que posees admiten la función permit, mantén la vigilancia sobre las transacciones relacionadas.
Si desafortunadamente sufres un ataque, si tienes activos en otras plataformas, debes elaborar un plan completo de transferencia de activos.
A medida que se expande el alcance de Permit2, los ataques de phishing basados en esto pueden volverse cada vez más frecuentes. Este método de phishing por firma es extremadamente sigiloso y difícil de prevenir, espero que los lectores puedan estar alertas y compartir este conocimiento con más personas para mantener la seguridad de los activos.
![¿Te roban solo por firmar? Revelando el Lavado de ojos del phishing de firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
21 me gusta
Recompensa
21
5
Compartir
Comentar
0/400
SandwichHunter
· 07-31 06:02
Aprender de los errores, no firmes a ciegas.
Ver originalesResponder0
MetaverseLandlady
· 07-30 22:59
Los tontos aún deben estar atentos.
Ver originalesResponder0
OnChainDetective
· 07-29 14:56
se rastrearon múltiples explotaciones de permit2... el patrón sugiere que el 47% de las víctimas tenían interacciones previas con uni. esto no es aleatorio.
Ver originalesResponder0
0xSherlock
· 07-29 14:52
Tengo miedo, tengo miedo... es más confiable usar una cuenta secundaria para correr U.
Nuevo Lavado de ojos de firma Permit2 de Uniswap: riesgos de robo de activos y estrategias de prevención
Peligros ocultos: Análisis del lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia intimidante en el ecosistema Web3. Para los desarrolladores de proyectos, la característica de código abierto les hace estar nerviosos, temiendo que una línea de código erróneo pueda provocar una vulnerabilidad de seguridad. Para los usuarios individuales, cada interacción en la cadena o firma puede poner en peligro la seguridad de sus activos, si no comprenden el significado de la operación. Por lo tanto, los problemas de seguridad siempre han sido uno de los desafíos más difíciles en el mundo de las criptomonedas. Debido a la naturaleza irreversible de la blockchain, los activos robados son casi imposibles de recuperar, lo que hace que el conocimiento de seguridad sea especialmente importante en el mundo de las criptomonedas.
Recientemente, un nuevo método de phishing ha llamado la atención. Este método es extremadamente encubierto y difícil de prevenir, ya que solo se necesita una firma para que los activos sean robados. Lo que es peor, las direcciones que han interactuado con Uniswap pueden estar en riesgo. Este artículo analizará en profundidad este método de phishing por firma para ayudar a los lectores a evitar pérdidas de activos.
Descripción del evento
La situación se originó cuando un amigo llamado Xiao A, con el número de identificación (, afirmó que sus activos habían sido robados. A diferencia de los casos comunes de robo, Xiao A no había filtrado su clave privada ni había interactuado con contratos sospechosos. Una investigación más profunda reveló que los USDT de Xiao A fueron transferidos mediante la función Transfer From. Esto significa que una dirección de terceros operó para transferir el Token, y no hubo filtración de la clave privada.
Detalles de la transacción:
La cuestión clave es: ¿cómo obtuvo la dirección fd51 los permisos de operación de los activos de Xiao A? ¿Por qué está relacionada con Uniswap?
Un análisis profundo revela que, antes de transferir los activos de A, la dirección fd51 realizó una operación de Permiso, y ambas operaciones interactuaron con el contrato Permit2 de Uniswap.
![¿Firmar y ser robado? Revelando el lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Análisis del contrato Permit2 de Uniswap
Uniswap Permit2 es un nuevo contrato lanzado a finales de 2022. Permite compartir y gestionar la autorización de tokens entre diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, rentable y segura.
El objetivo de Permit2 es reducir el costo de interacción del usuario. En el modelo tradicional, el usuario debe otorgar autorización de forma independiente cada vez que interactúa con diferentes Dapps. Permit2 actúa como intermediario, permitiendo que el usuario solo autorice a Permit2 una vez, y todas las Dapps que integren Permit2 pueden compartir esa autorización.
Este método, aunque mejora la experiencia del usuario, también trae nuevos riesgos. Permit2 convierte las operaciones del usuario en firmas fuera de la cadena, y todas las operaciones en la cadena son realizadas por un rol intermedio. Esto permite que los usuarios completen transacciones incluso sin ETH, pero al mismo tiempo aumenta el riesgo de abuso de las firmas.
![¿Te roban al firmar? Revelamos el lavado de ojos de firmas de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Análisis de técnicas de phishing
La clave del ataque de phishing radica en el uso de la función permit del contrato Permit2. Esta función permite a los usuarios autorizar a otras direcciones a usar sus tokens mediante una firma. Una vez que el atacante obtiene la firma del usuario, puede transferir los activos del usuario a través del contrato Permit2.
El proceso de ataque es el siguiente:
Cabe destacar que el Permit2 de Uniswap solicita por defecto un límite de autorización ilimitado, lo que aumenta aún más el riesgo.
![¿Firma y te roban? Revelando el Lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Sugerencias de prevención
Aprende a identificar y comprender el contenido de la firma, especialmente en lo que se refiere a las firmas relacionadas con el Permiso.
Adoptar una estrategia de separación de billeteras frías y calientes, la billetera de interacción solo debe mantener una pequeña cantidad de fondos.
Al autorizar el contrato Permit2, solo autorice la cantidad necesaria o cancele a tiempo la autorización excesiva.
Conocer si los tokens que posees admiten la función permit, mantén la vigilancia sobre las transacciones relacionadas.
Si desafortunadamente sufres un ataque, si tienes activos en otras plataformas, debes elaborar un plan completo de transferencia de activos.
A medida que se expande el alcance de Permit2, los ataques de phishing basados en esto pueden volverse cada vez más frecuentes. Este método de phishing por firma es extremadamente sigiloso y difícil de prevenir, espero que los lectores puedan estar alertas y compartir este conocimiento con más personas para mantener la seguridad de los activos.
![¿Te roban solo por firmar? Revelando el Lavado de ojos del phishing de firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(