المخترقون هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمشاريع، فإن الشيفرة المصدرية تجعلهم قلقين من أن كل سطر من الشيفرة قد يحتوي على ثغرات. بالنسبة للمستخدمين الأفراد، إذا لم يفهموا معنى العمليات، فإن كل تفاعل على السلسلة أو توقيع قد يؤدي إلى سرقة الأصول. لذلك، تظل مسائل الأمان واحدة من النقاط المؤلمة في عالم التشفير. نظرًا لخصائص blockchain، فإن الأصول التي تُسرق تكاد تكون مستحيلة الاسترداد، لذا فإن اكتساب المعرفة الأمنية يعد أمرًا بالغ الأهمية.
تم اكتشاف تقنية جديدة للصيد الاحتيالي مؤخرًا، حيث يكفي التوقيع ليتم سرقته، والأسلوب خفي وصعب الوقاية منه. جميع العناوين التي استخدمت تفاعلًا مع DEX معين قد تواجه خطرًا. ستقوم هذه المقالة بتثقيف القارئ حول هذه التقنية لصيد التوقيع لتجنب المزيد من خسائر الأصول.
تفاصيل الحدث
مؤخراً، تم سرقة أصول المحفظة لصديقي (小A). على عكس طرق السرقة الشائعة، لم يقم小A بكشف المفتاح الخاص، ولم يتفاعل مع عقود مواقع التصيد.
يظهر مستعرض blockchain أن USDT الذي تم سرقته من Xiao A تم نقله من خلال دالة Transfer From. وهذا يعني أن عنوانًا آخر هو الذي قام بعملية نقل الرموز، وليس تسرب مفتاح محفظة.
تفاصيل المعاملة تظهر:
تم نقل أصول小A من العنوان الذي ينتهي بالرمز fd51 إلى العنوان الذي ينتهي بالرمز a0c8
هذه العملية تتفاعل مع عقد Permit2 الخاص بـ DEX معين.
المسألة الرئيسية هي: كيف يمكن الحصول على صلاحيات الأصول من عنوان ينتهي بـ fd51؟ ولماذا يتعلق الأمر بـ DEX معين؟
لمزيد من المعلومات حول سجل التفاعل لعنوان ينتهي بـ fd51، قام هذا العنوان بعملية تصريح قبل نقل أصول صغيرة A، وكانت كلا العمليتين تتعاملان مع عقد Permit2 الخاص بـ DEX معين.
عقد Permit2 هو عقد جديد أطلقته بعض DEX في أواخر عام 2022. يسمح بتفويض الرموز لمشاركة وإدارة عبر التطبيقات المختلفة، ويهدف إلى خلق تجربة مستخدم أكثر توحيدًا، وتكلفة أقل، وأكثر أمانًا. في المستقبل، مع تكامل المزيد من المشاريع، يمكن لعقد Permit2 تحقيق موافقة رمزية موحدة عبر التطبيقات.
في طرق التفاعل التقليدية، يحتاج المستخدم إلى منح إذن بشكل منفصل مع كل Dapp يتفاعل معه. لكن Permit2 يعمل كوسيط، حيث يحتاج المستخدم فقط إلى منح الإذن لعقد Permit2، وكل Dapp مدمج مع Permit2 يمكنه مشاركة حد الإذن. هذا يقلل من تكلفة تفاعل المستخدم ويعزز التجربة.
لكن Permit2 هو أيضًا سلاح ذو حدين. إنه يحول عمليات المستخدم إلى توقيع خارج السلسلة، وتتم العمليات على السلسلة بواسطة طرف ثالث. هذا يعني أنه حتى إذا كانت محفظة المستخدم لا تحتوي على ETH، يمكن استخدام رموز أخرى لدفع رسوم الغاز أو يتم تعويضها بواسطة الطرف الثالث. ومع ذلك، فإن توقيع خارج السلسلة هو الحلقة التي يسهل على المستخدمين تجاهلها.
لإطلاق هذه الحيلة الاحتيالية، الشرط الأساسي هو أن المحفظة يجب أن تمنح الإذن لعقد Permit2. حاليًا، يجب على أي شخص يقوم بتبديل على Dapp المدمج مع Permit2، منح الإذن لعقد Permit2. والأكثر رعبًا هو أنه بغض النظر عن مقدار التبادل، سيقوم عقد Permit2 بشكل افتراضي بالسماح للمستخدم بتفويض الرصيد الكامل لهذا الرمز.
هذا يعني أنه طالما تم التفاعل مع DEX معين بعد عام 2023 ومنح الإذن لعقد Permit2، فقد يكون هناك تعرض لخطر الاحتيال هذا. يستخدم المتسللون وظيفة Permit، لنقل حدود الرموز المصرح بها لـ Permit2 إلى عناوين أخرى من خلال توقيع المستخدم.
تحليل تفصيلي للحدث
تسمح دالة Permit بالتوقيع مسبقًا على "عقد"، وتفويض الآخرين لاستخدام عدد معين من الرموز في المستقبل. تحتاج إلى تقديم توقيع للتحقق من صحة التفويض.
سير عمل الدالة:
تحقق مما إذا كان الوقت الحالي قد تجاوز فترة صلاحية التوقيع
التحقق من صحة التوقيع
تحديث سجل التفويض بعد المرور
النقطة الأساسية هي دالة verify ودالة _updateApproval.
تستخرج دالة verify البيانات v و r و s من معلومات التوقيع، وتستعيد عنوان التوقيع وتقارنه بالعناوين المدخلة. تقوم دالة _updateApproval بتحديث قيمة التفويض بعد التحقق.
في السابق، قام الصغير A بالنقر على الحد الأقصى المسموح به بشكل افتراضي أثناء استخدامه لأحد DEX.
ملخص سير الأحداث: قام الشخص A سابقًا بتفويض مبلغ غير محدود من USDT إلى Permit2، ثم وقع عن غير قصد في فخ توقيع تم تصميمه من قبل القراصنة. استخدم القراصنة التوقيع لتنفيذ عمليات Permit وTransfer From في عقد Permit2 لتحويل الأصول. في الوقت الحالي، أصبح عقد Permit2 الخاص بـ DEX هذا منطقة كوارث للتصيد.
كيف يمكن الحماية؟
فهم والتعرف على محتوى التوقيع: تعلم التعرف على تنسيق توقيع Permit، والذي يتضمن معلومات رئيسية مثل Owner و Spender و value و nonce و deadline.
فصل الأصول والمحفظة التفاعلية: تخزين الأصول الكبيرة في محفظة باردة، وترك كمية صغيرة من الأموال في المحفظة التفاعلية.
تقييد حدود تفويض Permit2 أو إلغاء التفويض: تفويض فقط المبلغ المطلوب للصفقة، أو استخدام المكون الإضافي الآمن لإلغاء التفويض.
معرفة ما إذا كانت الرموز تدعم ميزة الإذن: انتبه إلى ما إذا كانت الرموز التي تمتلكها تدعم هذه الميزة، وكن حذرًا بشكل خاص بشأن المعاملات ذات الصلة.
وضع خطة إنقاذ الأصول بشكل كامل: إذا كانت هناك أصول مسروقة لا تزال موجودة على منصات أخرى، يجب سحبها وتحويلها بحذر، ويمكن النظر في استخدام نقل MEV أو طلب المساعدة من فريق أمان محترف.
من المحتمل أن تزداد عمليات الاحتيال المستندة إلى Permit2 في المستقبل. هذه الطريقة من الاحتيال بالتوقيع هي خفية وصعبة الدفاع، ومع توسيع نطاق تطبيق Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن ينشر القراء هذا المقال لتجنب تعرض المزيد من الناس للخسائر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 15
أعجبني
15
10
إعادة النشر
مشاركة
تعليق
0/400
MoonMathMagic
· منذ 4 س
توقيع مرعب للغاية، لاعبي DEX في ورطة.
شاهد النسخة الأصليةرد0
TestnetNomad
· منذ 22 س
اللعب في DEX دون الانتباه، خسرت مئات الدولارات، إنه ظلم.
شاهد النسخة الأصليةرد0
NullWhisperer
· 08-15 00:09
تقنيًا، يُعتبر permit2 مجرد متجه هجوم آخر ينتظر حدوثه...
شاهد النسخة الأصليةرد0
ShibaMillionairen't
· 08-14 15:17
تمت سرقة التوقيع، أليس كذلك؟ يجب أن تتدرب أكثر.
شاهد النسخة الأصليةرد0
ImpermanentPhilosopher
· 08-14 04:10
ثواني حمقى لا يستحقون دراسة الصيد؟
شاهد النسخة الأصليةرد0
DataOnlooker
· 08-14 04:08
تمت سرقة التوقيع؟ إنه خطر حقيقي
شاهد النسخة الأصليةرد0
LiquidationSurvivor
· 08-14 04:06
又来一个 جديد تضليل... يبدو أن العنوان المخاطر يجب أن نولي اهتمامًا أكبر.
شاهد النسخة الأصليةرد0
TokenStorm
· 08-14 04:04
لا تزال توقع بجهل؟ من خلال البيانات داخل السلسلة، يمكن لهذا الفخ المكون من permit2 أن يقلل 80% من الحمقى
شاهد النسخة الأصليةرد0
GameFiCritic
· 08-14 03:55
عناصر التوقيع كلها أُعطيت للصيد، ويقول إنه يفهم كيفية التشغيل، أضحكني ذلك.
شاهد النسخة الأصليةرد0
UnluckyValidator
· 08-14 03:48
يبدو أنه يجب أن نكون حذرين مرة أخرى في DEX. فكر جيدًا قبل التفاعل.
تحذير من عمليات الاحتيال بتوقيع عقد Uniswap Permit2: إرشادات لتجنب خسائر الأصول
كشف النقاب عن تضليل توقيع Permit2 من Uniswap
المخترقون هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمشاريع، فإن الشيفرة المصدرية تجعلهم قلقين من أن كل سطر من الشيفرة قد يحتوي على ثغرات. بالنسبة للمستخدمين الأفراد، إذا لم يفهموا معنى العمليات، فإن كل تفاعل على السلسلة أو توقيع قد يؤدي إلى سرقة الأصول. لذلك، تظل مسائل الأمان واحدة من النقاط المؤلمة في عالم التشفير. نظرًا لخصائص blockchain، فإن الأصول التي تُسرق تكاد تكون مستحيلة الاسترداد، لذا فإن اكتساب المعرفة الأمنية يعد أمرًا بالغ الأهمية.
تم اكتشاف تقنية جديدة للصيد الاحتيالي مؤخرًا، حيث يكفي التوقيع ليتم سرقته، والأسلوب خفي وصعب الوقاية منه. جميع العناوين التي استخدمت تفاعلًا مع DEX معين قد تواجه خطرًا. ستقوم هذه المقالة بتثقيف القارئ حول هذه التقنية لصيد التوقيع لتجنب المزيد من خسائر الأصول.
تفاصيل الحدث
مؤخراً، تم سرقة أصول المحفظة لصديقي (小A). على عكس طرق السرقة الشائعة، لم يقم小A بكشف المفتاح الخاص، ولم يتفاعل مع عقود مواقع التصيد.
يظهر مستعرض blockchain أن USDT الذي تم سرقته من Xiao A تم نقله من خلال دالة Transfer From. وهذا يعني أن عنوانًا آخر هو الذي قام بعملية نقل الرموز، وليس تسرب مفتاح محفظة.
تفاصيل المعاملة تظهر:
المسألة الرئيسية هي: كيف يمكن الحصول على صلاحيات الأصول من عنوان ينتهي بـ fd51؟ ولماذا يتعلق الأمر بـ DEX معين؟
لمزيد من المعلومات حول سجل التفاعل لعنوان ينتهي بـ fd51، قام هذا العنوان بعملية تصريح قبل نقل أصول صغيرة A، وكانت كلا العمليتين تتعاملان مع عقد Permit2 الخاص بـ DEX معين.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp)
عقد Permit2 هو عقد جديد أطلقته بعض DEX في أواخر عام 2022. يسمح بتفويض الرموز لمشاركة وإدارة عبر التطبيقات المختلفة، ويهدف إلى خلق تجربة مستخدم أكثر توحيدًا، وتكلفة أقل، وأكثر أمانًا. في المستقبل، مع تكامل المزيد من المشاريع، يمكن لعقد Permit2 تحقيق موافقة رمزية موحدة عبر التطبيقات.
في طرق التفاعل التقليدية، يحتاج المستخدم إلى منح إذن بشكل منفصل مع كل Dapp يتفاعل معه. لكن Permit2 يعمل كوسيط، حيث يحتاج المستخدم فقط إلى منح الإذن لعقد Permit2، وكل Dapp مدمج مع Permit2 يمكنه مشاركة حد الإذن. هذا يقلل من تكلفة تفاعل المستخدم ويعزز التجربة.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp)
لكن Permit2 هو أيضًا سلاح ذو حدين. إنه يحول عمليات المستخدم إلى توقيع خارج السلسلة، وتتم العمليات على السلسلة بواسطة طرف ثالث. هذا يعني أنه حتى إذا كانت محفظة المستخدم لا تحتوي على ETH، يمكن استخدام رموز أخرى لدفع رسوم الغاز أو يتم تعويضها بواسطة الطرف الثالث. ومع ذلك، فإن توقيع خارج السلسلة هو الحلقة التي يسهل على المستخدمين تجاهلها.
لإطلاق هذه الحيلة الاحتيالية، الشرط الأساسي هو أن المحفظة يجب أن تمنح الإذن لعقد Permit2. حاليًا، يجب على أي شخص يقوم بتبديل على Dapp المدمج مع Permit2، منح الإذن لعقد Permit2. والأكثر رعبًا هو أنه بغض النظر عن مقدار التبادل، سيقوم عقد Permit2 بشكل افتراضي بالسماح للمستخدم بتفويض الرصيد الكامل لهذا الرمز.
هذا يعني أنه طالما تم التفاعل مع DEX معين بعد عام 2023 ومنح الإذن لعقد Permit2، فقد يكون هناك تعرض لخطر الاحتيال هذا. يستخدم المتسللون وظيفة Permit، لنقل حدود الرموز المصرح بها لـ Permit2 إلى عناوين أخرى من خلال توقيع المستخدم.
تحليل تفصيلي للحدث
تسمح دالة Permit بالتوقيع مسبقًا على "عقد"، وتفويض الآخرين لاستخدام عدد معين من الرموز في المستقبل. تحتاج إلى تقديم توقيع للتحقق من صحة التفويض.
سير عمل الدالة:
النقطة الأساسية هي دالة verify ودالة _updateApproval.
تستخرج دالة verify البيانات v و r و s من معلومات التوقيع، وتستعيد عنوان التوقيع وتقارنه بالعناوين المدخلة. تقوم دالة _updateApproval بتحديث قيمة التفويض بعد التحقق.
تفاصيل المعاملة الفعلية تظهر:
! [التوقيع مسروق؟] إزالة الغموض عن Uniswap Permit2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp)
في السابق، قام الصغير A بالنقر على الحد الأقصى المسموح به بشكل افتراضي أثناء استخدامه لأحد DEX.
ملخص سير الأحداث: قام الشخص A سابقًا بتفويض مبلغ غير محدود من USDT إلى Permit2، ثم وقع عن غير قصد في فخ توقيع تم تصميمه من قبل القراصنة. استخدم القراصنة التوقيع لتنفيذ عمليات Permit وTransfer From في عقد Permit2 لتحويل الأصول. في الوقت الحالي، أصبح عقد Permit2 الخاص بـ DEX هذا منطقة كوارث للتصيد.
كيف يمكن الحماية؟
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp)
فصل الأصول والمحفظة التفاعلية: تخزين الأصول الكبيرة في محفظة باردة، وترك كمية صغيرة من الأموال في المحفظة التفاعلية.
تقييد حدود تفويض Permit2 أو إلغاء التفويض: تفويض فقط المبلغ المطلوب للصفقة، أو استخدام المكون الإضافي الآمن لإلغاء التفويض.
معرفة ما إذا كانت الرموز تدعم ميزة الإذن: انتبه إلى ما إذا كانت الرموز التي تمتلكها تدعم هذه الميزة، وكن حذرًا بشكل خاص بشأن المعاملات ذات الصلة.
وضع خطة إنقاذ الأصول بشكل كامل: إذا كانت هناك أصول مسروقة لا تزال موجودة على منصات أخرى، يجب سحبها وتحويلها بحذر، ويمكن النظر في استخدام نقل MEV أو طلب المساعدة من فريق أمان محترف.
من المحتمل أن تزداد عمليات الاحتيال المستندة إلى Permit2 في المستقبل. هذه الطريقة من الاحتيال بالتوقيع هي خفية وصعبة الدفاع، ومع توسيع نطاق تطبيق Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن ينشر القراء هذا المقال لتجنب تعرض المزيد من الناس للخسائر.