Revelando o esquema de phishing de assinatura Permit2 da Uniswap: tenha cuidado ao assinar ou será roubado
Os hackers são uma presença temida no ecossistema Web3. Para os projetos, o código aberto torna as vulnerabilidades inevitáveis; para os usuários individuais, cada interação na blockchain pode trazer o risco de roubo de ativos. Portanto, a questão da segurança sempre foi um ponto crítico no mundo das criptomoedas, e as características da blockchain tornam difícil a recuperação de ativos roubados, tornando o conhecimento de segurança especialmente importante.
Recentemente, surgiu um novo método de phishing que pode resultar no roubo de ativos apenas com uma assinatura; o método é discreto e difícil de prevenir. Endereços que já interagiram com uma determinada plataforma de negociação podem estar em risco. Este artigo analisará este método de phishing por assinatura para ajudar os leitores a evitar mais perdas de ativos.
descrição do evento
Um amigo teve os ativos da carteira de (, o pequeno A, roubados, mas não houve vazamento da chave privada ou interação com contratos suspeitos. A investigação revelou que o USDT do pequeno A foi transferido através da função Transfer From, o que significa que foi uma operação de um terceiro que transferiu os ativos, e não o vazamento da chave privada da carteira.
Para consultar mais detalhes da transação, descubra:
Um endereço transferiu os ativos do pequeno A para outro endereço
Esta operação interage com o contrato Permit2 de uma determinada plataforma de negociação.
A questão chave é: como este endereço obteve permissão para os ativos do A? Por que está relacionado com esta plataforma de negociação?
A investigação mostrou que, antes de transferir os ativos do pequeno A, o endereço também realizou uma operação de Permissão, e ambas as operações interagiram com o contrato Permit2 da plataforma de negociação.
O contrato Permit2 é um novo contrato lançado pela plataforma de negociação no final de 2022, com o objetivo de permitir a autorização de tokens para serem compartilhados e geridos entre diferentes aplicações, proporcionando uma experiência do usuário mais unificada, eficiente e segura. No futuro, à medida que mais projetos forem integrados, o Permit2 tem potencial para alcançar a aprovação de Tokens padronizada entre aplicações, reduzindo os custos de transação e aumentando a segurança.
O lançamento do Permit2 pode mudar as regras do ecossistema Dapp. No modelo tradicional, os usuários precisam autorizar individualmente cada interação com o Dapp, enquanto o Permit2, como intermediário, permite que os usuários autorizem apenas uma vez, e todos os Dapps que integram o Permit2 podem compartilhar o limite de autorização. Isso melhora a experiência do usuário, mas também pode trazer riscos, com problemas relacionados à forma de interação com o Permit2.
O Permit2 transforma as operações dos usuários em assinaturas off-chain, com as operações on-chain realizadas por um intermediário. Isso permite que os usuários paguem o Gas sem ETH ou que o intermediário faça o pagamento, mas a assinatura off-chain é a parte mais facilmente negligenciada pelo usuário.
Voltando ao caso do pequeno A, o roubo de ativos está relacionado à interação com o contrato Permit2. A premissa chave é que a carteira que foi alvo de phishing deve ter sido autorizada ao contrato Permit2. Vale a pena notar que, atualmente, para realizar swaps em Dapps que integram o Permit2 ou na plataforma de negociação, é necessário autorizar o contrato Permit2.
Ainda mais preocupante é que, independentemente do valor do Swap, o contrato Permit2 dessa plataforma de negociação exige por padrão a autorização de todo o saldo. Embora a carteira ofereça a opção de inserir um valor personalizado, a maioria dos usuários pode optar diretamente pelo valor máximo ou padrão, sendo que o valor padrão do Permit2 é um limite infinito.
Isso significa que, desde que tenha interagido com a plataforma de negociação e autorizado o contrato Permit2 após 2023, poderá estar exposto ao risco deste lavar os olhos.
lavar os olhos núcleo está na função Permit, que permite transferir a cota de Token autorizada ao contrato Permit2 para outros endereços através de assinatura. Após obter a assinatura, os hackers podem manipular os Tokens na carteira do usuário e transferir ativos.
) Análise detalhada do evento
A função Permit é semelhante à assinatura online de um contrato, permitindo que outra pessoa seja autorizada antecipadamente a usar uma certa quantidade de tokens no futuro. A função verifica a validade da assinatura, autentica sua veracidade e, em seguida, atualiza o registro de autorização.
A função verify extrai os dados v, r, s das informações de assinatura, para recuperar o endereço da assinatura e compará-lo com o endereço do proprietário do token. Se a verificação for bem-sucedida, continua a chamar a função _updateApproval.
A função _updateApproval atualiza o valor da autorização após a verificação da assinatura, permitindo a transferência de permissões. Neste momento, a parte autorizada pode chamar a função transferfrom para transferir tokens para o endereço especificado.
![Assinatura roubada? Revelando a lavagem dos olhos do phishing de assinatura do Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Análise de transações reais na cadeia visíveis:
o owner é o endereço da carteira do pequeno A
Detalhes mostram o endereço do contrato do Token autorizado ) USDT ( e informações como o valor.
Spender é o endereço do hacker
sigDeadline é o tempo de validade da assinatura
signature é a informação da assinatura do pequeno A
![Assinatura é roubada? Revelando a lavagem dos olhos do phishing de assinatura Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Ao reverter os registros de interação de A, descobrimos que ele havia autorizado quase ilimitados limites ao usar essa plataforma de negociação anteriormente.
![A assinatura foi roubada? Revelando o esquema de phishing por assinatura do Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Em resumo, o pequeno A anteriormente autorizou um limite ilimitado de USDT ao contrato Permit2, e depois caiu na armadilha de phishing com assinatura do Permit2, projetada pelos hackers. Após obter a assinatura, os hackers executaram as operações de Permitir e Transferir de no contrato Permit2, transferindo os ativos do pequeno A. Atualmente, o contrato Permit2 dessa plataforma de negociação parece ter se tornado um terreno fértil para phishing, e essa técnica de phishing começou a se tornar ativa há cerca de dois meses.
) como prevenir?
Considerando que o contrato Permit2 pode tornar-se mais comum no futuro, cada vez mais projetos podem integrar esse contrato para compartilhamento de autorizações, as medidas de prevenção eficazes incluem:
Compreender e identificar o conteúdo da assinatura:
A assinatura do Permit geralmente inclui informações-chave como Owner, Spender, value, nonce e deadline. Usar plugins de segurança ajuda a identificar esse formato de assinatura.
Separar o armazenamento de ativos e a carteira de interação:
Recomenda-se armazenar uma grande quantidade de ativos em carteiras frias, mantendo apenas uma pequena quantia em carteiras de interação, para reduzir perdas potenciais.
Limitar o montante da autorização ou cancelar a autorização:
Ao realizar um Swap nesta plataforma de negociação, apenas autorize o montante de interação necessário. Embora a necessidade de reautorizar a cada interação aumente os custos, isso pode evitar o risco de phishing de assinatura Permit2. Os usuários autorizados podem usar um plugin seguro para revogar a autorização.
![Assinatura roubada? Revelando o esquema de phishing de assinatura do Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
Identificar se o token suporta a funcionalidade permit:
Preste atenção se os tokens autossustentáveis suportam essa funcionalidade, se suportarem, deve ser extremamente cauteloso, verificando rigorosamente cada assinatura desconhecida.
Elaborar um plano de resgate de ativos completo:
Se descobrir que foi enganado, mas ainda tem tokens em outras plataformas, deve ser cauteloso ao retirar e transferir. Considere usar a transferência MEV ou procurar a assistência de uma equipe de segurança profissional para evitar que hackers interceptem novamente.
No futuro, a phishing baseada no Permit2 pode se tornar mais comum, este método de phishing por assinatura é extremamente oculto e difícil de prevenir. À medida que a aplicação do Permit2 se expande, também aumentará o número de endereços expostos ao risco. Espero que os leitores possam divulgar esta informação amplamente, a fim de evitar que mais pessoas sofram perdas.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
8 gostos
Recompensa
8
3
Partilhar
Comentar
0/400
AirdropHunter420
· 1h atrás
Depois de assinar, o dinheiro desapareceu. Que pena.
Ver originalResponder0
MetaverseLandlord
· 08-04 15:24
Outra vez? Quem consegue suportar esse imposto de QI?
Novo esquema de phishing com assinatura Permit2: os usuários da plataforma devem estar atentos
Revelando o esquema de phishing de assinatura Permit2 da Uniswap: tenha cuidado ao assinar ou será roubado
Os hackers são uma presença temida no ecossistema Web3. Para os projetos, o código aberto torna as vulnerabilidades inevitáveis; para os usuários individuais, cada interação na blockchain pode trazer o risco de roubo de ativos. Portanto, a questão da segurança sempre foi um ponto crítico no mundo das criptomoedas, e as características da blockchain tornam difícil a recuperação de ativos roubados, tornando o conhecimento de segurança especialmente importante.
Recentemente, surgiu um novo método de phishing que pode resultar no roubo de ativos apenas com uma assinatura; o método é discreto e difícil de prevenir. Endereços que já interagiram com uma determinada plataforma de negociação podem estar em risco. Este artigo analisará este método de phishing por assinatura para ajudar os leitores a evitar mais perdas de ativos.
descrição do evento
Um amigo teve os ativos da carteira de (, o pequeno A, roubados, mas não houve vazamento da chave privada ou interação com contratos suspeitos. A investigação revelou que o USDT do pequeno A foi transferido através da função Transfer From, o que significa que foi uma operação de um terceiro que transferiu os ativos, e não o vazamento da chave privada da carteira.
Para consultar mais detalhes da transação, descubra:
A questão chave é: como este endereço obteve permissão para os ativos do A? Por que está relacionado com esta plataforma de negociação?
A investigação mostrou que, antes de transferir os ativos do pequeno A, o endereço também realizou uma operação de Permissão, e ambas as operações interagiram com o contrato Permit2 da plataforma de negociação.
O contrato Permit2 é um novo contrato lançado pela plataforma de negociação no final de 2022, com o objetivo de permitir a autorização de tokens para serem compartilhados e geridos entre diferentes aplicações, proporcionando uma experiência do usuário mais unificada, eficiente e segura. No futuro, à medida que mais projetos forem integrados, o Permit2 tem potencial para alcançar a aprovação de Tokens padronizada entre aplicações, reduzindo os custos de transação e aumentando a segurança.
O lançamento do Permit2 pode mudar as regras do ecossistema Dapp. No modelo tradicional, os usuários precisam autorizar individualmente cada interação com o Dapp, enquanto o Permit2, como intermediário, permite que os usuários autorizem apenas uma vez, e todos os Dapps que integram o Permit2 podem compartilhar o limite de autorização. Isso melhora a experiência do usuário, mas também pode trazer riscos, com problemas relacionados à forma de interação com o Permit2.
O Permit2 transforma as operações dos usuários em assinaturas off-chain, com as operações on-chain realizadas por um intermediário. Isso permite que os usuários paguem o Gas sem ETH ou que o intermediário faça o pagamento, mas a assinatura off-chain é a parte mais facilmente negligenciada pelo usuário.
Voltando ao caso do pequeno A, o roubo de ativos está relacionado à interação com o contrato Permit2. A premissa chave é que a carteira que foi alvo de phishing deve ter sido autorizada ao contrato Permit2. Vale a pena notar que, atualmente, para realizar swaps em Dapps que integram o Permit2 ou na plataforma de negociação, é necessário autorizar o contrato Permit2.
Ainda mais preocupante é que, independentemente do valor do Swap, o contrato Permit2 dessa plataforma de negociação exige por padrão a autorização de todo o saldo. Embora a carteira ofereça a opção de inserir um valor personalizado, a maioria dos usuários pode optar diretamente pelo valor máximo ou padrão, sendo que o valor padrão do Permit2 é um limite infinito.
Isso significa que, desde que tenha interagido com a plataforma de negociação e autorizado o contrato Permit2 após 2023, poderá estar exposto ao risco deste lavar os olhos.
lavar os olhos núcleo está na função Permit, que permite transferir a cota de Token autorizada ao contrato Permit2 para outros endereços através de assinatura. Após obter a assinatura, os hackers podem manipular os Tokens na carteira do usuário e transferir ativos.
) Análise detalhada do evento
A função Permit é semelhante à assinatura online de um contrato, permitindo que outra pessoa seja autorizada antecipadamente a usar uma certa quantidade de tokens no futuro. A função verifica a validade da assinatura, autentica sua veracidade e, em seguida, atualiza o registro de autorização.
A função verify extrai os dados v, r, s das informações de assinatura, para recuperar o endereço da assinatura e compará-lo com o endereço do proprietário do token. Se a verificação for bem-sucedida, continua a chamar a função _updateApproval.
A função _updateApproval atualiza o valor da autorização após a verificação da assinatura, permitindo a transferência de permissões. Neste momento, a parte autorizada pode chamar a função transferfrom para transferir tokens para o endereço especificado.
![Assinatura roubada? Revelando a lavagem dos olhos do phishing de assinatura do Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Análise de transações reais na cadeia visíveis:
![Assinatura é roubada? Revelando a lavagem dos olhos do phishing de assinatura Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Ao reverter os registros de interação de A, descobrimos que ele havia autorizado quase ilimitados limites ao usar essa plataforma de negociação anteriormente.
![A assinatura foi roubada? Revelando o esquema de phishing por assinatura do Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Em resumo, o pequeno A anteriormente autorizou um limite ilimitado de USDT ao contrato Permit2, e depois caiu na armadilha de phishing com assinatura do Permit2, projetada pelos hackers. Após obter a assinatura, os hackers executaram as operações de Permitir e Transferir de no contrato Permit2, transferindo os ativos do pequeno A. Atualmente, o contrato Permit2 dessa plataforma de negociação parece ter se tornado um terreno fértil para phishing, e essa técnica de phishing começou a se tornar ativa há cerca de dois meses.
) como prevenir?
Considerando que o contrato Permit2 pode tornar-se mais comum no futuro, cada vez mais projetos podem integrar esse contrato para compartilhamento de autorizações, as medidas de prevenção eficazes incluem:
Separar o armazenamento de ativos e a carteira de interação: Recomenda-se armazenar uma grande quantidade de ativos em carteiras frias, mantendo apenas uma pequena quantia em carteiras de interação, para reduzir perdas potenciais.
Limitar o montante da autorização ou cancelar a autorização: Ao realizar um Swap nesta plataforma de negociação, apenas autorize o montante de interação necessário. Embora a necessidade de reautorizar a cada interação aumente os custos, isso pode evitar o risco de phishing de assinatura Permit2. Os usuários autorizados podem usar um plugin seguro para revogar a autorização.
![Assinatura roubada? Revelando o esquema de phishing de assinatura do Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
Identificar se o token suporta a funcionalidade permit: Preste atenção se os tokens autossustentáveis suportam essa funcionalidade, se suportarem, deve ser extremamente cauteloso, verificando rigorosamente cada assinatura desconhecida.
Elaborar um plano de resgate de ativos completo: Se descobrir que foi enganado, mas ainda tem tokens em outras plataformas, deve ser cauteloso ao retirar e transferir. Considere usar a transferência MEV ou procurar a assistência de uma equipe de segurança profissional para evitar que hackers interceptem novamente.
No futuro, a phishing baseada no Permit2 pode se tornar mais comum, este método de phishing por assinatura é extremamente oculto e difícil de prevenir. À medida que a aplicação do Permit2 se expande, também aumentará o número de endereços expostos ao risco. Espero que os leitores possam divulgar esta informação amplamente, a fim de evitar que mais pessoas sofram perdas.