Bahaya Tersembunyi: Menganalisis Penipuan Tanda Tangan Uniswap Permit2
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pihak proyek, sifat kode sumber terbuka membuat mereka merasa cemas, takut satu baris kode yang salah dapat menyebabkan celah keamanan. Bagi pengguna individu, setiap interaksi atau tanda tangan di blockchain dapat mengancam keamanan aset, jika mereka tidak memahami arti dari tindakan tersebut. Oleh karena itu, masalah keamanan selalu menjadi salah satu tantangan paling sulit di dunia kripto. Karena sifat blockchain yang tidak dapat diubah, aset yang dicuri hampir tidak mungkin untuk dipulihkan, yang membuat pengetahuan tentang keamanan menjadi sangat penting di dunia kripto.
Baru-baru ini, metode phishing baru menarik perhatian. Metode ini sangat tersembunyi dan sulit untuk dicegah, hanya dengan tanda tangan dapat menyebabkan aset dicuri. Yang lebih buruk, alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan menganalisis secara mendalam metode phishing tanda tangan ini, untuk membantu pembaca menghindari kerugian aset.
Jalannya Peristiwa
Kejadian ini bermula dari seorang teman yang bernama ( yang mengklaim bahwa asetnya yang disebut sebagai kecil A) telah dicuri. Berbeda dengan kasus pencurian yang umum, kecil A tidak membocorkan kunci pribadi, dan juga tidak berinteraksi dengan kontrak yang mencurigakan. Penyelidikan lebih lanjut menemukan bahwa USDT milik kecil A dipindahkan melalui fungsi Transfer From. Ini berarti bahwa alamat pihak ketiga yang melakukan operasi untuk mengambil Token, bukan karena kebocoran kunci pribadi.
Detail transaksi menunjukkan:
Sebuah alamat dengan akhiran fd51 mentransfer aset kecil A ke alamat lain
Operasi ini dilakukan dengan berinteraksi dengan kontrak Permit2 dari Uniswap
Masalah kunci adalah: bagaimana alamat fd51 mendapatkan hak akses untuk mengelola aset kecil A? Mengapa ini terkait dengan Uniswap?
Analisis mendalam menemukan bahwa sebelum memindahkan aset kecil A, alamat fd51 juga melakukan operasi Permit, dan kedua operasi ini berinteraksi dengan kontrak Permit2 dari Uniswap.
Analisis Kontrak Uniswap Permit2
Uniswap Permit2 adalah kontrak baru yang diluncurkan pada akhir 2022. Ini memungkinkan berbagi dan mengelola otorisasi token di antara aplikasi yang berbeda, dengan tujuan menciptakan pengalaman pengguna yang lebih terpadu, lebih hemat biaya, dan lebih aman.
Tujuan Permit2 adalah untuk mengurangi biaya interaksi pengguna. Dalam model tradisional, pengguna harus memberikan otorisasi secara terpisah setiap kali berinteraksi dengan Dapp yang berbeda. Permit2 bertindak sebagai perantara, sehingga pengguna hanya perlu memberikan otorisasi sekali kepada Permit2, dan semua Dapp yang terintegrasi dengan Permit2 dapat berbagi otorisasi ini.
Meskipun cara ini meningkatkan pengalaman pengguna, namun juga membawa risiko baru. Permit2 mengubah operasi pengguna menjadi tanda tangan off-chain, semua operasi on-chain dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk menyelesaikan transaksi meskipun tidak memiliki ETH, tetapi pada saat yang sama meningkatkan risiko penyalahgunaan tanda tangan.
Analisis Teknik Memancing
Kunci dari serangan phishing adalah memanfaatkan fungsi permit dari kontrak Permit2. Fungsi ini memungkinkan pengguna untuk memberikan otorisasi kepada alamat lain untuk menggunakan token mereka melalui tanda tangan. Setelah penyerang mendapatkan tanda tangan pengguna, mereka dapat memindahkan aset pengguna melalui kontrak Permit2.
Proses serangan adalah sebagai berikut:
Pengguna pernah melakukan operasi otorisasi di platform yang mengintegrasikan Permit2 seperti Uniswap.
Penyerang mengarahkan pengguna untuk menandatangani pesan yang tampak tidak berbahaya
Penyerang memanfaatkan tanda tangan untuk memanggil fungsi permit dari kontrak Permit2
Kontrak Permit2 memverifikasi keabsahan tanda tangan dan memperbarui otorisasi
Penyerang memanggil fungsi transferFrom untuk mentransfer aset pengguna setelah mendapatkan otorisasi.
Perlu dicatat bahwa Permit2 Uniswap secara default meminta batas otorisasi tak terbatas, yang semakin meningkatkan risiko.
Saran Pencegahan
Pelajari cara mengenali dan memahami konten tanda tangan, terutama yang berkaitan dengan tanda tangan Permit.
Mengadopsi strategi pemisahan dompet dingin dan panas, dompet interaktif hanya menyimpan sejumlah kecil dana.
Hanya memberikan otorisasi jumlah yang diperlukan saat mengizinkan kontrak Permit2, atau segera membatalkan otorisasi yang berlebih.
Ketahui apakah token yang Anda miliki mendukung fungsi permit, dan tetap waspada terhadap transaksi terkait.
Jika tidak beruntung mengalami serangan, jika ada aset di platform lain, perlu menyusun rencana pemindahan aset yang komprehensif.
Dengan perluasan aplikasi Permit2, serangan phishing yang berbasis ini mungkin akan semakin banyak. Metode phishing tanda tangan ini sangat tersembunyi dan sulit untuk dicegah, diharapkan pembaca dapat meningkatkan kewaspadaan, dan membagikan pengetahuan terkait kepada lebih banyak orang, untuk bersama-sama menjaga keamanan aset.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
21 Suka
Hadiah
21
5
Bagikan
Komentar
0/400
SandwichHunter
· 07-31 06:02
Makan satu lubang, dapat satu kebijaksanaan. Jangan tanda buta.
Lihat AsliBalas0
MetaverseLandlady
· 07-30 22:59
Suckers masih perlu membuka mata.
Lihat AsliBalas0
OnChainDetective
· 07-29 14:56
menelusuri beberapa eksploitasi permit2... pola menunjukkan 47% korban memiliki interaksi uni sebelumnya. ini bukan kebetulan.
Lihat AsliBalas0
0xSherlock
· 07-29 14:52
Takut, takut... lebih baik menggunakan akun kecil untuk berlari U.
Uniswap Permit2 tanda tangan phishing baru: risiko pencurian aset dan strategi pencegahan
Bahaya Tersembunyi: Menganalisis Penipuan Tanda Tangan Uniswap Permit2
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pihak proyek, sifat kode sumber terbuka membuat mereka merasa cemas, takut satu baris kode yang salah dapat menyebabkan celah keamanan. Bagi pengguna individu, setiap interaksi atau tanda tangan di blockchain dapat mengancam keamanan aset, jika mereka tidak memahami arti dari tindakan tersebut. Oleh karena itu, masalah keamanan selalu menjadi salah satu tantangan paling sulit di dunia kripto. Karena sifat blockchain yang tidak dapat diubah, aset yang dicuri hampir tidak mungkin untuk dipulihkan, yang membuat pengetahuan tentang keamanan menjadi sangat penting di dunia kripto.
Baru-baru ini, metode phishing baru menarik perhatian. Metode ini sangat tersembunyi dan sulit untuk dicegah, hanya dengan tanda tangan dapat menyebabkan aset dicuri. Yang lebih buruk, alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan menganalisis secara mendalam metode phishing tanda tangan ini, untuk membantu pembaca menghindari kerugian aset.
Jalannya Peristiwa
Kejadian ini bermula dari seorang teman yang bernama ( yang mengklaim bahwa asetnya yang disebut sebagai kecil A) telah dicuri. Berbeda dengan kasus pencurian yang umum, kecil A tidak membocorkan kunci pribadi, dan juga tidak berinteraksi dengan kontrak yang mencurigakan. Penyelidikan lebih lanjut menemukan bahwa USDT milik kecil A dipindahkan melalui fungsi Transfer From. Ini berarti bahwa alamat pihak ketiga yang melakukan operasi untuk mengambil Token, bukan karena kebocoran kunci pribadi.
Detail transaksi menunjukkan:
Masalah kunci adalah: bagaimana alamat fd51 mendapatkan hak akses untuk mengelola aset kecil A? Mengapa ini terkait dengan Uniswap?
Analisis mendalam menemukan bahwa sebelum memindahkan aset kecil A, alamat fd51 juga melakukan operasi Permit, dan kedua operasi ini berinteraksi dengan kontrak Permit2 dari Uniswap.
Analisis Kontrak Uniswap Permit2
Uniswap Permit2 adalah kontrak baru yang diluncurkan pada akhir 2022. Ini memungkinkan berbagi dan mengelola otorisasi token di antara aplikasi yang berbeda, dengan tujuan menciptakan pengalaman pengguna yang lebih terpadu, lebih hemat biaya, dan lebih aman.
Tujuan Permit2 adalah untuk mengurangi biaya interaksi pengguna. Dalam model tradisional, pengguna harus memberikan otorisasi secara terpisah setiap kali berinteraksi dengan Dapp yang berbeda. Permit2 bertindak sebagai perantara, sehingga pengguna hanya perlu memberikan otorisasi sekali kepada Permit2, dan semua Dapp yang terintegrasi dengan Permit2 dapat berbagi otorisasi ini.
Meskipun cara ini meningkatkan pengalaman pengguna, namun juga membawa risiko baru. Permit2 mengubah operasi pengguna menjadi tanda tangan off-chain, semua operasi on-chain dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk menyelesaikan transaksi meskipun tidak memiliki ETH, tetapi pada saat yang sama meningkatkan risiko penyalahgunaan tanda tangan.
Analisis Teknik Memancing
Kunci dari serangan phishing adalah memanfaatkan fungsi permit dari kontrak Permit2. Fungsi ini memungkinkan pengguna untuk memberikan otorisasi kepada alamat lain untuk menggunakan token mereka melalui tanda tangan. Setelah penyerang mendapatkan tanda tangan pengguna, mereka dapat memindahkan aset pengguna melalui kontrak Permit2.
Proses serangan adalah sebagai berikut:
Perlu dicatat bahwa Permit2 Uniswap secara default meminta batas otorisasi tak terbatas, yang semakin meningkatkan risiko.
Saran Pencegahan
Pelajari cara mengenali dan memahami konten tanda tangan, terutama yang berkaitan dengan tanda tangan Permit.
Mengadopsi strategi pemisahan dompet dingin dan panas, dompet interaktif hanya menyimpan sejumlah kecil dana.
Hanya memberikan otorisasi jumlah yang diperlukan saat mengizinkan kontrak Permit2, atau segera membatalkan otorisasi yang berlebih.
Ketahui apakah token yang Anda miliki mendukung fungsi permit, dan tetap waspada terhadap transaksi terkait.
Jika tidak beruntung mengalami serangan, jika ada aset di platform lain, perlu menyusun rencana pemindahan aset yang komprehensif.
Dengan perluasan aplikasi Permit2, serangan phishing yang berbasis ini mungkin akan semakin banyak. Metode phishing tanda tangan ini sangat tersembunyi dan sulit untuk dicegah, diharapkan pembaca dapat meningkatkan kewaspadaan, dan membagikan pengetahuan terkait kepada lebih banyak orang, untuk bersama-sama menjaga keamanan aset.