Hackerlar, Web3 ekosisteminde korkutucu bir varlıktır. Proje sahipleri için, kodun açık kaynak olması açıkların kaçınılmaz hale gelmesine neden olur; bireysel kullanıcılar için, her zincir üzerindeki etkileşim varlıkların çalınma riski taşıyabilir. Bu nedenle, güvenlik sorunu kripto dünyasının en büyük sıkıntısı olmuştur ve blok zincirinin özellikleri çalınan varlıkların geri alınmasını zorlaştırdığından, güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda, yalnızca imza atarak varlıkların çalınmasına neden olabilecek yeni bir oltalama yöntemi ortaya çıktı; bu yöntem gizli ve önlenmesi zor. Daha önce bir borsa platformu ile etkileşimde bulunmuş adresler bile risk altında olabilir. Bu makalede, bu imza oltalama yöntemini analiz edeceğiz, böylece okuyucuların daha fazla varlık kaybını önlemelerine yardımcı olacağız.
olayın gelişimi
Bir arkadaşım ( küçük A'nın ) cüzdan varlıkları çalındı, ancak özel anahtar sızdırılmadı veya şüpheli sözleşmelerle etkileşime geçmedi. Araştırmalar, küçük A'nın USDT'sinin Transfer From fonksiyonu aracılığıyla transfer edildiğini ortaya koydu, bu da varlıkların üçüncü taraf tarafından transfer edildiği anlamına geliyor, cüzdan özel anahtarının sızdırıldığı değil.
İleri düzeyde işlem detaylarını sorguladım, buldum:
Bir adres, küçük A'nın varlıklarını başka bir adrese transfer eder.
Bu işlem, belirli bir ticaret platformunun Permit2 sözleşmesiyle etkileşime geçmektedir.
Ana sorun şu: Bu adres, küçük A'nın varlıklarına nasıl erişim hakkı elde etti? Neden bu işlem platformuyla ilgili?
Araştırmalar, küçük A'nın varlıklarını transfer etmeden önce, bu adresin bir Permit işlemi gerçekleştirdiğini ve her iki işlemin de bu ticaret platformunun Permit2 sözleşmesiyle etkileşimde bulunduğunu göstermektedir.
Permit2 sözleşmesi, bu ticaret platformunun 2022'nin sonlarında tanıttığı yeni bir sözleşmedir. Farklı uygulamalar arasında token yetkilendirmesinin paylaşımını ve yönetimini sağlamak, daha birleşik, verimli ve güvenli bir kullanıcı deneyimi sunmak amacıyla tasarlanmıştır. Gelecekte daha fazla projenin entegrasyonu ile Permit2, uygulamalar arası standartlaşmış Token onayı sağlamayı, işlem maliyetlerini düşürmeyi ve güvenliği artırmayı umuyor.
Permit2'nin piyasaya sürülmesi Dapp ekosisteminin kurallarını değiştirebilir. Geleneksel modelde kullanıcılar Dapp ile etkileşime geçtiklerinde her seferinde ayrı bir yetki vermek zorundadır, oysa Permit2 bir aracıdır ve kullanıcı yalnızca bir kez ona yetki vermek zorundadır; Permit2'yi entegre eden tüm Dapp'ler bu yetki limitini paylaşabilir. Bu, kullanıcı deneyimini artırır, ancak aynı zamanda riskler de getirebilir; sorun Permit2 ile etkileşim şeklinin kendisinde yatmaktadır.
Permit2, kullanıcı işlemlerini zincir dışı imzalara dönüştürür, zincir üzerindeki işlemler ise ara birimler tarafından gerçekleştirilir. Bu, kullanıcıların ETH olmadan Gas ödemelerini yapabilmelerini veya ara birimlerin ödemelerini üstlenebilmesini sağlar, ancak zincir dışı imzalar kullanıcıların en kolay göz ardı edebileceği aşamadır.
Küçük A'nın durumuna dönersek, varlık hırsızlığı Permit2 sözleşmesi ile etkileşimliydi. Ana şart, oltalama ile yapılan cüzdanın Permit2 sözleşmesine yetki vermiş olmasıdır. Dikkat edilmesi gereken nokta, şu anda Permit2'yi entegre eden Dapp'lerde veya bu işlem platformunda Swap yapmak için Permit2 sözleşmesine yetki vermenin gerekli olduğudur.
Daha da endişe verici olan, Swap miktarı ne olursa olsun, bu işlem platformunun Permit2 sözleşmesinin varsayılan olarak tüm bakiyenin yetkilendirilmesini talep etmesidir. Cüzdan özelleştirilmiş bir giriş miktarı önerse de, çoğu kullanıcı muhtemelen maksimum veya varsayılan değeri doğrudan seçecektir ve Permit2'nin varsayılan değeri sınırsız bir limittir.
Bu, 2023'ten sonra bu ticaret platformu ile etkileşime geçmiş ve Permit2 sözleşmesine yetki vermiş olanların bu oltalama eyewash'ı riski ile karşılaşabileceği anlamına geliyor.
Eyewashın özü Permit fonksiyonundadır, bu fonksiyon imza aracılığıyla Permit2 sözleşmesine verilen Token limitinin başka adreslere aktarılmasına izin verir. Hacker imzayı aldıktan sonra, kullanıcı cüzdanındaki Token'ları kontrol edebilir ve varlıkları aktarabilir.
olayın detaylı analizi
Permit fonksiyonu çevrimiçi bir sözleşmeyi imzalamaya benzer, başkalarına (spender) belirli bir miktarda token kullanma yetkisi vermek için önceden yetkilendirme yapmaya izin verir. Fonksiyon, imzanın geçerlilik süresini kontrol eder, imzanın doğruluğunu doğrular ve ardından yetkilendirme kayıtlarını günceller.
verify fonksiyonu imza bilgilerinden v, r, s verilerini çıkarır, imza adresini geri almak ve token sahibi adresiyle karşılaştırmak için kullanır, doğrulama geçerse _updateApproval fonksiyonu çağrılmaya devam edilir.
_updateApproval fonksiyonu imza doğrulaması yapıldıktan sonra yetki değerini günceller, yetki devrini gerçekleştirir. Bu aşamada yetkilendirilmiş taraf, transferfrom fonksiyonunu çağırarak token'ları belirtilen adrese transfer edebilir.
Analiz zincir üzerindeki gerçek işlemler görülebilir:
owner küçük A'nın cüzdan adresidir
Detaylar, yetkilendirilmiş Token sözleşme adresi (USDT) ve miktar gibi bilgileri gösterir.
Spender, bir hacker adresidir.
sigDeadline, imza geçerlilik süresidir.
signature, küçük A'nın imza bilgisi
Küçük A'nın etkileşim kayıtlarını incelediğimizde, bu işlem platformunu kullanırken neredeyse sınırsız bir limit için varsayılan olarak yetki verdiği ortaya çıktı.
Kısacası, küçük A daha önce Permit2 sözleşmesine sınırsız USDT limiti vermişti, sonrasında bir hacker tarafından tasarlanan Permit2 imza dolandırıcılığı tuzağına düşmüştü. Hacker imzayı aldıktan sonra, Permit2 sözleşmesinde Permit ve Transfer From işlemlerini gerçekleştirdi ve küçük A'nın varlıklarını transfer etti. Şu anda bu işlem platformunun Permit2 sözleşmesi görünüşe göre dolandırıcılık yuvası haline gelmiş, bu dolandırıcılık yöntemi yaklaşık iki ay önce aktif hale gelmiş.
nasıl önlenir?
Permit2 sözleşmesinin gelecekte daha yaygın hale gelebileceği göz önüne alındığında, daha fazla projenin bu sözleşmeyi yetkilendirme paylaşımı için entegre etmesi muhtemeldir. Etkili önleyici tedbirler şunları içerir:
İmza içeriğini anlama ve tanıma:
Permit imzası genellikle Owner, Spender, value, nonce ve deadline gibi anahtar bilgileri içerir. Güvenli eklentiler kullanmak, bu imza formatını tanımlamaya yardımcı olur.
Varlıkların depolanması ve etkileşim cüzdanının ayrılması:
Büyük miktarda varlığı soğuk cüzdanda saklamanız, etkileşim cüzdanında yalnızca az miktarda fon bulundurmanız önerilir, böylece potansiyel kayıpları azaltabilirsiniz.
Yetki miktarını sınırlama veya yetkiyi iptal etme:
Swap işlemi yaparken, yalnızca gerekli etkileşim tutarını yetkilendirin. Her etkileşim için yeniden yetkilendirme yapmak maliyeti artırsa da, Permit2 imza dolandırıcılığı riskinden kaçınmanızı sağlar. Yetkilendirilmiş kullanıcılar, güvenli eklenti kullanarak yetkilerini iptal edebilir.
Tokenin permit işlevini destekleyip desteklemediğini tanıyın:
Bu işlevin desteklenip desteklenmediğini kontrol edin, eğer destekleniyorsa, özellikle dikkatli olun ve her bilinmeyen imzayı titizlikle kontrol edin.
Tamamlayıcı bir varlık kurtarma planı oluşturmak:
Eğer dolandırıldığınız halde diğer platformlarda hâlâ token varsa, dikkatli bir şekilde çekim ve transfer yapmalısınız. MEV transferi kullanmayı veya profesyonel bir güvenlik ekibinden yardım almayı düşünün, hackerların tekrar müdahale etmesini önlemek için.
Gelecekte Permit2 tabanlı oltalama daha yaygın hale gelebilir, bu tür imza oltalama yöntemleri son derece gizlidir ve önlenmesi zor olabilir. Permit2'nin uygulama alanı genişledikçe, maruz kalma riski taşıyan adresler de artacaktır. Okuyucuların bu bilgiyi yaymasını umuyoruz, böylece daha fazla kişinin zarar görmesini önleyebiliriz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Permit2 imza oltacılığı yeni eyewash: işlem platformu kullanıcıları dikkatli olmalı
Uniswap Permit2 İmza Phishing Eyewash'ını Açığa Çıkarma: İmza Atarken Dikkat Edin, Çalınabilirsiniz
Hackerlar, Web3 ekosisteminde korkutucu bir varlıktır. Proje sahipleri için, kodun açık kaynak olması açıkların kaçınılmaz hale gelmesine neden olur; bireysel kullanıcılar için, her zincir üzerindeki etkileşim varlıkların çalınma riski taşıyabilir. Bu nedenle, güvenlik sorunu kripto dünyasının en büyük sıkıntısı olmuştur ve blok zincirinin özellikleri çalınan varlıkların geri alınmasını zorlaştırdığından, güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda, yalnızca imza atarak varlıkların çalınmasına neden olabilecek yeni bir oltalama yöntemi ortaya çıktı; bu yöntem gizli ve önlenmesi zor. Daha önce bir borsa platformu ile etkileşimde bulunmuş adresler bile risk altında olabilir. Bu makalede, bu imza oltalama yöntemini analiz edeceğiz, böylece okuyucuların daha fazla varlık kaybını önlemelerine yardımcı olacağız.
olayın gelişimi
Bir arkadaşım ( küçük A'nın ) cüzdan varlıkları çalındı, ancak özel anahtar sızdırılmadı veya şüpheli sözleşmelerle etkileşime geçmedi. Araştırmalar, küçük A'nın USDT'sinin Transfer From fonksiyonu aracılığıyla transfer edildiğini ortaya koydu, bu da varlıkların üçüncü taraf tarafından transfer edildiği anlamına geliyor, cüzdan özel anahtarının sızdırıldığı değil.
İleri düzeyde işlem detaylarını sorguladım, buldum:
Ana sorun şu: Bu adres, küçük A'nın varlıklarına nasıl erişim hakkı elde etti? Neden bu işlem platformuyla ilgili?
Araştırmalar, küçük A'nın varlıklarını transfer etmeden önce, bu adresin bir Permit işlemi gerçekleştirdiğini ve her iki işlemin de bu ticaret platformunun Permit2 sözleşmesiyle etkileşimde bulunduğunu göstermektedir.
Permit2 sözleşmesi, bu ticaret platformunun 2022'nin sonlarında tanıttığı yeni bir sözleşmedir. Farklı uygulamalar arasında token yetkilendirmesinin paylaşımını ve yönetimini sağlamak, daha birleşik, verimli ve güvenli bir kullanıcı deneyimi sunmak amacıyla tasarlanmıştır. Gelecekte daha fazla projenin entegrasyonu ile Permit2, uygulamalar arası standartlaşmış Token onayı sağlamayı, işlem maliyetlerini düşürmeyi ve güvenliği artırmayı umuyor.
Permit2'nin piyasaya sürülmesi Dapp ekosisteminin kurallarını değiştirebilir. Geleneksel modelde kullanıcılar Dapp ile etkileşime geçtiklerinde her seferinde ayrı bir yetki vermek zorundadır, oysa Permit2 bir aracıdır ve kullanıcı yalnızca bir kez ona yetki vermek zorundadır; Permit2'yi entegre eden tüm Dapp'ler bu yetki limitini paylaşabilir. Bu, kullanıcı deneyimini artırır, ancak aynı zamanda riskler de getirebilir; sorun Permit2 ile etkileşim şeklinin kendisinde yatmaktadır.
Permit2, kullanıcı işlemlerini zincir dışı imzalara dönüştürür, zincir üzerindeki işlemler ise ara birimler tarafından gerçekleştirilir. Bu, kullanıcıların ETH olmadan Gas ödemelerini yapabilmelerini veya ara birimlerin ödemelerini üstlenebilmesini sağlar, ancak zincir dışı imzalar kullanıcıların en kolay göz ardı edebileceği aşamadır.
Küçük A'nın durumuna dönersek, varlık hırsızlığı Permit2 sözleşmesi ile etkileşimliydi. Ana şart, oltalama ile yapılan cüzdanın Permit2 sözleşmesine yetki vermiş olmasıdır. Dikkat edilmesi gereken nokta, şu anda Permit2'yi entegre eden Dapp'lerde veya bu işlem platformunda Swap yapmak için Permit2 sözleşmesine yetki vermenin gerekli olduğudur.
Daha da endişe verici olan, Swap miktarı ne olursa olsun, bu işlem platformunun Permit2 sözleşmesinin varsayılan olarak tüm bakiyenin yetkilendirilmesini talep etmesidir. Cüzdan özelleştirilmiş bir giriş miktarı önerse de, çoğu kullanıcı muhtemelen maksimum veya varsayılan değeri doğrudan seçecektir ve Permit2'nin varsayılan değeri sınırsız bir limittir.
Bu, 2023'ten sonra bu ticaret platformu ile etkileşime geçmiş ve Permit2 sözleşmesine yetki vermiş olanların bu oltalama eyewash'ı riski ile karşılaşabileceği anlamına geliyor.
Eyewashın özü Permit fonksiyonundadır, bu fonksiyon imza aracılığıyla Permit2 sözleşmesine verilen Token limitinin başka adreslere aktarılmasına izin verir. Hacker imzayı aldıktan sonra, kullanıcı cüzdanındaki Token'ları kontrol edebilir ve varlıkları aktarabilir.
olayın detaylı analizi
Permit fonksiyonu çevrimiçi bir sözleşmeyi imzalamaya benzer, başkalarına (spender) belirli bir miktarda token kullanma yetkisi vermek için önceden yetkilendirme yapmaya izin verir. Fonksiyon, imzanın geçerlilik süresini kontrol eder, imzanın doğruluğunu doğrular ve ardından yetkilendirme kayıtlarını günceller.
verify fonksiyonu imza bilgilerinden v, r, s verilerini çıkarır, imza adresini geri almak ve token sahibi adresiyle karşılaştırmak için kullanır, doğrulama geçerse _updateApproval fonksiyonu çağrılmaya devam edilir.
_updateApproval fonksiyonu imza doğrulaması yapıldıktan sonra yetki değerini günceller, yetki devrini gerçekleştirir. Bu aşamada yetkilendirilmiş taraf, transferfrom fonksiyonunu çağırarak token'ları belirtilen adrese transfer edebilir.
Analiz zincir üzerindeki gerçek işlemler görülebilir:
Küçük A'nın etkileşim kayıtlarını incelediğimizde, bu işlem platformunu kullanırken neredeyse sınırsız bir limit için varsayılan olarak yetki verdiği ortaya çıktı.
Kısacası, küçük A daha önce Permit2 sözleşmesine sınırsız USDT limiti vermişti, sonrasında bir hacker tarafından tasarlanan Permit2 imza dolandırıcılığı tuzağına düşmüştü. Hacker imzayı aldıktan sonra, Permit2 sözleşmesinde Permit ve Transfer From işlemlerini gerçekleştirdi ve küçük A'nın varlıklarını transfer etti. Şu anda bu işlem platformunun Permit2 sözleşmesi görünüşe göre dolandırıcılık yuvası haline gelmiş, bu dolandırıcılık yöntemi yaklaşık iki ay önce aktif hale gelmiş.
nasıl önlenir?
Permit2 sözleşmesinin gelecekte daha yaygın hale gelebileceği göz önüne alındığında, daha fazla projenin bu sözleşmeyi yetkilendirme paylaşımı için entegre etmesi muhtemeldir. Etkili önleyici tedbirler şunları içerir:
Varlıkların depolanması ve etkileşim cüzdanının ayrılması: Büyük miktarda varlığı soğuk cüzdanda saklamanız, etkileşim cüzdanında yalnızca az miktarda fon bulundurmanız önerilir, böylece potansiyel kayıpları azaltabilirsiniz.
Yetki miktarını sınırlama veya yetkiyi iptal etme: Swap işlemi yaparken, yalnızca gerekli etkileşim tutarını yetkilendirin. Her etkileşim için yeniden yetkilendirme yapmak maliyeti artırsa da, Permit2 imza dolandırıcılığı riskinden kaçınmanızı sağlar. Yetkilendirilmiş kullanıcılar, güvenli eklenti kullanarak yetkilerini iptal edebilir.
Tokenin permit işlevini destekleyip desteklemediğini tanıyın: Bu işlevin desteklenip desteklenmediğini kontrol edin, eğer destekleniyorsa, özellikle dikkatli olun ve her bilinmeyen imzayı titizlikle kontrol edin.
Tamamlayıcı bir varlık kurtarma planı oluşturmak: Eğer dolandırıldığınız halde diğer platformlarda hâlâ token varsa, dikkatli bir şekilde çekim ve transfer yapmalısınız. MEV transferi kullanmayı veya profesyonel bir güvenlik ekibinden yardım almayı düşünün, hackerların tekrar müdahale etmesini önlemek için.
Gelecekte Permit2 tabanlı oltalama daha yaygın hale gelebilir, bu tür imza oltalama yöntemleri son derece gizlidir ve önlenmesi zor olabilir. Permit2'nin uygulama alanı genişledikçe, maruz kalma riski taşıyan adresler de artacaktır. Okuyucuların bu bilgiyi yaymasını umuyoruz, böylece daha fazla kişinin zarar görmesini önleyebiliriz.