Раскрытие схемы мошенничества с подделкой подписей Uniswap Permit2
Хакеры являются пугающим существом в экосистеме Web3. Для разработчиков открытый исходный код создает огромное давление безопасности. Для пользователей каждый раз, когда они взаимодействуют в блокчейне, существует риск. В последнее время начала активно использоваться новая техника фишинга, которая может привести к краже всего лишь подписанием, метод скрыт и трудно защитить, и адреса, использовавшие Uniswap, могут быть подвержены риску.
Ход событий
Недавно друг ( маленький А ) потерял свои активы в кошельке, но он не раскрыл свой приватный ключ и не взаимодействовал с подозрительными контрактами. Расследование показало, что USDT маленького А был переведен с помощью функции Transfer From, что означает, что активы были переведены третьей стороной.
Детали сделки показывают:
Адрес, заканчивающийся на fd51, перевел активы маленького А на адрес, заканчивающийся на a0c8.
Эта операция взаимодействует с контрактом Permit2 от Uniswap
Ключевой вопрос: как адрес с окончанием fd51 получил права на активы? Почему это связано с Uniswap?
Введение в контракт Uniswap Permit2
Uniswap Permit2 — это контракт на одобрение токенов, который позволяет делиться и управлять авторизациями между различными приложениями для обеспечения более унифицированного, эффективного и безопасного пользовательского опыта. Он может снизить стоимость транзакций, улучшить пользовательский опыт и одновременно повысить безопасность смарт-контрактов.
Permit2 выступает в роли посредника между пользователем и Dapp, пользователю необходимо только授权овать контракту Permit2, все Dapp, интегрированные с Permit2, могут делиться этим授权额度. Это снижает стоимость взаимодействия для пользователя, но также может привести к новым рискам.
Анализ методов рыбалки
Ключевым моментом является функция Permit контракта Permit2. Проще говоря, эта функция использует подпись пользователя для передачи разрешенной суммы токенов, переданной Permit2, на другие адреса. Хакер просто должен получить подпись, чтобы перевести активы пользователя.
Конкретные шаги:
Пользователь ранее предоставил разрешение контракту Permit2 на Uniswap (, обычно на неограниченную сумму ).
Пользователь случайно подписал подпись Permit2, созданную хакером.
Хакеры используют подписи для выполнения операций Permit и Transfer From в контракте Permit2
Активы пользователя были переведены
меры предосторожности
Научитесь распознавать формат подписи Permit, используйте безопасные плагины для помощи в распознавании
Используйте кошелек для хранения активов и интерактивный кошелек отдельно
Ограничить сумму, разрешенную для Permit2, или отменить разрешение
Узнайте, поддерживает ли ваш токен функцию permit, будьте особенно осторожны с соответствующими сделками.
В случае кражи быстро разработайте полный план спасения активов.
С увеличением области применения Permit2 такие фишинговые атаки могут становиться все более частыми. Пользователям необходимо повышать бдительность и усиливать безопасность для защиты своих активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
6
Репост
Поделиться
комментарий
0/400
WenMoon42
· 07-05 18:00
小неудачники又要遭重了
Посмотреть ОригиналОтветить0
ser_we_are_ngmi
· 07-04 14:57
Слишком реально, новичок просто глупо подписывает.
Посмотреть ОригиналОтветить0
0xSunnyDay
· 07-04 14:57
Опять играете с подписями? Это уже банально.
Посмотреть ОригиналОтветить0
CryptoCrazyGF
· 07-04 14:48
Цыц, ловушка для неудачников снова обновилась.
Посмотреть ОригиналОтветить0
CompoundPersonality
· 07-04 14:46
новичок действительно не трогайте авторизацию прав
Uniswap Permit2 подпись фишинга новая промывание глаз безопасность активов риски увеличиваются
Раскрытие схемы мошенничества с подделкой подписей Uniswap Permit2
Хакеры являются пугающим существом в экосистеме Web3. Для разработчиков открытый исходный код создает огромное давление безопасности. Для пользователей каждый раз, когда они взаимодействуют в блокчейне, существует риск. В последнее время начала активно использоваться новая техника фишинга, которая может привести к краже всего лишь подписанием, метод скрыт и трудно защитить, и адреса, использовавшие Uniswap, могут быть подвержены риску.
Ход событий
Недавно друг ( маленький А ) потерял свои активы в кошельке, но он не раскрыл свой приватный ключ и не взаимодействовал с подозрительными контрактами. Расследование показало, что USDT маленького А был переведен с помощью функции Transfer From, что означает, что активы были переведены третьей стороной.
Детали сделки показывают:
Ключевой вопрос: как адрес с окончанием fd51 получил права на активы? Почему это связано с Uniswap?
Введение в контракт Uniswap Permit2
Uniswap Permit2 — это контракт на одобрение токенов, который позволяет делиться и управлять авторизациями между различными приложениями для обеспечения более унифицированного, эффективного и безопасного пользовательского опыта. Он может снизить стоимость транзакций, улучшить пользовательский опыт и одновременно повысить безопасность смарт-контрактов.
Permit2 выступает в роли посредника между пользователем и Dapp, пользователю необходимо только授权овать контракту Permit2, все Dapp, интегрированные с Permit2, могут делиться этим授权额度. Это снижает стоимость взаимодействия для пользователя, но также может привести к новым рискам.
Анализ методов рыбалки
Ключевым моментом является функция Permit контракта Permit2. Проще говоря, эта функция использует подпись пользователя для передачи разрешенной суммы токенов, переданной Permit2, на другие адреса. Хакер просто должен получить подпись, чтобы перевести активы пользователя.
Конкретные шаги:
меры предосторожности
С увеличением области применения Permit2 такие фишинговые атаки могут становиться все более частыми. Пользователям необходимо повышать бдительность и усиливать безопасность для защиты своих активов.