Tin tặc là một sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở mang lại áp lực an ninh lớn. Đối với người dùng cá nhân, mỗi lần tương tác trên chuỗi đều có thể tiềm ẩn rủi ro. Gần đây, một phương pháp lừa đảo mới đã bắt đầu hoạt động, chỉ cần ký tên là có thể bị đánh cắp, phương pháp này kín đáo và khó phòng ngừa, và các địa chỉ đã sử dụng Uniswap đều có thể bị lộ ra rủi ro.
Diễn biến sự kiện
Gần đây, một người bạn ( nhỏ A ) đã bị đánh cắp tài sản ví, nhưng anh ấy không tiết lộ khóa riêng tư hoặc tương tác với hợp đồng đáng ngờ. Cuộc điều tra phát hiện rằng USDT của nhỏ A đã được chuyển bằng hàm Transfer From, điều này có nghĩa là có một bên thứ ba đã thao tác chuyển tài sản.
Chi tiết giao dịch hiển thị:
Một địa chỉ kết thúc bằng fd51 đã chuyển tài sản của nhỏ A đến địa chỉ kết thúc bằng a0c8
Hành động này tương tác với hợp đồng Permit2 của Uniswap.
Câu hỏi quan trọng là: Địa chỉ kết thúc bằng fd51 đã nhận được quyền sở hữu tài sản như thế nào? Tại sao lại liên quan đến Uniswap?
Giới thiệu hợp đồng Uniswap Permit2
Uniswap Permit2 là một hợp đồng phê duyệt token, cho phép chia sẻ và quản lý quyền truy cập giữa các ứng dụng khác nhau, nhằm cung cấp trải nghiệm người dùng đồng nhất, hiệu quả và an toàn hơn. Nó có thể giảm chi phí giao dịch, cải thiện trải nghiệm người dùng, đồng thời nâng cao độ an toàn của hợp đồng thông minh.
Permit2 như một trung gian giữa người dùng và Dapp, người dùng chỉ cần cấp quyền cho hợp đồng Permit2, tất cả các Dapp tích hợp Permit2 đều có thể chia sẻ hạn mức quyền này. Điều này giảm chi phí tương tác của người dùng, nhưng cũng có thể mang lại rủi ro mới.
Phân tích kỹ thuật câu cá
Chìa khóa nằm ở hàm Permit của hợp đồng Permit2. Nói ngắn gọn, hàm này sử dụng chữ ký của người dùng để chuyển giao hạn mức token được ủy quyền cho Permit2 tới địa chỉ khác. Kẻ tấn công chỉ cần có chữ ký, họ có thể chuyển giao tài sản của người dùng.
Cụ thể các bước:
Người dùng đã từng ủy quyền cho hợp đồng Permit2 trên Uniswap ( thường là hạn mức vô hạn )
Người dùng vô tình ký vào chữ ký Permit2 do hacker tạo ra
Hacker lợi dụng chữ ký để thực hiện các thao tác Permit và Transfer From trong hợp đồng Permit2
Tài sản của người dùng bị chuyển giao
biện pháp phòng ngừa
Học cách nhận diện định dạng chữ ký Permit, sử dụng plugin an toàn để hỗ trợ nhận diện
Tách biệt sử dụng ví lưu trữ tài sản và ví tương tác
Hạn chế số tiền ủy quyền cho Permit2, hoặc hủy ủy quyền
Tìm hiểu xem các token mà bạn nắm giữ có hỗ trợ chức năng permit hay không, đặc biệt cẩn thận với các giao dịch liên quan.
Nếu gặp trường hợp bị trộm, nhanh chóng xây dựng kế hoạch cứu hộ tài sản hoàn chỉnh.
Khi phạm vi ứng dụng Permit2 mở rộng, loại tấn công lừa đảo này có thể ngày càng nhiều hơn. Người dùng cần nâng cao cảnh giác, tăng cường ý thức an toàn để bảo vệ tài sản của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Uniswap Permit2 chữ ký lừa đảo mới trò lừa bịp bảo mật tài sản rủi ro tăng cao
Tiết lộ trò lừa bịp ký tên Uniswap Permit2
Tin tặc là một sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở mang lại áp lực an ninh lớn. Đối với người dùng cá nhân, mỗi lần tương tác trên chuỗi đều có thể tiềm ẩn rủi ro. Gần đây, một phương pháp lừa đảo mới đã bắt đầu hoạt động, chỉ cần ký tên là có thể bị đánh cắp, phương pháp này kín đáo và khó phòng ngừa, và các địa chỉ đã sử dụng Uniswap đều có thể bị lộ ra rủi ro.
Diễn biến sự kiện
Gần đây, một người bạn ( nhỏ A ) đã bị đánh cắp tài sản ví, nhưng anh ấy không tiết lộ khóa riêng tư hoặc tương tác với hợp đồng đáng ngờ. Cuộc điều tra phát hiện rằng USDT của nhỏ A đã được chuyển bằng hàm Transfer From, điều này có nghĩa là có một bên thứ ba đã thao tác chuyển tài sản.
Chi tiết giao dịch hiển thị:
Câu hỏi quan trọng là: Địa chỉ kết thúc bằng fd51 đã nhận được quyền sở hữu tài sản như thế nào? Tại sao lại liên quan đến Uniswap?
Giới thiệu hợp đồng Uniswap Permit2
Uniswap Permit2 là một hợp đồng phê duyệt token, cho phép chia sẻ và quản lý quyền truy cập giữa các ứng dụng khác nhau, nhằm cung cấp trải nghiệm người dùng đồng nhất, hiệu quả và an toàn hơn. Nó có thể giảm chi phí giao dịch, cải thiện trải nghiệm người dùng, đồng thời nâng cao độ an toàn của hợp đồng thông minh.
Permit2 như một trung gian giữa người dùng và Dapp, người dùng chỉ cần cấp quyền cho hợp đồng Permit2, tất cả các Dapp tích hợp Permit2 đều có thể chia sẻ hạn mức quyền này. Điều này giảm chi phí tương tác của người dùng, nhưng cũng có thể mang lại rủi ro mới.
Phân tích kỹ thuật câu cá
Chìa khóa nằm ở hàm Permit của hợp đồng Permit2. Nói ngắn gọn, hàm này sử dụng chữ ký của người dùng để chuyển giao hạn mức token được ủy quyền cho Permit2 tới địa chỉ khác. Kẻ tấn công chỉ cần có chữ ký, họ có thể chuyển giao tài sản của người dùng.
Cụ thể các bước:
biện pháp phòng ngừa
Khi phạm vi ứng dụng Permit2 mở rộng, loại tấn công lừa đảo này có thể ngày càng nhiều hơn. Người dùng cần nâng cao cảnh giác, tăng cường ý thức an toàn để bảo vệ tài sản của mình.