# Uniswap Permit2 Signature フィッシング詐欺の謎を解くハッカーはWeb3エコシステムの中で恐ろしい存在です。プロジェクトチームにとって、オープンソースコードは彼らのコードの各行に脆弱性が存在する可能性を心配させます。個人ユーザーにとっては、操作の意味を理解していない場合、各ブロックチェーン上のインタラクションや署名が資産の盗難につながる可能性があります。したがって、安全性の問題は暗号の世界の痛点の一つです。ブロックチェーンの特性により、資産が盗まれた場合、ほぼ回収不可能であるため、安全知識を持つことが特に重要です。最近、新しいフィッシング手法が発見されました。署名をするだけで盗まれてしまい、その手法は巧妙で防ぐのが難しいです。あるDEXとのインタラクションを行ったアドレスは、リスクにさらされる可能性があります。本記事では、この署名フィッシング手法についての知識を広め、さらなる資産の損失を避けるための解説を行います。###イベント最近、友人(小A)のウォレット資産が盗まれました。一般的な盗難の方法とは異なり、小Aはプライベートキーを漏らしておらず、フィッシングサイトとの契約も行っていません。ブロックチェーンブラウザによると、小Aが盗まれたUSDTはTransfer From関数を通じて移転されました。これは、別のアドレスがトークンを移転する操作を行ったことを意味し、ウォレットの秘密鍵が漏洩したわけではありません。取引詳細が表示されます:- 尾号fd51のアドレスが小A資産を尾号a0c8のアドレスに移転しました- この操作は、あるDEXのPermit2契約と相互作用しています。重要な問題は: 尾号fd51のアドレスはどのように資産権限を取得するのか? なぜそれが特定のDEXに関連しているのか?尾号fd51のアドレスのインタラクション記録をさらに確認すると、小Aの資産を移転する前に、そのアドレスはPermit操作を実行し、2つの操作はすべてあるDEXのPermit2コントラクトとインタラクションしています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0cc586809f131d9dfab81df33fd1835e)Permit2コントラクトは、あるDEXが2022年末に導入した新しいコントラクトです。これは、トークンの承認を異なるアプリケーション間で共有および管理することを可能にし、より統一され、コストが低く、安全なユーザー体験を創出することを目的としています。将来的には、より多くのプロジェクトが統合されることで、Permit2はクロスアプリケーションの標準化されたトークン承認を実現できるでしょう。従来のインタラクション方式では、ユーザーは各Dappとインタラクションするたびに個別に許可を与える必要があります。Permit2は仲介者として機能し、ユーザーはPermit2契約にのみ許可を与えれば、Permit2を統合したすべてのDappがその許可枠を共有できます。これにより、ユーザーのインタラクションコストが削減され、体験が向上します。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-bb348691082594ecc577f91d7f9dc800)しかし、Permit2は両刃の剣でもあります。ユーザーの操作をオフチェーン署名に変え、オンチェーン操作は仲介者によって行われます。これにより、ユーザーのウォレットにETHがなくても、他のトークンでGasを支払ったり、仲介者に reimbursed してもらったりすることができます。しかし、オフチェーン署名はユーザーが最も見落としがちな部分です。このフィッシング手法を発動させるための重要な前提条件は、ウォレットがPermit2コントラクトに対して承認されていることです。現在、Permit2を統合したDappでSwapを行うには、必ずPermit2コントラクトに承認する必要があります。さらに恐ろしいことに、Swapの金額にかかわらず、Permit2コントラクトはユーザーにそのトークンの全残高を自動的に承認させます。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-30520c8399a6ee69aa22424476c5870c)これは、2023年以降に特定のDEXと相互作用し、Permit2契約に権限を付与する限り、このフィッシングリスクにさらされる可能性があることを意味します。ハッカーはPermit関数を利用して、ユーザーの署名を通じてPermit2に付与されたトークンの額を他のアドレスに移転させます。### イベントの詳細な分析Permit関数は、他者に将来一定数量のトークンを使用する権限を与えるために"契約"を事前に署名することを許可します。権限の真実性を確認するために署名を提供する必要があります。関数のワークフロー:1. 現在の時間が署名の有効期限を超えているか確認する2. サインの真偽を検証する3. 認可記録を更新することで焦点は、検証機能と_updateApproval機能にあります。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-730db044a34a8dc242f04cf8ae4d394c)verify関数は署名情報からv、r、sデータを取得し、署名アドレスを復元して渡されたアドレスと比較します。_updateApproval関数は検証が通過した後に承認値を更新します。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-610abe28375ce9ad0e08e0ff1f483c1d)実際の取引の詳細は次のとおりです:- ownerは小Aのウォレットアドレスです- 認可トークンはUSDTです- Spenderは末尾fd51のハッカーアドレスです- sigDeadline は署名の有効期間です- signature:Aの署名情報を示します! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-7e307b251a6cd5f615f05f3fe5f88165)小Aは以前、あるDEXを使用してデフォルトの無制限の承認額をクリックしました。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-beaf0776306ee492b8c2fe3bbc281fd6)事件の過程を簡単に説明すると、小Aは以前にPermit2に無制限のUSDTの権限を付与しましたが、その後、うっかりハッカーが設計した署名の罠に落ちてしまいました。ハッカーは署名を利用してPermit2契約内でPermitおよびTransfer From操作を行い、資産を移転しました。現在、このDEXのPermit2契約はフィッシングの重災区となっています。### どうやって防ぎますか?1. 署名の内容を理解して特定する: 所有者、支出者、価値、ノンス、期限などの重要な情報を含む、許可証の署名形式を認識する方法を学びます。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-b4e0fd1284baf2f4ca7e18c82d07100c)2. 資産とインタラクティブウォレットの分離: 大額の資産はコールドウォレットに保管し、インタラクティブウォレットには少量の資金のみを保持する。3. Permit2の承認額を制限するか、承認をキャンセルする: 必要な取引額のみを承認するか、安全なプラグインを使用して承認をキャンセルします。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-c2d0bc61729aaca413737ac667eaf7d5)4. トークンがpermit機能をサポートしているかを確認する: 保有しているトークンがこの機能をサポートしているかに注意し、関連する取引には特に慎重になる。5. 完璧な資産救済計画を策定する: 盗まれた後も他のプラットフォームに資産が残っている場合は、慎重に引き出して移転する必要があります。MEV転送を使用するか、専門のセキュリティチームの支援を求めることを検討してください。今後、Permit2に基づくフィッシングが増加する可能性があります。この署名フィッシングの方法は隠れていて防ぎにくく、Permit2の適用範囲が広がるにつれて、リスクにさらされるアドレスも増加します。読者がこの記事を広め、より多くの人々が損失を被らないことを願っています。
Uniswap Permit2 契約署名フィッシング警告 資産の損失を防ぐための注意事項
Uniswap Permit2 Signature フィッシング詐欺の謎を解く
ハッカーはWeb3エコシステムの中で恐ろしい存在です。プロジェクトチームにとって、オープンソースコードは彼らのコードの各行に脆弱性が存在する可能性を心配させます。個人ユーザーにとっては、操作の意味を理解していない場合、各ブロックチェーン上のインタラクションや署名が資産の盗難につながる可能性があります。したがって、安全性の問題は暗号の世界の痛点の一つです。ブロックチェーンの特性により、資産が盗まれた場合、ほぼ回収不可能であるため、安全知識を持つことが特に重要です。
最近、新しいフィッシング手法が発見されました。署名をするだけで盗まれてしまい、その手法は巧妙で防ぐのが難しいです。あるDEXとのインタラクションを行ったアドレスは、リスクにさらされる可能性があります。本記事では、この署名フィッシング手法についての知識を広め、さらなる資産の損失を避けるための解説を行います。
###イベント
最近、友人(小A)のウォレット資産が盗まれました。一般的な盗難の方法とは異なり、小Aはプライベートキーを漏らしておらず、フィッシングサイトとの契約も行っていません。
ブロックチェーンブラウザによると、小Aが盗まれたUSDTはTransfer From関数を通じて移転されました。これは、別のアドレスがトークンを移転する操作を行ったことを意味し、ウォレットの秘密鍵が漏洩したわけではありません。
取引詳細が表示されます:
重要な問題は: 尾号fd51のアドレスはどのように資産権限を取得するのか? なぜそれが特定のDEXに関連しているのか?
尾号fd51のアドレスのインタラクション記録をさらに確認すると、小Aの資産を移転する前に、そのアドレスはPermit操作を実行し、2つの操作はすべてあるDEXのPermit2コントラクトとインタラクションしています。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Permit2コントラクトは、あるDEXが2022年末に導入した新しいコントラクトです。これは、トークンの承認を異なるアプリケーション間で共有および管理することを可能にし、より統一され、コストが低く、安全なユーザー体験を創出することを目的としています。将来的には、より多くのプロジェクトが統合されることで、Permit2はクロスアプリケーションの標準化されたトークン承認を実現できるでしょう。
従来のインタラクション方式では、ユーザーは各Dappとインタラクションするたびに個別に許可を与える必要があります。Permit2は仲介者として機能し、ユーザーはPermit2契約にのみ許可を与えれば、Permit2を統合したすべてのDappがその許可枠を共有できます。これにより、ユーザーのインタラクションコストが削減され、体験が向上します。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
しかし、Permit2は両刃の剣でもあります。ユーザーの操作をオフチェーン署名に変え、オンチェーン操作は仲介者によって行われます。これにより、ユーザーのウォレットにETHがなくても、他のトークンでGasを支払ったり、仲介者に reimbursed してもらったりすることができます。しかし、オフチェーン署名はユーザーが最も見落としがちな部分です。
このフィッシング手法を発動させるための重要な前提条件は、ウォレットがPermit2コントラクトに対して承認されていることです。現在、Permit2を統合したDappでSwapを行うには、必ずPermit2コントラクトに承認する必要があります。さらに恐ろしいことに、Swapの金額にかかわらず、Permit2コントラクトはユーザーにそのトークンの全残高を自動的に承認させます。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
これは、2023年以降に特定のDEXと相互作用し、Permit2契約に権限を付与する限り、このフィッシングリスクにさらされる可能性があることを意味します。ハッカーはPermit関数を利用して、ユーザーの署名を通じてPermit2に付与されたトークンの額を他のアドレスに移転させます。
イベントの詳細な分析
Permit関数は、他者に将来一定数量のトークンを使用する権限を与えるために"契約"を事前に署名することを許可します。権限の真実性を確認するために署名を提供する必要があります。
関数のワークフロー:
焦点は、検証機能と_updateApproval機能にあります。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
verify関数は署名情報からv、r、sデータを取得し、署名アドレスを復元して渡されたアドレスと比較します。_updateApproval関数は検証が通過した後に承認値を更新します。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
実際の取引の詳細は次のとおりです:
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
小Aは以前、あるDEXを使用してデフォルトの無制限の承認額をクリックしました。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
事件の過程を簡単に説明すると、小Aは以前にPermit2に無制限のUSDTの権限を付与しましたが、その後、うっかりハッカーが設計した署名の罠に落ちてしまいました。ハッカーは署名を利用してPermit2契約内でPermitおよびTransfer From操作を行い、資産を移転しました。現在、このDEXのPermit2契約はフィッシングの重災区となっています。
どうやって防ぎますか?
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
資産とインタラクティブウォレットの分離: 大額の資産はコールドウォレットに保管し、インタラクティブウォレットには少量の資金のみを保持する。
Permit2の承認額を制限するか、承認をキャンセルする: 必要な取引額のみを承認するか、安全なプラグインを使用して承認をキャンセルします。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
トークンがpermit機能をサポートしているかを確認する: 保有しているトークンがこの機能をサポートしているかに注意し、関連する取引には特に慎重になる。
完璧な資産救済計画を策定する: 盗まれた後も他のプラットフォームに資産が残っている場合は、慎重に引き出して移転する必要があります。MEV転送を使用するか、専門のセキュリティチームの支援を求めることを検討してください。
今後、Permit2に基づくフィッシングが増加する可能性があります。この署名フィッシングの方法は隠れていて防ぎにくく、Permit2の適用範囲が広がるにつれて、リスクにさらされるアドレスも増加します。読者がこの記事を広め、より多くの人々が損失を被らないことを願っています。