Хакери є лякаючим явищем в екосистемі Web3. Для проектів відкритий код викликає побоювання, що кожен рядок коду може містити уразливості. Для окремих користувачів, якщо вони не розуміють значення своїх дій, кожна взаємодія в мережі або підпис може призвести до крадіжки активів. Тому питання безпеки завжди було одним з найбільш актуальних у світі криптовалют. Через особливості блокчейну, як тільки активи були вкрадені, їх майже неможливо повернути, тому знання про безпеку є особливо важливими.
Нещодавно було виявлено новий метод фішингу, при якому достатньо підписати, щоб бути обкраденим, метод прихований і важко запобігти. Адреси, які використовували взаємодію з певним DEX, можуть опинитися під загрозою. У цій статті буде розглянуто цей метод підписного фішингу, щоб уникнути подальших втрат активів.
Хід подій
Нещодавно один мій друг ( маленький А ) втратив свої активи з гаманця. На відміну від звичних способів крадіжки, маленький А не розкрив свій приватний ключ і не взаємодіяв з фішинговими сайтами.
Блокчейн-браузер показує, що вкрадені USDT у малюка А були переведені за допомогою функції Transfer From. Це означає, що інша адреса виконала передачу токенів, а не витік приватного ключа гаманця.
Деталі угоди показують:
Адреса з останніми цифрами fd51 перевела активи малюка A на адресу з останніми цифрами a0c8.
Ця операція взаємодіє з контрактом Permit2 деякого DEX.
Ключове питання: як отримати права на активи за адресою, що закінчується на fd51? Чому це пов'язано з якимось DEX?
Додатково перегляньте записи взаємодії адреси з закінченням fd51. Перш ніж перенести активи малюка A, ця адреса виконала операцію Permit, і обидві операції взаємодіяли з контрактом Permit2 певного DEX.
Контракт Permit2 — це новий контракт, випущений певним DEX наприкінці 2022 року. Він дозволяє авторизацію токенів для спільного використання та управління між різними додатками, спрямований на створення більш уніфікованого, менш витратного та безпечнішого досвіду для користувачів. У майбутньому, з інтеграцією більшої кількості проектів, Permit2 зможе реалізувати стандартизоване схвалення токенів між додатками.
У традиційних способах взаємодії, користувач має окремо авторизувати кожен Dapp. Permit2 діє як посередник, і користувачеві потрібно лише надати дозвіл контракту Permit2, всі Dapp, що інтегрують Permit2, можуть ділитися дозволеними обсягами. Це знижує витрати на взаємодію користувача та покращує досвід.
Але Permit2 також є двосічним мечем. Він перетворює дії користувача на підписання поза ланцюгом, а дії в ланцюзі виконуються проміжною особою. Це означає, що навіть якщо у гаманці користувача немає ETH, він може використовувати інші токени для оплати Gas або отримати відшкодування від проміжної особи. Однак підписання поза ланцюгом є етапом, який користувачі найчастіше ігнорують.
Щоб активувати цей метод фішингу, ключовою умовою є те, що гаманець повинен надати дозвіл контракту Permit2. Наразі, щоб здійснити обмін на Dapp, що інтегрує Permit2, потрібно надати дозвіл контракту Permit2. Ще гірше, незалежно від суми обміну, контракт Permit2 за замовчуванням дозволяє користувачеві надати дозвіл на весь баланс цього токена.
Це означає, що якщо ви взаємодієте з певним DEX і надаєте дозвіл контракту Permit2 після 2023 року, ви можете опинитися під ризиком фішингу. Хакери використовують функцію Permit, щоб передати дозволений обсяг токенів Permit2 на інші адреси за допомогою підпису користувача.
детальний аналіз події
Функція Permit дозволяє попередньо підписати "контракт", уповноважуючи інших використовувати певну кількість токенів у майбутньому. Для цього потрібно надати підпис для перевірки достовірності авторизації.
Процес роботи функції:
Перевірте, чи поточний час перевищує термін дії підпису
Перевірка автентичності підпису
Оновлення записів авторизації після проходження
Основна увага приділяється функціям verify та _updateApproval.
функція verify отримує дані v, r, s з підпису, відновлює адресу підпису та порівнює її з переданою адресою. Функція _updateApproval оновлює значення авторизації після успішної перевірки.
Фактичні деталі угоди показують:
owner є адресою гаманця малюка А
Токен авторизації - це USDT
Spender є адресою хакера з кінцевими цифрами fd51
sigDeadline є терміном дії підпису
signature є підписом маленького А
Малий А раніше, користуючись певним DEX, натиснув на за замовчуванням необмежену авторизацію.
Короткий опис події: Малий А раніше надав Permit2 безмежний ліміт USDT, а потім випадково потрапив у підступну пастку, спроектовану хакерами. Хакери використали підпис для виконання операцій Permit і Transfer From в контракті Permit2 для переміщення активів. Наразі контракт Permit2 цього DEX став епіцентром фішингу.
Як запобігти?
Розуміння та розпізнавання змісту підпису: навчитися розпізнавати формат підпису Permit, що містить ключову інформацію, таку як Owner, Spender, value, nonce та deadline.
Розділення активів та інтерактивного гаманця: зберігайте великі активи в холодному гаманці, інтерактивний гаманець повинен містити лише невелику кількість коштів.
Обмеження дозволу Permit2 або скасування дозволу: надайте дозвіл лише на необхідну суму угоди або використовуйте безпечний плагін для скасування дозволу.
Досліджуйте, чи підтримує токен функцію permit: звертайте увагу на те, чи підтримує ваш токен цю функцію, будьте особливо обережні з відповідними транзакціями.
Розробити вдосконалений план порятунку активів: якщо після крадіжки залишилися активи на інших платформах, потрібно обережно їх виводити та переносити, можна розглянути використання MEV для переносу або звернутися за допомогою до професійної команди з безпеки.
У майбутньому можливе збільшення фішингу на основі Permit2. Цей спосіб фішингу з підписом є прихованим і важким для виявлення, а з розширенням сфери застосування Permit2 зросте й кількість адрес, які піддаються ризику. Сподіваємося, що читачі поширять цю статтю, щоб уникнути більших втрат.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
10
Репост
Поділіться
Прокоментувати
0/400
MoonMathMagic
· 4год тому
Цей підпис занадто жахливий, гравцям DEX буде важко.
Переглянути оригіналвідповісти на0
TestnetNomad
· 22год тому
Граючи на DEX, не звернув уваги на справи, втратив кілька сотень доларів, справжня образа.
Переглянути оригіналвідповісти на0
NullWhisperer
· 08-15 00:09
технічно кажучи, permit2 - це просто ще один вектор атаки, який чекає на свій момент...
Переглянути оригіналвідповісти на0
ShibaMillionairen't
· 08-14 15:17
Підпис украли, так? Тоді більше тренуйся.
Переглянути оригіналвідповісти на0
ImpermanentPhilosopher
· 08-14 04:10
секундні невдахи також заслуговують на дослідження риболовлі?
Переглянути оригіналвідповісти на0
DataOnlooker
· 08-14 04:08
Підпис просто вкрали? Справді небезпечно.
Переглянути оригіналвідповісти на0
LiquidationSurvivor
· 08-14 04:06
Ще одна нова замилювання очей... Схоже, що на адресу ризики слід звертати більше уваги.
Переглянути оригіналвідповісти на0
TokenStorm
· 08-14 04:04
Ще підписуєте бездумно? З даних у блокчейні видно, що ця комбінація permit2 може зменшити на 80% невдахи.
Переглянути оригіналвідповісти на0
GameFiCritic
· 08-14 03:55
Усі елементи підпису віддали рибалкам, а ще кажуть, що розуміють, як діяти. Смішно!
Переглянути оригіналвідповісти на0
UnluckyValidator
· 08-14 03:48
Схоже, знову треба бути обережними з DEX. Перед взаємодією варто добре подумати.
Попередження про фішинг підпису контракту Uniswap Permit2: знання для запобігання втраті активів
Розкриття шахрайства з підписами Uniswap Permit2
Хакери є лякаючим явищем в екосистемі Web3. Для проектів відкритий код викликає побоювання, що кожен рядок коду може містити уразливості. Для окремих користувачів, якщо вони не розуміють значення своїх дій, кожна взаємодія в мережі або підпис може призвести до крадіжки активів. Тому питання безпеки завжди було одним з найбільш актуальних у світі криптовалют. Через особливості блокчейну, як тільки активи були вкрадені, їх майже неможливо повернути, тому знання про безпеку є особливо важливими.
Нещодавно було виявлено новий метод фішингу, при якому достатньо підписати, щоб бути обкраденим, метод прихований і важко запобігти. Адреси, які використовували взаємодію з певним DEX, можуть опинитися під загрозою. У цій статті буде розглянуто цей метод підписного фішингу, щоб уникнути подальших втрат активів.
Хід подій
Нещодавно один мій друг ( маленький А ) втратив свої активи з гаманця. На відміну від звичних способів крадіжки, маленький А не розкрив свій приватний ключ і не взаємодіяв з фішинговими сайтами.
Блокчейн-браузер показує, що вкрадені USDT у малюка А були переведені за допомогою функції Transfer From. Це означає, що інша адреса виконала передачу токенів, а не витік приватного ключа гаманця.
Деталі угоди показують:
Ключове питання: як отримати права на активи за адресою, що закінчується на fd51? Чому це пов'язано з якимось DEX?
Додатково перегляньте записи взаємодії адреси з закінченням fd51. Перш ніж перенести активи малюка A, ця адреса виконала операцію Permit, і обидві операції взаємодіяли з контрактом Permit2 певного DEX.
Контракт Permit2 — це новий контракт, випущений певним DEX наприкінці 2022 року. Він дозволяє авторизацію токенів для спільного використання та управління між різними додатками, спрямований на створення більш уніфікованого, менш витратного та безпечнішого досвіду для користувачів. У майбутньому, з інтеграцією більшої кількості проектів, Permit2 зможе реалізувати стандартизоване схвалення токенів між додатками.
У традиційних способах взаємодії, користувач має окремо авторизувати кожен Dapp. Permit2 діє як посередник, і користувачеві потрібно лише надати дозвіл контракту Permit2, всі Dapp, що інтегрують Permit2, можуть ділитися дозволеними обсягами. Це знижує витрати на взаємодію користувача та покращує досвід.
Але Permit2 також є двосічним мечем. Він перетворює дії користувача на підписання поза ланцюгом, а дії в ланцюзі виконуються проміжною особою. Це означає, що навіть якщо у гаманці користувача немає ETH, він може використовувати інші токени для оплати Gas або отримати відшкодування від проміжної особи. Однак підписання поза ланцюгом є етапом, який користувачі найчастіше ігнорують.
Щоб активувати цей метод фішингу, ключовою умовою є те, що гаманець повинен надати дозвіл контракту Permit2. Наразі, щоб здійснити обмін на Dapp, що інтегрує Permit2, потрібно надати дозвіл контракту Permit2. Ще гірше, незалежно від суми обміну, контракт Permit2 за замовчуванням дозволяє користувачеві надати дозвіл на весь баланс цього токена.
Це означає, що якщо ви взаємодієте з певним DEX і надаєте дозвіл контракту Permit2 після 2023 року, ви можете опинитися під ризиком фішингу. Хакери використовують функцію Permit, щоб передати дозволений обсяг токенів Permit2 на інші адреси за допомогою підпису користувача.
детальний аналіз події
Функція Permit дозволяє попередньо підписати "контракт", уповноважуючи інших використовувати певну кількість токенів у майбутньому. Для цього потрібно надати підпис для перевірки достовірності авторизації.
Процес роботи функції:
Основна увага приділяється функціям verify та _updateApproval.
функція verify отримує дані v, r, s з підпису, відновлює адресу підпису та порівнює її з переданою адресою. Функція _updateApproval оновлює значення авторизації після успішної перевірки.
Фактичні деталі угоди показують:
Малий А раніше, користуючись певним DEX, натиснув на за замовчуванням необмежену авторизацію.
Короткий опис події: Малий А раніше надав Permit2 безмежний ліміт USDT, а потім випадково потрапив у підступну пастку, спроектовану хакерами. Хакери використали підпис для виконання операцій Permit і Transfer From в контракті Permit2 для переміщення активів. Наразі контракт Permit2 цього DEX став епіцентром фішингу.
Як запобігти?
Розділення активів та інтерактивного гаманця: зберігайте великі активи в холодному гаманці, інтерактивний гаманець повинен містити лише невелику кількість коштів.
Обмеження дозволу Permit2 або скасування дозволу: надайте дозвіл лише на необхідну суму угоди або використовуйте безпечний плагін для скасування дозволу.
Досліджуйте, чи підтримує токен функцію permit: звертайте увагу на те, чи підтримує ваш токен цю функцію, будьте особливо обережні з відповідними транзакціями.
Розробити вдосконалений план порятунку активів: якщо після крадіжки залишилися активи на інших платформах, потрібно обережно їх виводити та переносити, можна розглянути використання MEV для переносу або звернутися за допомогою до професійної команди з безпеки.
У майбутньому можливе збільшення фішингу на основі Permit2. Цей спосіб фішингу з підписом є прихованим і важким для виявлення, а з розширенням сфери застосування Permit2 зросте й кількість адрес, які піддаються ризику. Сподіваємося, що читачі поширять цю статтю, щоб уникнути більших втрат.