# 隠れた危険性: Uniswap Permit2 シグネチャー フィッシング詐欺の解剖ハッカーはWeb3エコシステムにおいて恐ろしい存在です。プロジェクトチームにとって、オープンソースコードの特性は彼らを震え上がらせ、一行の誤ったコードがセキュリティホールを引き起こすことを恐れています。個人ユーザーにとって、チェーン上でのインタラクションや署名は、操作の意味を理解していない場合、資産の安全を脅かす可能性があります。したがって、セキュリティの問題は暗号の世界で最も厄介な問題の一つであり続けています。ブロックチェーンの不可逆的な特性のため、資産が盗まれるとほぼ回収不可能であり、これが暗号の世界でのセキュリティ知識の重要性を特に高めています。最近、新しいフィッシング手法が注目を集めています。この方法は非常に巧妙で防止が難しく、署名するだけで資産が盗まれる可能性があります。さらに悪いことに、Uniswapとやり取りしたことのあるアドレスもリスクにさらされる可能性があります。この記事では、この署名フィッシング手法を詳しく分析し、読者が資産の損失を避ける手助けをします。## 何が起こったのか事は、友人(が小A)の資産が盗まれたと称したことから始まります。一般的な盗難のケースとは異なり、小Aは秘密鍵を漏洩しておらず、疑わしい契約ともやり取りしていませんでした。さらに調査したところ、小AのUSDTはTransfer From関数を通じて移動されたことがわかりました。これは、第三者のアドレスがトークンを移動させたことを意味しており、秘密鍵の漏洩ではありません。取引詳細が表示されます:- 尾号fd51のアドレスが小Aの資産を別のアドレスに移転しました。- この操作はUniswapのPermit2コントラクトとインタラクションして完了しました重要な問題は、fd51アドレスが小Aの資産の操作権限をどのように取得したのか?なぜUniswapに関連しているのか?詳細な分析により、小Aの資産を移転する前に、fd51アドレスがPermit操作を実行しており、これらの二つの操作はUniswapのPermit2契約と相互作用していることが明らかになりました。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0cc586809f131d9dfab81df33fd1835e)## Uniswap Permit2 コントラクトの解析Uniswap Permit2は2022年末に導入された新しい契約です。これは、異なるアプリケーション間でトークンの承認を共有および管理することを可能にし、より統一された、コスト効率の良い、安全なユーザーエクスペリエンスを創出することを目的としています。Permit2の目標は、ユーザーのインタラクションコストを削減することです。従来のモデルでは、ユーザーは異なるDappとインタラクションするたびに個別に許可を与える必要があります。Permit2は仲介者として、ユーザーはPermit2に一度だけ許可を与えれば、Permit2を統合したすべてのDappがその許可を共有できます。この方法はユーザーエクスペリエンスを向上させましたが、新たなリスクももたらします。Permit2はユーザーの操作をオフチェーン署名に変換し、すべてのオンチェーン操作は中間者によって実行されます。これにより、ユーザーはETHがなくても取引を完了できるようになりますが、同時に署名が悪用されるリスクも増加します。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-bb348691082594ecc577f91d7f9dc800)## フィッシング手法の分析フィッシング攻撃の鍵は、Permit2コントラクトのpermit関数を利用することにあります。この関数は、ユーザーが署名を通じて他のアドレスに自分のトークンを使用することを許可します。攻撃者がユーザーの署名を取得すると、Permit2コントラクトを通じてユーザーの資産を移転することができます。攻撃プロセスは以下の通りです:1. ユーザーはUniswapなどのPermit2を統合したプラットフォームで承認操作を行ったことがあります。2. 攻撃者はユーザーに見かけ上無害なメッセージに署名するように誘導します3. 攻撃者は署名を利用してPermit2コントラクトのpermit関数を呼び出します。4. Permit2コントラクトは署名の有効性を検証し、許可を更新します5. 攻撃者が承認されたら、transferFrom関数を呼び出してユーザー資産を転送します注意すべきは、UniswapのPermit2がデフォルトで無制限の承認額を要求するため、リスクがさらに増大することです。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-30520c8399a6ee69aa22424476c5870c)## 予防に関する推奨事項1. サイン内容を識別し理解することを学ぶ、特にPermitに関連するサインについて2. コールドウォレットとホットウォレットの分離戦略を採用し、インタラクティブウォレットには少量の資金のみを保持します。3. Permit2コントラクトに対しては、必要な金額のみを承認するか、余分な承認を迅速にキャンセルしてください。4. 自分が保有しているトークンがpermit機能をサポートしているかを理解し、関連する取引に注意を払う5. 不幸にも攻撃に遭った場合、他のプラットフォームに資産がある場合は、十分な資産移転計画を策定する必要があります。Permit2の適用範囲が広がるにつれて、それに基づくフィッシング攻撃がますます増加する可能性があります。この署名フィッシング方法は非常に巧妙で防止が難しいため、読者が警戒を高め、関連知識をより多くの人と共有し、共に資産の安全を守ることを願っています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-730db044a34a8dc242f04cf8ae4d394c)
Uniswap Permit2 シグネチャー フィッシング詐欺: 資産盗難のリスクと防止戦略
隠れた危険性: Uniswap Permit2 シグネチャー フィッシング詐欺の解剖
ハッカーはWeb3エコシステムにおいて恐ろしい存在です。プロジェクトチームにとって、オープンソースコードの特性は彼らを震え上がらせ、一行の誤ったコードがセキュリティホールを引き起こすことを恐れています。個人ユーザーにとって、チェーン上でのインタラクションや署名は、操作の意味を理解していない場合、資産の安全を脅かす可能性があります。したがって、セキュリティの問題は暗号の世界で最も厄介な問題の一つであり続けています。ブロックチェーンの不可逆的な特性のため、資産が盗まれるとほぼ回収不可能であり、これが暗号の世界でのセキュリティ知識の重要性を特に高めています。
最近、新しいフィッシング手法が注目を集めています。この方法は非常に巧妙で防止が難しく、署名するだけで資産が盗まれる可能性があります。さらに悪いことに、Uniswapとやり取りしたことのあるアドレスもリスクにさらされる可能性があります。この記事では、この署名フィッシング手法を詳しく分析し、読者が資産の損失を避ける手助けをします。
何が起こったのか
事は、友人(が小A)の資産が盗まれたと称したことから始まります。一般的な盗難のケースとは異なり、小Aは秘密鍵を漏洩しておらず、疑わしい契約ともやり取りしていませんでした。さらに調査したところ、小AのUSDTはTransfer From関数を通じて移動されたことがわかりました。これは、第三者のアドレスがトークンを移動させたことを意味しており、秘密鍵の漏洩ではありません。
取引詳細が表示されます:
重要な問題は、fd51アドレスが小Aの資産の操作権限をどのように取得したのか?なぜUniswapに関連しているのか?
詳細な分析により、小Aの資産を移転する前に、fd51アドレスがPermit操作を実行しており、これらの二つの操作はUniswapのPermit2契約と相互作用していることが明らかになりました。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Uniswap Permit2 コントラクトの解析
Uniswap Permit2は2022年末に導入された新しい契約です。これは、異なるアプリケーション間でトークンの承認を共有および管理することを可能にし、より統一された、コスト効率の良い、安全なユーザーエクスペリエンスを創出することを目的としています。
Permit2の目標は、ユーザーのインタラクションコストを削減することです。従来のモデルでは、ユーザーは異なるDappとインタラクションするたびに個別に許可を与える必要があります。Permit2は仲介者として、ユーザーはPermit2に一度だけ許可を与えれば、Permit2を統合したすべてのDappがその許可を共有できます。
この方法はユーザーエクスペリエンスを向上させましたが、新たなリスクももたらします。Permit2はユーザーの操作をオフチェーン署名に変換し、すべてのオンチェーン操作は中間者によって実行されます。これにより、ユーザーはETHがなくても取引を完了できるようになりますが、同時に署名が悪用されるリスクも増加します。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
フィッシング手法の分析
フィッシング攻撃の鍵は、Permit2コントラクトのpermit関数を利用することにあります。この関数は、ユーザーが署名を通じて他のアドレスに自分のトークンを使用することを許可します。攻撃者がユーザーの署名を取得すると、Permit2コントラクトを通じてユーザーの資産を移転することができます。
攻撃プロセスは以下の通りです:
注意すべきは、UniswapのPermit2がデフォルトで無制限の承認額を要求するため、リスクがさらに増大することです。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
予防に関する推奨事項
サイン内容を識別し理解することを学ぶ、特にPermitに関連するサインについて
コールドウォレットとホットウォレットの分離戦略を採用し、インタラクティブウォレットには少量の資金のみを保持します。
Permit2コントラクトに対しては、必要な金額のみを承認するか、余分な承認を迅速にキャンセルしてください。
自分が保有しているトークンがpermit機能をサポートしているかを理解し、関連する取引に注意を払う
不幸にも攻撃に遭った場合、他のプラットフォームに資産がある場合は、十分な資産移転計画を策定する必要があります。
Permit2の適用範囲が広がるにつれて、それに基づくフィッシング攻撃がますます増加する可能性があります。この署名フィッシング方法は非常に巧妙で防止が難しいため、読者が警戒を高め、関連知識をより多くの人と共有し、共に資産の安全を守ることを願っています。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く