Nguy cơ tiềm ẩn: Phân tích trò lừa bịp chữ ký Uniswap Permit2
Hacker là một sự tồn tại đáng sợ trong hệ sinh thái Web3. Đối với các dự án, tính năng mã nguồn mở khiến họ lo lắng, sợ rằng một dòng mã sai có thể dẫn đến lỗ hổng bảo mật. Đối với người dùng cá nhân, mỗi lần tương tác hoặc ký trên chuỗi đều có thể đe dọa an toàn tài sản, nếu không hiểu ý nghĩa của thao tác. Do đó, vấn đề an toàn luôn là một trong những vấn đề nan giải nhất trong thế giới tiền mã hóa. Vì tính chất không thể đảo ngược của blockchain, tài sản bị đánh cắp gần như không thể lấy lại, điều này làm cho kiến thức về an toàn trở nên đặc biệt quan trọng trong thế giới tiền mã hóa.
Gần đây, một phương pháp lừa đảo mới đã thu hút sự chú ý. Phương pháp này cực kỳ kín đáo và khó phòng ngừa, chỉ cần một chữ ký là có thể dẫn đến việc tài sản bị đánh cắp. Thậm chí tồi tệ hơn, những địa chỉ đã từng tương tác với Uniswap đều có thể đối mặt với rủi ro. Bài viết này sẽ phân tích sâu về phương pháp lừa đảo chữ ký này, nhằm giúp độc giả tránh mất mát tài sản.
Diễn biến sự kiện
Vấn đề bắt nguồn từ một người bạn có tên là nhỏ A(, người đã báo cáo rằng tài sản của họ đã bị đánh cắp. Khác với những trường hợp bị đánh cắp thông thường, nhỏ A không tiết lộ khóa riêng và cũng không tương tác với các hợp đồng đáng ngờ. Cuộc điều tra thêm cho thấy, USDT của nhỏ A đã được chuyển đi thông qua hàm Transfer From. Điều này có nghĩa là địa chỉ bên thứ ba đã thao tác để chuyển Token đi, chứ không phải do khóa riêng bị lộ.
Chi tiết giao dịch hiển thị:
Một địa chỉ có đuôi là fd51 đã chuyển tài sản của A nhỏ đến một địa chỉ khác
Hành động này được thực hiện bằng cách tương tác với hợp đồng Permit2 của Uniswap.
Vấn đề quan trọng là: địa chỉ fd51 đã có được quyền truy cập vào tài sản của A nhỏ như thế nào? Tại sao lại liên quan đến Uniswap?
Phân tích sâu cho thấy, trước khi chuyển nhượng tài sản của nhỏ A, địa chỉ fd51 đã thực hiện một thao tác Permit, và cả hai thao tác này đều tương tác với hợp đồng Permit2 của Uniswap.
![Ký tên đã bị đánh cắp? Khám phá trò lừa bịp ký tên Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Phân tích hợp đồng Permit2 của Uniswap
Uniswap Permit2 là hợp đồng mới được ra mắt vào cuối năm 2022. Nó cho phép chia sẻ và quản lý quyền cấp phép token giữa các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất, hiệu quả về chi phí và an toàn hơn.
Mục tiêu của Permit2 là giảm chi phí tương tác của người dùng. Trong mô hình truyền thống, người dùng cần cấp quyền riêng biệt mỗi khi tương tác với các Dapp khác nhau. Permit2 đóng vai trò như người trung gian, người dùng chỉ cần cấp quyền cho Permit2 một lần, tất cả các Dapp tích hợp Permit2 đều có thể chia sẻ quyền này.
Cách này mặc dù nâng cao trải nghiệm người dùng, nhưng cũng mang đến rủi ro mới. Permit2 chuyển đổi thao tác của người dùng thành chữ ký ngoài chuỗi, tất cả các thao tác trên chuỗi đều được thực hiện bởi một vai trò trung gian. Điều này cho phép người dùng hoàn thành giao dịch ngay cả khi không có ETH, nhưng đồng thời cũng tăng rủi ro về việc chữ ký bị lạm dụng.
![Ký tên bị đánh cắp? Khám phá trò lừa bịp ký tên Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Phân tích kỹ thuật câu cá
Chìa khóa của cuộc tấn công lừa đảo nằm ở việc sử dụng hàm permit của hợp đồng Permit2. Hàm này cho phép người dùng ủy quyền cho địa chỉ khác sử dụng token của họ thông qua chữ ký. Sau khi kẻ tấn công lấy được chữ ký của người dùng, họ có thể chuyển tài sản của người dùng thông qua hợp đồng Permit2.
Quá trình tấn công như sau:
Người dùng đã thực hiện các thao tác ủy quyền trên các nền tảng tích hợp Permit2 như Uniswap.
Kẻ tấn công dụ dỗ người dùng ký vào những thông điệp có vẻ vô hại
Kẻ tấn công lợi dụng chữ ký để gọi hàm permit của hợp đồng Permit2
Hợp đồng Permit2 xác thực tính hợp lệ của chữ ký và cập nhật quyền hạn
Kẻ tấn công gọi hàm transferFrom để chuyển nhượng tài sản của người dùng sau khi đã được ủy quyền.
Cần lưu ý rằng, Uniswap's Permit2 yêu cầu quyền truy cập không giới hạn theo mặc định, điều này càng gia tăng rủi ro.
![Ký tên đã bị đánh cắp? Khám phá trò lừa bịp ký tên Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Đề xuất phòng ngừa
Học cách nhận biết và hiểu nội dung chữ ký, đặc biệt là những chữ ký liên quan đến Permit.
Áp dụng chiến lược tách biệt ví nóng và ví lạnh, ví tương tác chỉ giữ một lượng nhỏ tiền.
Chỉ cấp quyền cho số tiền cần thiết khi ủy quyền hợp đồng Permit2, hoặc kịp thời hủy bỏ quyền ủy quyền thừa.
Hiểu rõ việc mình nắm giữ token có hỗ trợ chức năng permit hay không, giữ cảnh giác đối với các giao dịch liên quan.
Nếu không may gặp phải cuộc tấn công, còn có tài sản trên các nền tảng khác, cần lập kế hoạch chuyển nhượng tài sản hoàn chỉnh.
Khi phạm vi ứng dụng của Permit2 mở rộng, các cuộc tấn công lừa đảo dựa trên đó có thể ngày càng nhiều. Cách lừa đảo bằng chữ ký này cực kỳ kín đáo và khó phòng ngừa, hy vọng độc giả có thể nâng cao cảnh giác và chia sẻ kiến thức liên quan với nhiều người hơn, cùng nhau bảo vệ an toàn tài sản.
![Ký tên đã bị đánh cắp? Khám phá trò lừa bịp ký tên Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
21 thích
Phần thưởng
21
5
Chia sẻ
Bình luận
0/400
SandwichHunter
· 07-31 06:02
Ăn một cái hố để trưởng thành một chút, đừng ký mù quáng.
Xem bản gốcTrả lời0
MetaverseLandlady
· 07-30 22:59
Đồ ngốc còn phải mở mang trí tuệ.
Xem bản gốcTrả lời0
OnChainDetective
· 07-29 14:56
theo dõi nhiều vụ khai thác permit2... mẫu cho thấy 47% nạn nhân đã có tương tác uni trước đó. đây không phải là ngẫu nhiên.
Xem bản gốcTrả lời0
0xSherlock
· 07-29 14:52
Sợ quá sợ quá... vẫn dùng tài khoản phụ để chạy U thì đáng tin hơn
Chiến dịch lừa đảo mới với chữ ký Permit2 của Uniswap: Rủi ro bị đánh cắp tài sản và các chiến lược phòng ngừa
Nguy cơ tiềm ẩn: Phân tích trò lừa bịp chữ ký Uniswap Permit2
Hacker là một sự tồn tại đáng sợ trong hệ sinh thái Web3. Đối với các dự án, tính năng mã nguồn mở khiến họ lo lắng, sợ rằng một dòng mã sai có thể dẫn đến lỗ hổng bảo mật. Đối với người dùng cá nhân, mỗi lần tương tác hoặc ký trên chuỗi đều có thể đe dọa an toàn tài sản, nếu không hiểu ý nghĩa của thao tác. Do đó, vấn đề an toàn luôn là một trong những vấn đề nan giải nhất trong thế giới tiền mã hóa. Vì tính chất không thể đảo ngược của blockchain, tài sản bị đánh cắp gần như không thể lấy lại, điều này làm cho kiến thức về an toàn trở nên đặc biệt quan trọng trong thế giới tiền mã hóa.
Gần đây, một phương pháp lừa đảo mới đã thu hút sự chú ý. Phương pháp này cực kỳ kín đáo và khó phòng ngừa, chỉ cần một chữ ký là có thể dẫn đến việc tài sản bị đánh cắp. Thậm chí tồi tệ hơn, những địa chỉ đã từng tương tác với Uniswap đều có thể đối mặt với rủi ro. Bài viết này sẽ phân tích sâu về phương pháp lừa đảo chữ ký này, nhằm giúp độc giả tránh mất mát tài sản.
Diễn biến sự kiện
Vấn đề bắt nguồn từ một người bạn có tên là nhỏ A(, người đã báo cáo rằng tài sản của họ đã bị đánh cắp. Khác với những trường hợp bị đánh cắp thông thường, nhỏ A không tiết lộ khóa riêng và cũng không tương tác với các hợp đồng đáng ngờ. Cuộc điều tra thêm cho thấy, USDT của nhỏ A đã được chuyển đi thông qua hàm Transfer From. Điều này có nghĩa là địa chỉ bên thứ ba đã thao tác để chuyển Token đi, chứ không phải do khóa riêng bị lộ.
Chi tiết giao dịch hiển thị:
Vấn đề quan trọng là: địa chỉ fd51 đã có được quyền truy cập vào tài sản của A nhỏ như thế nào? Tại sao lại liên quan đến Uniswap?
Phân tích sâu cho thấy, trước khi chuyển nhượng tài sản của nhỏ A, địa chỉ fd51 đã thực hiện một thao tác Permit, và cả hai thao tác này đều tương tác với hợp đồng Permit2 của Uniswap.
![Ký tên đã bị đánh cắp? Khám phá trò lừa bịp ký tên Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Phân tích hợp đồng Permit2 của Uniswap
Uniswap Permit2 là hợp đồng mới được ra mắt vào cuối năm 2022. Nó cho phép chia sẻ và quản lý quyền cấp phép token giữa các ứng dụng khác nhau, nhằm tạo ra trải nghiệm người dùng đồng nhất, hiệu quả về chi phí và an toàn hơn.
Mục tiêu của Permit2 là giảm chi phí tương tác của người dùng. Trong mô hình truyền thống, người dùng cần cấp quyền riêng biệt mỗi khi tương tác với các Dapp khác nhau. Permit2 đóng vai trò như người trung gian, người dùng chỉ cần cấp quyền cho Permit2 một lần, tất cả các Dapp tích hợp Permit2 đều có thể chia sẻ quyền này.
Cách này mặc dù nâng cao trải nghiệm người dùng, nhưng cũng mang đến rủi ro mới. Permit2 chuyển đổi thao tác của người dùng thành chữ ký ngoài chuỗi, tất cả các thao tác trên chuỗi đều được thực hiện bởi một vai trò trung gian. Điều này cho phép người dùng hoàn thành giao dịch ngay cả khi không có ETH, nhưng đồng thời cũng tăng rủi ro về việc chữ ký bị lạm dụng.
![Ký tên bị đánh cắp? Khám phá trò lừa bịp ký tên Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Phân tích kỹ thuật câu cá
Chìa khóa của cuộc tấn công lừa đảo nằm ở việc sử dụng hàm permit của hợp đồng Permit2. Hàm này cho phép người dùng ủy quyền cho địa chỉ khác sử dụng token của họ thông qua chữ ký. Sau khi kẻ tấn công lấy được chữ ký của người dùng, họ có thể chuyển tài sản của người dùng thông qua hợp đồng Permit2.
Quá trình tấn công như sau:
Cần lưu ý rằng, Uniswap's Permit2 yêu cầu quyền truy cập không giới hạn theo mặc định, điều này càng gia tăng rủi ro.
![Ký tên đã bị đánh cắp? Khám phá trò lừa bịp ký tên Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Đề xuất phòng ngừa
Học cách nhận biết và hiểu nội dung chữ ký, đặc biệt là những chữ ký liên quan đến Permit.
Áp dụng chiến lược tách biệt ví nóng và ví lạnh, ví tương tác chỉ giữ một lượng nhỏ tiền.
Chỉ cấp quyền cho số tiền cần thiết khi ủy quyền hợp đồng Permit2, hoặc kịp thời hủy bỏ quyền ủy quyền thừa.
Hiểu rõ việc mình nắm giữ token có hỗ trợ chức năng permit hay không, giữ cảnh giác đối với các giao dịch liên quan.
Nếu không may gặp phải cuộc tấn công, còn có tài sản trên các nền tảng khác, cần lập kế hoạch chuyển nhượng tài sản hoàn chỉnh.
Khi phạm vi ứng dụng của Permit2 mở rộng, các cuộc tấn công lừa đảo dựa trên đó có thể ngày càng nhiều. Cách lừa đảo bằng chữ ký này cực kỳ kín đáo và khó phòng ngừa, hy vọng độc giả có thể nâng cao cảnh giác và chia sẻ kiến thức liên quan với nhiều người hơn, cùng nhau bảo vệ an toàn tài sản.
![Ký tên đã bị đánh cắp? Khám phá trò lừa bịp ký tên Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(