Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia intimidante en el ecosistema Web3. Para los proyectos, el código abierto les preocupa porque cada línea de código podría tener vulnerabilidades. Para los usuarios individuales, si no entienden el significado de las operaciones, cada interacción o firma en la cadena puede resultar en el robo de activos. Por lo tanto, la cuestión de la seguridad ha sido uno de los puntos críticos en el mundo cripto. Debido a las características de la blockchain, una vez que los activos son robados, es casi imposible recuperarlos, por lo que es especialmente importante tener conocimientos de seguridad.
Recientemente se ha descubierto un nuevo método de phishing, donde solo se necesita una firma para ser robado. La técnica es sigilosa y difícil de prevenir. Las direcciones que han interactuado con algún DEX pueden estar en riesgo. Este artículo tiene como objetivo educar sobre este método de phishing por firma para evitar más pérdidas de activos.
desarrollo del evento
Recientemente, un amigo (, Xiao A ), tuvo sus activos de billetera robados. A diferencia de los métodos comunes de robo, Xiao A no filtró su clave privada, ni interactuó con contratos de sitios de phishing.
El explorador de blockchain muestra que los USDT robados de Xiao A fueron transferidos a través de la función Transfer From. Esto significa que fue otra dirección la que realizó la transferencia del Token, y no una filtración de la clave privada de la billetera.
Detalles de la transacción:
La dirección con el número final fd51 ha transferido los activos de Xiao A a la dirección con el número final a0c8
Esta operación interactúa con el contrato Permit2 de algún DEX.
La pregunta clave es: ¿cómo obtener permisos de activos para la dirección que termina en fd51? ¿Por qué está relacionado con algún DEX?
Para ver más a fondo los registros de interacción de la dirección que termina en fd51, antes de transferir los activos de Xiao A, esa dirección realizó una operación de Permiso, y ambas operaciones interactuaron con el contrato Permit2 de un DEX.
El contrato Permit2 es un nuevo contrato lanzado por un DEX a finales de 2022. Permite la autorización de tokens para compartir y gestionar entre diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, de menor costo y más segura. En el futuro, con la integración de más proyectos, Permit2 podrá lograr la aprobación estandarizada de tokens entre aplicaciones.
En los métodos de interacción tradicionales, los usuarios deben autorizar individualmente cada interacción con un Dapp. Permit2 actúa como intermediario, permitiendo que los usuarios solo autoricen el contrato Permit2, el cual puede compartir el límite de autorización con todos los Dapps que integren Permit2. Esto reduce el costo de interacción para los usuarios y mejora la experiencia.
Pero Permit2 también es una espada de doble filo. Convierte las operaciones del usuario en firmas fuera de la cadena, y las operaciones en la cadena son realizadas por un rol intermedio. Esto significa que incluso si la billetera del usuario no tiene ETH, puede usar otros tokens para pagar el Gas o ser reembolsado por el rol intermedio. Sin embargo, la firma fuera de la cadena es el aspecto que los usuarios más tienden a pasar por alto.
Para activar esta técnica de phishing, la condición clave es que la billetera debe autorizar el contrato Permit2. Actualmente, siempre que se realice un Swap en una Dapp que integre Permit2, es necesario autorizar al contrato Permit2. Lo más aterrador es que, sin importar la cantidad del Swap, el contrato Permit2 siempre permitirá que el usuario autorice el saldo total de ese Token.
Esto significa que, siempre que interactúe con algún DEX y autorice al contrato Permit2 después de 2023, podría estar expuesto a este riesgo de phishing. Los hackers utilizan la función Permit para transferir el límite de Token autorizado a Permit2 a otras direcciones mediante la firma del usuario.
Análisis detallado del evento
La función Permit permite firmar anticipadamente un "contrato", autorizando a otros a usar una cantidad específica de tokens en el futuro. Se requiere proporcionar una firma para verificar la autenticidad de la autorización.
Flujo de trabajo de funciones:
Verifique si la hora actual ha superado el período de validez de la firma
Verificar la autenticidad de la firma
Actualizar el registro de autorización después de pasar
El enfoque está en la función verify y la función _updateApproval.
La función verify obtiene los datos v, r, s de la información de firma, recupera la dirección de firma y la compara con la dirección proporcionada. La función _updateApproval actualiza el valor de autorización después de la verificación.
Los detalles de la transacción real muestran:
owner es la dirección de la billetera de Xiao A
El Token autorizado es USDT
Spender es la dirección del hacker con el número final fd51
sigDeadline es el período de validez de la firma
signature es la información de firma de A
El pequeño A hizo clic en el límite de autorización ilimitado por defecto al usar un DEX anteriormente.
Resumen del proceso del evento: El pequeño A autorizó previamente a Permit2 un límite ilimitado de USDT, y luego accidentalmente cayó en una trampa de firma diseñada por un hacker. El hacker utilizó la firma para realizar operaciones de Permiso y Transferir Desde en el contrato de Permit2 para transferir activos. Actualmente, el contrato de Permit2 de este DEX se ha convertido en una zona de desastre de phishing.
¿Cómo prevenir?
Comprender e identificar el contenido de la firma: aprender a reconocer el formato de firma Permit, que incluye información clave como Owner, Spender, value, nonce y deadline.
Separación de activos y billetera de interacción: almacenar grandes cantidades de activos en una billetera fría, la billetera de interacción solo debe contener una pequeña cantidad de fondos.
Limitar el monto de autorización de Permit2 o cancelar la autorización: autorizar solo el monto de la transacción necesaria o utilizar un complemento de seguridad para cancelar la autorización.
Entender si el token soporta la función permit: Prestar atención a si el token que posees soporta esta función y tener especial precaución con las transacciones relacionadas.
Elaborar un plan de rescate de activos completo: si hay activos en otras plataformas después del robo, se debe tener cuidado al retirar y transferir, se puede considerar el uso de transferencia MEV o buscar la asistencia de un equipo de seguridad profesional.
En el futuro, el phishing basado en Permit2 puede aumentar. Este método de phishing por firma es difícil de detectar y, a medida que se amplía el alcance de la aplicación Permit2, también aumentará el número de direcciones expuestas al riesgo. Esperamos que los lectores difundan este artículo para evitar que más personas sufran pérdidas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
10
Republicar
Compartir
Comentar
0/400
MoonMathMagic
· hace6h
Esta firma es aterradora, los jugadores de DEX lo tienen difícil.
Ver originalesResponder0
TestnetNomad
· 08-15 10:46
Jugar en DEX sin prestar atención me costó cientos de dólares, es realmente injusto.
Ver originalesResponder0
NullWhisperer
· 08-15 00:09
técnicamente hablando, permit2 es solo otro vector de ataque esperando suceder...
Ver originalesResponder0
ShibaMillionairen't
· 08-14 15:17
¿Te han robado la firma? Practica más.
Ver originalesResponder0
ImpermanentPhilosopher
· 08-14 04:10
¿Los tontos que firman en segundos también merecen investigar la pesca?
Ver originalesResponder0
DataOnlooker
· 08-14 04:08
¿Te robaron la firma? Qué peligro.
Ver originalesResponder0
LiquidationSurvivor
· 08-14 04:06
Otra Lavado de ojos... parece que hay que prestar más atención al riesgo de DIRECCIÓN.
Ver originalesResponder0
TokenStorm
· 08-14 04:04
¿Sigues firmando tontamente? Desde los datos on-chain, esta combinación de permit2 puede eliminar el 80% de tontos.
Ver originalesResponder0
GameFiCritic
· 08-14 03:55
Todos los elementos de la firma fueron pescados, y aún así dicen que saben operar. Me muero de risa.
Ver originalesResponder0
UnluckyValidator
· 08-14 03:48
Parece que hay que tener cuidado con el DEX de nuevo, piensa bien antes de interactuar.
Advertencia de phishing de firma de contrato Permit2 de Uniswap: guía para prevenir pérdidas de activos
Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia intimidante en el ecosistema Web3. Para los proyectos, el código abierto les preocupa porque cada línea de código podría tener vulnerabilidades. Para los usuarios individuales, si no entienden el significado de las operaciones, cada interacción o firma en la cadena puede resultar en el robo de activos. Por lo tanto, la cuestión de la seguridad ha sido uno de los puntos críticos en el mundo cripto. Debido a las características de la blockchain, una vez que los activos son robados, es casi imposible recuperarlos, por lo que es especialmente importante tener conocimientos de seguridad.
Recientemente se ha descubierto un nuevo método de phishing, donde solo se necesita una firma para ser robado. La técnica es sigilosa y difícil de prevenir. Las direcciones que han interactuado con algún DEX pueden estar en riesgo. Este artículo tiene como objetivo educar sobre este método de phishing por firma para evitar más pérdidas de activos.
desarrollo del evento
Recientemente, un amigo (, Xiao A ), tuvo sus activos de billetera robados. A diferencia de los métodos comunes de robo, Xiao A no filtró su clave privada, ni interactuó con contratos de sitios de phishing.
El explorador de blockchain muestra que los USDT robados de Xiao A fueron transferidos a través de la función Transfer From. Esto significa que fue otra dirección la que realizó la transferencia del Token, y no una filtración de la clave privada de la billetera.
Detalles de la transacción:
La pregunta clave es: ¿cómo obtener permisos de activos para la dirección que termina en fd51? ¿Por qué está relacionado con algún DEX?
Para ver más a fondo los registros de interacción de la dirección que termina en fd51, antes de transferir los activos de Xiao A, esa dirección realizó una operación de Permiso, y ambas operaciones interactuaron con el contrato Permit2 de un DEX.
El contrato Permit2 es un nuevo contrato lanzado por un DEX a finales de 2022. Permite la autorización de tokens para compartir y gestionar entre diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, de menor costo y más segura. En el futuro, con la integración de más proyectos, Permit2 podrá lograr la aprobación estandarizada de tokens entre aplicaciones.
En los métodos de interacción tradicionales, los usuarios deben autorizar individualmente cada interacción con un Dapp. Permit2 actúa como intermediario, permitiendo que los usuarios solo autoricen el contrato Permit2, el cual puede compartir el límite de autorización con todos los Dapps que integren Permit2. Esto reduce el costo de interacción para los usuarios y mejora la experiencia.
Pero Permit2 también es una espada de doble filo. Convierte las operaciones del usuario en firmas fuera de la cadena, y las operaciones en la cadena son realizadas por un rol intermedio. Esto significa que incluso si la billetera del usuario no tiene ETH, puede usar otros tokens para pagar el Gas o ser reembolsado por el rol intermedio. Sin embargo, la firma fuera de la cadena es el aspecto que los usuarios más tienden a pasar por alto.
Para activar esta técnica de phishing, la condición clave es que la billetera debe autorizar el contrato Permit2. Actualmente, siempre que se realice un Swap en una Dapp que integre Permit2, es necesario autorizar al contrato Permit2. Lo más aterrador es que, sin importar la cantidad del Swap, el contrato Permit2 siempre permitirá que el usuario autorice el saldo total de ese Token.
Esto significa que, siempre que interactúe con algún DEX y autorice al contrato Permit2 después de 2023, podría estar expuesto a este riesgo de phishing. Los hackers utilizan la función Permit para transferir el límite de Token autorizado a Permit2 a otras direcciones mediante la firma del usuario.
Análisis detallado del evento
La función Permit permite firmar anticipadamente un "contrato", autorizando a otros a usar una cantidad específica de tokens en el futuro. Se requiere proporcionar una firma para verificar la autenticidad de la autorización.
Flujo de trabajo de funciones:
El enfoque está en la función verify y la función _updateApproval.
La función verify obtiene los datos v, r, s de la información de firma, recupera la dirección de firma y la compara con la dirección proporcionada. La función _updateApproval actualiza el valor de autorización después de la verificación.
Los detalles de la transacción real muestran:
El pequeño A hizo clic en el límite de autorización ilimitado por defecto al usar un DEX anteriormente.
Resumen del proceso del evento: El pequeño A autorizó previamente a Permit2 un límite ilimitado de USDT, y luego accidentalmente cayó en una trampa de firma diseñada por un hacker. El hacker utilizó la firma para realizar operaciones de Permiso y Transferir Desde en el contrato de Permit2 para transferir activos. Actualmente, el contrato de Permit2 de este DEX se ha convertido en una zona de desastre de phishing.
¿Cómo prevenir?
Separación de activos y billetera de interacción: almacenar grandes cantidades de activos en una billetera fría, la billetera de interacción solo debe contener una pequeña cantidad de fondos.
Limitar el monto de autorización de Permit2 o cancelar la autorización: autorizar solo el monto de la transacción necesaria o utilizar un complemento de seguridad para cancelar la autorización.
Entender si el token soporta la función permit: Prestar atención a si el token que posees soporta esta función y tener especial precaución con las transacciones relacionadas.
Elaborar un plan de rescate de activos completo: si hay activos en otras plataformas después del robo, se debe tener cuidado al retirar y transferir, se puede considerar el uso de transferencia MEV o buscar la asistencia de un equipo de seguridad profesional.
En el futuro, el phishing basado en Permit2 puede aumentar. Este método de phishing por firma es difícil de detectar y, a medida que se amplía el alcance de la aplicación Permit2, también aumentará el número de direcciones expuestas al riesgo. Esperamos que los lectores difundan este artículo para evitar que más personas sufran pérdidas.