Gizli Tehlike: Uniswap Permit2 İmza Phishing Eyewash'ını Analiz Etmek
Hackerlar, Web3 ekosisteminde korkutucu bir varlık olarak karşımıza çıkıyor. Proje sahipleri için açık kaynak kod özellikleri, bir hata kodunun güvenlik açığına yol açmasından korkarak titremelerine neden oluyor. Bireysel kullanıcılar içinse, her zincir üzerindeki etkileşim veya imza, eğer işlem anlamını anlamıyorlarsa, varlık güvenliğini tehlikeye atabilir. Bu nedenle güvenlik sorunu, kripto dünyasının en zorlu sorunlarından biri olmuştur. Blok zincirinin geri alınamaz doğası nedeniyle, çalınan varlıkların neredeyse geri alınamaması, güvenlik bilgisinin kripto dünyasında son derece önemli olmasını sağlıyor.
Son zamanlarda, yeni bir dolandırıcılık yöntemi dikkat çekti. Bu yöntem son derece gizli ve önlenmesi zor, yalnızca bir imza ile varlıkların çalınmasına neden olabiliyor. Daha da kötüsü, Uniswap ile etkileşimde bulunan adresler risk altında olabilir. Bu makalede, okuyucuların varlık kaybından kaçınmalarına yardımcı olmak için bu imza dolandırıcılık yöntemini derinlemesine inceleyeceğiz.
Olayın Gelişimi
Olay, bir arkadaşım ( tarafından "Küçük A" )'nin varlıklarının çalındığı iddia edildiğinde başladı. Yaygın çalınma durumlarından farklı olarak, Küçük A özel anahtarını ifşa etmedi ve şüpheli sözleşmelerle etkileşime girmedi. Daha fazla araştırma, Küçük A'nın USDT'sinin Transfer From fonksiyonu aracılığıyla transfer edildiğini ortaya çıkardı. Bu, Token'ın özel anahtarın ifşası değil, üçüncü taraf adresinin işlemi gerçekleştirdiği anlamına geliyor.
İşlem ayrıntıları gösteriyor:
fd51 numaralı bir adres, küçük A'nın varlıklarını başka bir adrese transfer etti.
Bu işlem Uniswap'ın Permit2 sözleşmesi ile etkileşim içinde tamamlanmıştır.
Ana sorun: fd51 adresi nasıl oldu da küçük A varlığının işlem yetkisini aldı? Neden Uniswap ile ilgili?
Derinlemesine yapılan analiz, A'nın varlıklarını transfer etmeden önce fd51 adresinin bir Permit işlemi gerçekleştirdiğini ve bu iki işlemin de Uniswap'ın Permit2 sözleşmesiyle etkileşimde bulunduğunu ortaya koydu.
Uniswap Permit2 Sözleşmesi Analizi
Uniswap Permit2, 2022'nin sonlarında piyasaya sürülen yeni bir sözleşmedir. Farklı uygulamalar arasında token yetkilendirmelerini paylaşmayı ve yönetmeyi mümkün kılar ve daha birleşik, maliyet etkin ve güvenli bir kullanıcı deneyimi yaratmayı amaçlar.
Permit2'nin amacı, kullanıcı etkileşim maliyetlerini düşürmektir. Geleneksel modelde, kullanıcı her seferinde farklı Dapp ile etkileşime geçtiğinde ayrı ayrı yetkilendirme yapması gerekir. Permit2 bir aracı olarak, kullanıcı yalnızca Permit2'ye bir kez yetki vermekle kalır, Permit2'yi entegre eden tüm Dapp'ler bu yetkiyi paylaşabilir.
Bu yöntem kullanıcı deneyimini artırsa da yeni riskler de getirmektedir. Permit2, kullanıcı işlemlerini zincir dışı imzaya dönüştürür, tüm zincir içi işlemler ara birim tarafından gerçekleştirilir. Bu, kullanıcıların ETH olmadan bile işlem yapabilmelerini sağlar, ancak aynı zamanda imzaların kötüye kullanılma riskini artırır.
Balık Tutma Yöntemleri Analizi
Fishing saldırısının anahtarı, Permit2 sözleşmesinin permit fonksiyonunu kullanmaktır. Bu fonksiyon, kullanıcıların imza ile diğer adreslere kendi tokenlerini kullanmaları için yetki vermesine olanak tanır. Saldırgan, kullanıcı imzasını aldıktan sonra, Permit2 sözleşmesi aracılığıyla kullanıcı varlıklarını transfer edebilir.
Saldırı süreci aşağıdaki gibidir:
Kullanıcı, Uniswap gibi Permit2 entegrasyonuna sahip platformlarda yetkilendirme işlemleri gerçekleştirmiştir.
Saldırgan, kullanıcıları zararsız gibi görünen mesajları imzalamaya yönlendirir.
Saldırgan, imza kullanarak Permit2 sözleşmesinin permit fonksiyonunu çağırır.
Permit2 sözleşmesi imza geçerliliğini doğrular ve yetkilendirmeyi günceller
Saldırgan yetki aldıktan sonra transferFrom fonksiyonunu çağırarak kullanıcı varlıklarını transfer eder.
Dikkate değer bir husus, Uniswap'ın Permit2'nin varsayılan olarak sınırsız yetki talep etmesidir, bu da riski daha da artırmaktadır.
Önleme Önerileri
İmzaların içeriğini tanımayı ve anlamayı öğrenin, özellikle Permit ile ilgili imzalar.
Sıcak ve soğuk cüzdan ayrım stratejisi kullanarak, etkileşimli cüzdan sadece az miktarda fon tutar.
Permit2 sözleşmesine yetki verirken yalnızca gerekli miktarı yetkilendirin veya fazla yetkileri zamanında iptal edin.
Sahip olduğunuz tokenlerin permit fonksiyonunu destekleyip desteklemediğini öğrenin, ilgili işlemlere dikkat edin.
Eğer talihsiz bir saldırıya uğrarsanız, diğer platformlarda varlıklarınız varsa, kapsamlı bir varlık transfer planı hazırlamanız gerekir.
Permit2 uygulamasının kapsamı genişledikçe, buna dayalı oltalama saldırılarının da artması muhtemeldir. Bu tür imza oltalama yöntemi son derece gizli ve önlenmesi zor bir yöntemdir. Okuyucuların dikkatli olmalarını ve bu bilgileri daha fazla kişiyle paylaşmalarını umuyoruz, böylece varlık güvenliğini birlikte koruyabiliriz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
21 Likes
Reward
21
5
Share
Comment
0/400
SandwichHunter
· 07-31 06:02
Bir engel, bir bilgelik kazandırır. Körü körüne imza atmayın.
View OriginalReply0
MetaverseLandlady
· 07-30 22:59
Küçük enayiler hâlâ dikkatli olmalı.
View OriginalReply0
OnChainDetective
· 07-29 14:56
birden fazla permit2 istismarını izledi... desen, mağdurların %47'sinin önceki uni etkileşimleri olduğunu gösteriyor. bu rastgele değil.
View OriginalReply0
0xSherlock
· 07-29 14:52
Korktum korktum... yine de küçük hesapla U'ya koşmak daha güvenilir.
Uniswap Permit2 imza dolandırıcılığı: Varlık çalınma riski ve önleme stratejileri
Gizli Tehlike: Uniswap Permit2 İmza Phishing Eyewash'ını Analiz Etmek
Hackerlar, Web3 ekosisteminde korkutucu bir varlık olarak karşımıza çıkıyor. Proje sahipleri için açık kaynak kod özellikleri, bir hata kodunun güvenlik açığına yol açmasından korkarak titremelerine neden oluyor. Bireysel kullanıcılar içinse, her zincir üzerindeki etkileşim veya imza, eğer işlem anlamını anlamıyorlarsa, varlık güvenliğini tehlikeye atabilir. Bu nedenle güvenlik sorunu, kripto dünyasının en zorlu sorunlarından biri olmuştur. Blok zincirinin geri alınamaz doğası nedeniyle, çalınan varlıkların neredeyse geri alınamaması, güvenlik bilgisinin kripto dünyasında son derece önemli olmasını sağlıyor.
Son zamanlarda, yeni bir dolandırıcılık yöntemi dikkat çekti. Bu yöntem son derece gizli ve önlenmesi zor, yalnızca bir imza ile varlıkların çalınmasına neden olabiliyor. Daha da kötüsü, Uniswap ile etkileşimde bulunan adresler risk altında olabilir. Bu makalede, okuyucuların varlık kaybından kaçınmalarına yardımcı olmak için bu imza dolandırıcılık yöntemini derinlemesine inceleyeceğiz.
Olayın Gelişimi
Olay, bir arkadaşım ( tarafından "Küçük A" )'nin varlıklarının çalındığı iddia edildiğinde başladı. Yaygın çalınma durumlarından farklı olarak, Küçük A özel anahtarını ifşa etmedi ve şüpheli sözleşmelerle etkileşime girmedi. Daha fazla araştırma, Küçük A'nın USDT'sinin Transfer From fonksiyonu aracılığıyla transfer edildiğini ortaya çıkardı. Bu, Token'ın özel anahtarın ifşası değil, üçüncü taraf adresinin işlemi gerçekleştirdiği anlamına geliyor.
İşlem ayrıntıları gösteriyor:
Ana sorun: fd51 adresi nasıl oldu da küçük A varlığının işlem yetkisini aldı? Neden Uniswap ile ilgili?
Derinlemesine yapılan analiz, A'nın varlıklarını transfer etmeden önce fd51 adresinin bir Permit işlemi gerçekleştirdiğini ve bu iki işlemin de Uniswap'ın Permit2 sözleşmesiyle etkileşimde bulunduğunu ortaya koydu.
Uniswap Permit2 Sözleşmesi Analizi
Uniswap Permit2, 2022'nin sonlarında piyasaya sürülen yeni bir sözleşmedir. Farklı uygulamalar arasında token yetkilendirmelerini paylaşmayı ve yönetmeyi mümkün kılar ve daha birleşik, maliyet etkin ve güvenli bir kullanıcı deneyimi yaratmayı amaçlar.
Permit2'nin amacı, kullanıcı etkileşim maliyetlerini düşürmektir. Geleneksel modelde, kullanıcı her seferinde farklı Dapp ile etkileşime geçtiğinde ayrı ayrı yetkilendirme yapması gerekir. Permit2 bir aracı olarak, kullanıcı yalnızca Permit2'ye bir kez yetki vermekle kalır, Permit2'yi entegre eden tüm Dapp'ler bu yetkiyi paylaşabilir.
Bu yöntem kullanıcı deneyimini artırsa da yeni riskler de getirmektedir. Permit2, kullanıcı işlemlerini zincir dışı imzaya dönüştürür, tüm zincir içi işlemler ara birim tarafından gerçekleştirilir. Bu, kullanıcıların ETH olmadan bile işlem yapabilmelerini sağlar, ancak aynı zamanda imzaların kötüye kullanılma riskini artırır.
Balık Tutma Yöntemleri Analizi
Fishing saldırısının anahtarı, Permit2 sözleşmesinin permit fonksiyonunu kullanmaktır. Bu fonksiyon, kullanıcıların imza ile diğer adreslere kendi tokenlerini kullanmaları için yetki vermesine olanak tanır. Saldırgan, kullanıcı imzasını aldıktan sonra, Permit2 sözleşmesi aracılığıyla kullanıcı varlıklarını transfer edebilir.
Saldırı süreci aşağıdaki gibidir:
Dikkate değer bir husus, Uniswap'ın Permit2'nin varsayılan olarak sınırsız yetki talep etmesidir, bu da riski daha da artırmaktadır.
Önleme Önerileri
İmzaların içeriğini tanımayı ve anlamayı öğrenin, özellikle Permit ile ilgili imzalar.
Sıcak ve soğuk cüzdan ayrım stratejisi kullanarak, etkileşimli cüzdan sadece az miktarda fon tutar.
Permit2 sözleşmesine yetki verirken yalnızca gerekli miktarı yetkilendirin veya fazla yetkileri zamanında iptal edin.
Sahip olduğunuz tokenlerin permit fonksiyonunu destekleyip desteklemediğini öğrenin, ilgili işlemlere dikkat edin.
Eğer talihsiz bir saldırıya uğrarsanız, diğer platformlarda varlıklarınız varsa, kapsamlı bir varlık transfer planı hazırlamanız gerekir.
Permit2 uygulamasının kapsamı genişledikçe, buna dayalı oltalama saldırılarının da artması muhtemeldir. Bu tür imza oltalama yöntemi son derece gizli ve önlenmesi zor bir yöntemdir. Okuyucuların dikkatli olmalarını ve bu bilgileri daha fazla kişiyle paylaşmalarını umuyoruz, böylece varlık güvenliğini birlikte koruyabiliriz.