Danger caché : Analyse de l'escroquerie de phishing par signature Permit2 d'Uniswap
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les projets, la nature open source des codes les rend nerveux, craignant qu'une seule ligne de code erronée ne crée une vulnérabilité de sécurité. Pour les utilisateurs individuels, chaque interaction ou signature sur la chaîne peut compromettre la sécurité de leurs actifs, surtout s'ils ne comprennent pas la signification des opérations. Par conséquent, la question de la sécurité est l'un des problèmes les plus épineux dans le monde de la cryptographie. En raison de la nature irréversible de la blockchain, les actifs volés sont presque impossibles à récupérer, ce qui rend la connaissance de la sécurité particulièrement importante dans le monde de la cryptographie.
Récemment, une nouvelle méthode de phishing a attiré l'attention. Cette méthode est extrêmement discrète et difficile à prévenir, il suffit d'une signature pour que les actifs soient volés. Pire encore, toutes les adresses ayant interagi avec Uniswap pourraient être à risque. Cet article analysera en profondeur cette méthode de phishing par signature, afin d'aider les lecteurs à éviter des pertes d'actifs.
Événements
L'affaire provient d'un ami, (, dont les actifs appelés petit A) ont été volés. Contrairement aux cas de vol habituels, petit A n'a pas divulgué sa clé privée, ni interagi avec des contrats suspects. Une enquête plus approfondie a révélé que les USDT de petit A avaient été transférés via la fonction Transfer From. Cela signifie qu'une adresse tiers a opéré pour retirer le Token, et non une fuite de la clé privée.
Détails de la transaction :
Une adresse se terminant par fd51 a transféré les actifs de Xiao A vers une autre adresse
Cette opération est réalisée en interagissant avec le contrat Permit2 de Uniswap.
La question clé est : comment l'adresse fd51 a-t-elle obtenu les droits d'opération sur les actifs de Xiao A ? Pourquoi est-ce lié à Uniswap ?
Une analyse approfondie révèle qu'avant de transférer les actifs de A, l'adresse fd51 a également effectué une opération de Permit, et ces deux opérations ont interagi avec le contrat Permit2 de Uniswap.
Analyse du contrat Permit2 d'Uniswap
Uniswap Permit2 est un nouveau contrat lancé à la fin de 2022. Il permet de partager et de gérer les autorisations de jetons entre différentes applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée.
L'objectif de Permit2 est de réduire le coût d'interaction des utilisateurs. Dans le modèle traditionnel, l'utilisateur doit autoriser séparément chaque interaction avec différents Dapp. Permit2 agit en tant qu'intermédiaire, l'utilisateur n'a besoin d'autoriser Permit2 qu'une seule fois, et tous les Dapp intégrant Permit2 peuvent partager cette autorisation.
Bien que cette méthode améliore l'expérience utilisateur, elle entraîne également de nouveaux risques. Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations sur la chaîne étant effectuées par un rôle intermédiaire. Cela permet aux utilisateurs d'effectuer des transactions même sans ETH, mais augmente en même temps le risque d'abus des signatures.
Analyse des techniques de phishing
La clé de l'attaque de phishing réside dans l'utilisation de la fonction permit du contrat Permit2. Cette fonction permet aux utilisateurs d'autoriser d'autres adresses à utiliser leurs jetons par le biais d'une signature. Une fois que l'attaquant a obtenu la signature de l'utilisateur, il peut transférer les actifs de l'utilisateur via le contrat Permit2.
Le processus d'attaque est le suivant :
L'utilisateur a déjà effectué des opérations d'autorisation sur des plateformes intégrant Permit2 comme Uniswap.
L'attaquant induit l'utilisateur à signer des messages apparemment inoffensifs
L'attaquant utilise une signature pour appeler la fonction permit du contrat Permit2
Le contrat Permit2 vérifie la validité de la signature et met à jour l'autorisation.
L'attaquant appelle la fonction transferFrom pour transférer les actifs de l'utilisateur après avoir obtenu l'autorisation.
Il est à noter que le Permit2 d'Uniswap demande par défaut un plafond d'autorisation illimité, ce qui accroît encore le risque.
Suggestions de prévention
Apprenez à reconnaître et à comprendre le contenu des signatures, en particulier celles liées aux Permits.
Adoptez une stratégie de séparation des portefeuilles chauds et froids, le portefeuille d'interaction ne conserve qu'un faible montant de fonds.
Lors de l'autorisation du contrat Permit2, n'autorisez que le montant nécessaire, ou annulez rapidement l'autorisation excessive.
Vérifiez si les tokens que vous détenez prennent en charge la fonction de permission, restez vigilant concernant les transactions connexes.
En cas d'attaque malheureuse, s'il y a des actifs sur d'autres plateformes, un plan de transfert d'actifs complet doit être établi.
Avec l'expansion de l'application Permit2, les attaques de phishing basées sur cela pourraient devenir de plus en plus nombreuses. Ce type de phishing par signature est extrêmement insidieux et difficile à prévenir. J'espère que les lecteurs pourront rester vigilants et partager ces connaissances avec davantage de personnes afin de préserver la sécurité des actifs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
21 J'aime
Récompense
21
5
Partager
Commentaire
0/400
SandwichHunter
· 07-31 06:02
Apprends de tes erreurs et ne signe pas à l'aveugle.
Voir l'originalRépondre0
MetaverseLandlady
· 07-30 22:59
Les petits pigeons doivent être plus prudents.
Voir l'originalRépondre0
OnChainDetective
· 07-29 14:56
a tracé plusieurs exploits permit2... le schéma suggère que 47 % des victimes avaient des interactions antérieures avec uni. ce n'est pas aléatoire.
Voir l'originalRépondre0
0xSherlock
· 07-29 14:52
J'ai peur, j'ai peur... il vaut mieux utiliser un petit compte pour courir après U.
Nouvelle eyebash de phishing de signature Uniswap Permit2 : risques de vol d'actifs et stratégies de prévention
Danger caché : Analyse de l'escroquerie de phishing par signature Permit2 d'Uniswap
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les projets, la nature open source des codes les rend nerveux, craignant qu'une seule ligne de code erronée ne crée une vulnérabilité de sécurité. Pour les utilisateurs individuels, chaque interaction ou signature sur la chaîne peut compromettre la sécurité de leurs actifs, surtout s'ils ne comprennent pas la signification des opérations. Par conséquent, la question de la sécurité est l'un des problèmes les plus épineux dans le monde de la cryptographie. En raison de la nature irréversible de la blockchain, les actifs volés sont presque impossibles à récupérer, ce qui rend la connaissance de la sécurité particulièrement importante dans le monde de la cryptographie.
Récemment, une nouvelle méthode de phishing a attiré l'attention. Cette méthode est extrêmement discrète et difficile à prévenir, il suffit d'une signature pour que les actifs soient volés. Pire encore, toutes les adresses ayant interagi avec Uniswap pourraient être à risque. Cet article analysera en profondeur cette méthode de phishing par signature, afin d'aider les lecteurs à éviter des pertes d'actifs.
Événements
L'affaire provient d'un ami, (, dont les actifs appelés petit A) ont été volés. Contrairement aux cas de vol habituels, petit A n'a pas divulgué sa clé privée, ni interagi avec des contrats suspects. Une enquête plus approfondie a révélé que les USDT de petit A avaient été transférés via la fonction Transfer From. Cela signifie qu'une adresse tiers a opéré pour retirer le Token, et non une fuite de la clé privée.
Détails de la transaction :
La question clé est : comment l'adresse fd51 a-t-elle obtenu les droits d'opération sur les actifs de Xiao A ? Pourquoi est-ce lié à Uniswap ?
Une analyse approfondie révèle qu'avant de transférer les actifs de A, l'adresse fd51 a également effectué une opération de Permit, et ces deux opérations ont interagi avec le contrat Permit2 de Uniswap.
Analyse du contrat Permit2 d'Uniswap
Uniswap Permit2 est un nouveau contrat lancé à la fin de 2022. Il permet de partager et de gérer les autorisations de jetons entre différentes applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée.
L'objectif de Permit2 est de réduire le coût d'interaction des utilisateurs. Dans le modèle traditionnel, l'utilisateur doit autoriser séparément chaque interaction avec différents Dapp. Permit2 agit en tant qu'intermédiaire, l'utilisateur n'a besoin d'autoriser Permit2 qu'une seule fois, et tous les Dapp intégrant Permit2 peuvent partager cette autorisation.
Bien que cette méthode améliore l'expérience utilisateur, elle entraîne également de nouveaux risques. Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations sur la chaîne étant effectuées par un rôle intermédiaire. Cela permet aux utilisateurs d'effectuer des transactions même sans ETH, mais augmente en même temps le risque d'abus des signatures.
Analyse des techniques de phishing
La clé de l'attaque de phishing réside dans l'utilisation de la fonction permit du contrat Permit2. Cette fonction permet aux utilisateurs d'autoriser d'autres adresses à utiliser leurs jetons par le biais d'une signature. Une fois que l'attaquant a obtenu la signature de l'utilisateur, il peut transférer les actifs de l'utilisateur via le contrat Permit2.
Le processus d'attaque est le suivant :
Il est à noter que le Permit2 d'Uniswap demande par défaut un plafond d'autorisation illimité, ce qui accroît encore le risque.
Suggestions de prévention
Apprenez à reconnaître et à comprendre le contenu des signatures, en particulier celles liées aux Permits.
Adoptez une stratégie de séparation des portefeuilles chauds et froids, le portefeuille d'interaction ne conserve qu'un faible montant de fonds.
Lors de l'autorisation du contrat Permit2, n'autorisez que le montant nécessaire, ou annulez rapidement l'autorisation excessive.
Vérifiez si les tokens que vous détenez prennent en charge la fonction de permission, restez vigilant concernant les transactions connexes.
En cas d'attaque malheureuse, s'il y a des actifs sur d'autres plateformes, un plan de transfert d'actifs complet doit être établi.
Avec l'expansion de l'application Permit2, les attaques de phishing basées sur cela pourraient devenir de plus en plus nombreuses. Ce type de phishing par signature est extrêmement insidieux et difficile à prévenir. J'espère que les lecteurs pourront rester vigilants et partager ces connaissances avec davantage de personnes afin de préserver la sécurité des actifs.