Dévoilement : La pêche aux signatures Uniswap Permit2
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les projets, l'open source signifie que des hackers du monde entier peuvent vous cibler, et une fois qu'une vulnérabilité de sécurité apparaît, les conséquences peuvent être difficiles à supporter. Pour les utilisateurs individuels, si vous ne comprenez pas les opérations que vous effectuez, chaque interaction ou signature sur la chaîne peut entraîner le vol de vos actifs. Ainsi, les problèmes de sécurité ont toujours été l'un des problèmes les plus épineux du monde de la cryptographie. En raison des caractéristiques de la blockchain, une fois que des actifs sont volés, il est presque impossible de les récupérer, donc il est particulièrement important de maîtriser les connaissances en matière de sécurité dans le monde de la cryptographie.
Récemment, une nouvelle méthode de phishing a commencé à se propager, il suffit de signer pour être volé, la méthode est extrêmement discrète et difficile à prévenir. Les adresses ayant interagi avec Uniswap pourraient toutes être à risque. Cet article vulgarisera cette méthode de phishing par signature afin d'éviter d'autres pertes d'actifs.
Déroulement de l'événement
Récemment, un ami (, que nous appellerons Petit A, a vu les actifs de son portefeuille volés. Contrairement aux méthodes de vol courantes, Petit A n'a pas divulgué sa clé privée et n'a pas interagi avec un contrat de site de phishing.
Le navigateur de blockchain affiche que les USDT dans le portefeuille de Xiao A ont été transférés par la fonction Transfer From. Cela signifie qu'une autre adresse a opéré le transfert du Token, et non une fuite de la clé privée du portefeuille.
Détails de la transaction :
L'adresse se terminant par fd51 a transféré les actifs de Xiao A à l'adresse se terminant par a0c8.
Cette opération interagit avec le contrat Permit2 d'Uniswap.
La question clé est : comment l'adresse se terminant par fd51 a-t-elle obtenu les droits sur cet actif ? Pourquoi est-ce lié à Uniswap ?
Une enquête plus approfondie a révélé qu'avant le transfert des actifs de A, l'adresse se terminant par fd51 avait également effectué une opération de Permit, et que les deux opérations interagissaient avec le contrat Permit2 de Uniswap.
![Signature volée ? Dévoilement de l'eyewash de phishing de signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Uniswap Permit2 est un nouveau contrat lancé à la fin de 2022, permettant l'autorisation de jetons pour le partage et la gestion dans différentes applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée. Avec l'intégration croissante de Permit2 par davantage de projets, il peut normaliser l'approbation des jetons dans toutes les applications, réduisant ainsi les coûts de transaction et améliorant la sécurité des contrats intelligents.
Permit2 en tant qu'intermédiaire entre l'utilisateur et le Dapp, l'utilisateur n'a besoin d'autoriser les droits de Token qu'au contrat Permit2, tous les Dapp intégrant Permit2 peuvent partager ce quota d'autorisation. Cela réduit le coût d'interaction pour l'utilisateur et améliore l'expérience. Mais c'est aussi une épée à double tranchant, le problème réside dans la manière d'interagir avec Permit2.
Dans les méthodes d'interaction traditionnelles, l'autorisation et le transfert de fonds sont toutes des interactions en chaîne de l'utilisateur. Cependant, Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations en chaîne étant effectuées par un acteur intermédiaire. Cela a pour avantage que même si le portefeuille de l'utilisateur n'a pas d'ETH, il peut utiliser d'autres tokens pour payer les frais de gas ou être remboursé par l'acteur intermédiaire.
Cependant, la signature hors chaîne est l'étape que les utilisateurs ont le plus tendance à ignorer. Beaucoup de gens ne vérifient pas attentivement le contenu de la signature et ne comprennent pas sa signification, c'est là que réside le plus grand danger.
Pour déclencher cette signature de phishing Permit2, la condition clé est que le portefeuille ciblé par le phishing doit avoir autorisé le Token au contrat Permit2 d'Uniswap. Actuellement, il est nécessaire d'autoriser le contrat Permit2 pour effectuer un Swap sur une Dapp intégrant Permit2 ou sur Uniswap.
Ce qui est encore plus effrayant, c'est que peu importe le montant du Swap, le contrat Permit2 d'Uniswap autorise par défaut l'utilisateur à autoriser le solde total de ce Token. Bien que MetaMask permette d'entrer un montant personnalisé, la plupart des gens peuvent choisir directement la valeur maximale ou par défaut, et la valeur par défaut de Permit2 est un montant illimité.
![Signature volée ? Découvrez le piège de phishing de signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Cela signifie que si vous avez interagi avec Uniswap après 2023 et que vous avez autorisé un montant au contrat Permit2, vous pourriez être confronté au risque de cette eyewash.
La clé réside dans la fonction Permit, qui permet aux hackers d'utiliser votre signature pour transférer le montant de Token que vous avez autorisé au contrat Permit2 vers d'autres adresses. Tant qu'ils obtiennent votre signature, les hackers peuvent obtenir les droits sur les Tokens dans votre portefeuille et transférer des actifs.
Analyse détaillée de l'événement
flux de travail de la fonction permit :
Vérifiez si l'heure actuelle dépasse la date limite de signature )sigDeadline(
Vérifier l'authenticité de la signature
Si l'utilisation de vos jetons est autorisée par l'examen et la mise à jour des enregistrements, permettez à d'autres de les utiliser.
L'accent est mis sur la fonction verify et la fonction _updateApproval.
La fonction verify récupère les trois données v, r, s à partir des informations de signature, utilisées pour restaurer l'adresse de signature de la transaction. Le contrat compare l'adresse restaurée avec l'adresse du propriétaire du jeton fournie; si elles sont identiques, la vérification est réussie et la fonction _updateApproval est appelée; si elles sont différentes, la transaction est annulée.
La fonction _updateApproval met à jour la valeur d'autorisation après la vérification de la signature, ce qui signifie que vos droits ont été transférés. À ce stade, le bénéficiaire peut appeler la fonction transferfrom pour transférer des jetons à l'adresse spécifiée.
Transactions réelles sur la chaîne :
owner est l'adresse du portefeuille de Xiao A ) se terminant par 308a(
Dans les détails, vous pouvez voir l'adresse du contrat Token autorisé )USDT( et d'autres informations telles que le montant.
Spender est l'adresse de hacker se terminant par fd51
sigDeadline est la durée de validité de la signature, signature est l'information de signature de Xiao A.
![La signature est-elle volée ? Dévoilement de l'eyewash de phishing de la signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
En examinant l'historique des interactions de Xiao A, on constate qu'il avait précédemment utilisé Uniswap et avait cliqué sur le montant d'autorisation par défaut, soit un montant presque illimité.
Récapitulatif simple : Petit A avait auparavant autorisé un montant illimité de USDT à Permit2 lors de l'utilisation d'Uniswap. Plus tard, en manipulant son portefeuille, il est tombé accidentellement dans un piège de phishing conçu par des hackers utilisant la signature de Permit2. Après avoir obtenu la signature de Petit A, les hackers ont effectué des opérations de Permit et de Transfer From dans le contrat Permit2, transférant ainsi les actifs de Petit A. Actuellement, le contrat Permit2 d'Uniswap semble être devenu un foyer de phishing, ce type de phishing par signature ayant commencé à être actif il y a environ deux mois.
Comment se protéger?
Compte tenu de la possible adoption future du contrat Uniswap Permit2, il est probable que davantage de projets l'intègrent pour le partage d'autorisation. Les mesures de prévention efficaces comprennent :
Comprendre et identifier le contenu de la signature :
Le format de signature Permit comprend généralement des informations clés telles que Owner, Spender, value, nonce et deadline. Si vous souhaitez profiter des avantages et des faibles coûts offerts par Permit2, il est essentiel d'apprendre à reconnaître ce format de signature. Utiliser une extension de sécurité est un bon choix.
![Signature volée ? Dévoilement de l'eyewash de phishing de la signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Séparer l'utilisation des portefeuilles d'actifs et des portefeuilles d'interaction:
Si vous détenez un grand nombre d'actifs, il est conseillé de conserver la majorité des actifs dans un portefeuille froid, tandis que le portefeuille d'interaction en chaîne ne doit contenir qu'une petite quantité de fonds, ce qui peut considérablement réduire les pertes en cas de rencontre avec un eyewash.
Limiter le montant autorisé au contrat Permit2 ou annuler l'autorisation :
Lors de l'échange sur Uniswap, n'autorisez que le montant nécessaire pour l'interaction. Bien que le fait de devoir réautoriser chaque interaction augmente les coûts, cela permet d'éviter de subir des attaques de phishing par signature Permit2. Si un montant a déjà été autorisé, vous pouvez utiliser un plugin de sécurité pour révoquer l'autorisation.
Identifier la nature des tokens, comprendre s'ils prennent en charge la fonction permit :
À l'avenir, il pourrait y avoir plus de jetons ERC20 prenant en charge la fonction de permission. Il est nécessaire de vérifier si les jetons que vous détenez prennent en charge cette fonction ; s'ils le font, soyez particulièrement prudent lors des transactions ou des opérations, et vérifiez minutieusement chaque signature inconnue pour s'assurer qu'elle est destinée à la fonction de permission.
Si des jetons existent encore sur d'autres plateformes après avoir été victime d'un eyewash, il est nécessaire d'élaborer un plan de sauvetage complet:
Après avoir découvert une arnaque, si vous avez encore des jetons qui existent sur d'autres plateformes par le biais de staking ou d'autres moyens, vous devez les retirer et les transférer, en prenant en compte que des hackers peuvent surveiller à tout moment le solde de votre adresse. Établissez un processus de sauvetage des jetons bien défini, en veillant à ce que le retrait et le transfert s'effectuent simultanément, afin d'éviter l'insertion de transactions par des hackers. Vous pouvez envisager d'utiliser le transfert MEV ou de demander l'aide d'une entreprise de sécurité professionnelle comme l'équipe Beosin.
L'avenir des escroqueries basées sur Permit2 pourrait devenir de plus en plus fréquent. Ce type de phishing par signature est extrêmement subtil et difficile à prévenir, et avec l'expansion de l'utilisation de Permit2, le nombre d'adresses exposées au risque augmentera également. J'espère que les lecteurs partageront cet article pour éviter que d'autres subissent des pertes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
8
Reposter
Partager
Commentaire
0/400
DeFiGrayling
· Il y a 4h
La sécurité est vraiment cruciale.
Voir l'originalRépondre0
TokenSleuth
· Il y a 4h
Témoin direct d'un drame, cette escroquerie est vraiment difficile à prévenir.
Voir l'originalRépondre0
NotFinancialAdviser
· 08-10 23:39
C'est encore moi, le responsable des risques de mon grand uni.
Voir l'originalRépondre0
BlockTalk
· 08-10 15:17
Encore piégé ou volé
Voir l'originalRépondre0
AirdropChaser
· 08-10 15:16
Y a-t-il un moyen de récupérer ? C'est vraiment triste.
Voir l'originalRépondre0
ZenChainWalker
· 08-10 15:06
Ah, il y a encore une nouvelle technique de fraude. Mourir tôt, Complice.
Voir l'originalRépondre0
AirdropHunterZhang
· 08-10 15:05
Eh, après avoir profité si longtemps, il faut en effet rendre des comptes, j'ai trop échangé uniV3.
Voir l'originalRépondre0
LiquidationAlert
· 08-10 14:50
Après avoir vu autant de failles dans les protocoles, je n'ose vraiment plus signer.
Uniswap Permit2 signature phishing nouvel eyewash : guide d'identification des risques et de prévention
Dévoilement : La pêche aux signatures Uniswap Permit2
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les projets, l'open source signifie que des hackers du monde entier peuvent vous cibler, et une fois qu'une vulnérabilité de sécurité apparaît, les conséquences peuvent être difficiles à supporter. Pour les utilisateurs individuels, si vous ne comprenez pas les opérations que vous effectuez, chaque interaction ou signature sur la chaîne peut entraîner le vol de vos actifs. Ainsi, les problèmes de sécurité ont toujours été l'un des problèmes les plus épineux du monde de la cryptographie. En raison des caractéristiques de la blockchain, une fois que des actifs sont volés, il est presque impossible de les récupérer, donc il est particulièrement important de maîtriser les connaissances en matière de sécurité dans le monde de la cryptographie.
Récemment, une nouvelle méthode de phishing a commencé à se propager, il suffit de signer pour être volé, la méthode est extrêmement discrète et difficile à prévenir. Les adresses ayant interagi avec Uniswap pourraient toutes être à risque. Cet article vulgarisera cette méthode de phishing par signature afin d'éviter d'autres pertes d'actifs.
Déroulement de l'événement
Récemment, un ami (, que nous appellerons Petit A, a vu les actifs de son portefeuille volés. Contrairement aux méthodes de vol courantes, Petit A n'a pas divulgué sa clé privée et n'a pas interagi avec un contrat de site de phishing.
Le navigateur de blockchain affiche que les USDT dans le portefeuille de Xiao A ont été transférés par la fonction Transfer From. Cela signifie qu'une autre adresse a opéré le transfert du Token, et non une fuite de la clé privée du portefeuille.
Détails de la transaction :
La question clé est : comment l'adresse se terminant par fd51 a-t-elle obtenu les droits sur cet actif ? Pourquoi est-ce lié à Uniswap ?
Une enquête plus approfondie a révélé qu'avant le transfert des actifs de A, l'adresse se terminant par fd51 avait également effectué une opération de Permit, et que les deux opérations interagissaient avec le contrat Permit2 de Uniswap.
![Signature volée ? Dévoilement de l'eyewash de phishing de signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Uniswap Permit2 est un nouveau contrat lancé à la fin de 2022, permettant l'autorisation de jetons pour le partage et la gestion dans différentes applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée. Avec l'intégration croissante de Permit2 par davantage de projets, il peut normaliser l'approbation des jetons dans toutes les applications, réduisant ainsi les coûts de transaction et améliorant la sécurité des contrats intelligents.
Permit2 en tant qu'intermédiaire entre l'utilisateur et le Dapp, l'utilisateur n'a besoin d'autoriser les droits de Token qu'au contrat Permit2, tous les Dapp intégrant Permit2 peuvent partager ce quota d'autorisation. Cela réduit le coût d'interaction pour l'utilisateur et améliore l'expérience. Mais c'est aussi une épée à double tranchant, le problème réside dans la manière d'interagir avec Permit2.
Dans les méthodes d'interaction traditionnelles, l'autorisation et le transfert de fonds sont toutes des interactions en chaîne de l'utilisateur. Cependant, Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations en chaîne étant effectuées par un acteur intermédiaire. Cela a pour avantage que même si le portefeuille de l'utilisateur n'a pas d'ETH, il peut utiliser d'autres tokens pour payer les frais de gas ou être remboursé par l'acteur intermédiaire.
Cependant, la signature hors chaîne est l'étape que les utilisateurs ont le plus tendance à ignorer. Beaucoup de gens ne vérifient pas attentivement le contenu de la signature et ne comprennent pas sa signification, c'est là que réside le plus grand danger.
Pour déclencher cette signature de phishing Permit2, la condition clé est que le portefeuille ciblé par le phishing doit avoir autorisé le Token au contrat Permit2 d'Uniswap. Actuellement, il est nécessaire d'autoriser le contrat Permit2 pour effectuer un Swap sur une Dapp intégrant Permit2 ou sur Uniswap.
Ce qui est encore plus effrayant, c'est que peu importe le montant du Swap, le contrat Permit2 d'Uniswap autorise par défaut l'utilisateur à autoriser le solde total de ce Token. Bien que MetaMask permette d'entrer un montant personnalisé, la plupart des gens peuvent choisir directement la valeur maximale ou par défaut, et la valeur par défaut de Permit2 est un montant illimité.
![Signature volée ? Découvrez le piège de phishing de signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Cela signifie que si vous avez interagi avec Uniswap après 2023 et que vous avez autorisé un montant au contrat Permit2, vous pourriez être confronté au risque de cette eyewash.
La clé réside dans la fonction Permit, qui permet aux hackers d'utiliser votre signature pour transférer le montant de Token que vous avez autorisé au contrat Permit2 vers d'autres adresses. Tant qu'ils obtiennent votre signature, les hackers peuvent obtenir les droits sur les Tokens dans votre portefeuille et transférer des actifs.
Analyse détaillée de l'événement
flux de travail de la fonction permit :
L'accent est mis sur la fonction verify et la fonction _updateApproval.
La fonction verify récupère les trois données v, r, s à partir des informations de signature, utilisées pour restaurer l'adresse de signature de la transaction. Le contrat compare l'adresse restaurée avec l'adresse du propriétaire du jeton fournie; si elles sont identiques, la vérification est réussie et la fonction _updateApproval est appelée; si elles sont différentes, la transaction est annulée.
La fonction _updateApproval met à jour la valeur d'autorisation après la vérification de la signature, ce qui signifie que vos droits ont été transférés. À ce stade, le bénéficiaire peut appeler la fonction transferfrom pour transférer des jetons à l'adresse spécifiée.
Transactions réelles sur la chaîne :
![La signature est-elle volée ? Dévoilement de l'eyewash de phishing de la signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
En examinant l'historique des interactions de Xiao A, on constate qu'il avait précédemment utilisé Uniswap et avait cliqué sur le montant d'autorisation par défaut, soit un montant presque illimité.
Récapitulatif simple : Petit A avait auparavant autorisé un montant illimité de USDT à Permit2 lors de l'utilisation d'Uniswap. Plus tard, en manipulant son portefeuille, il est tombé accidentellement dans un piège de phishing conçu par des hackers utilisant la signature de Permit2. Après avoir obtenu la signature de Petit A, les hackers ont effectué des opérations de Permit et de Transfer From dans le contrat Permit2, transférant ainsi les actifs de Petit A. Actuellement, le contrat Permit2 d'Uniswap semble être devenu un foyer de phishing, ce type de phishing par signature ayant commencé à être actif il y a environ deux mois.
Comment se protéger?
Compte tenu de la possible adoption future du contrat Uniswap Permit2, il est probable que davantage de projets l'intègrent pour le partage d'autorisation. Les mesures de prévention efficaces comprennent :
![Signature volée ? Dévoilement de l'eyewash de phishing de la signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Séparer l'utilisation des portefeuilles d'actifs et des portefeuilles d'interaction: Si vous détenez un grand nombre d'actifs, il est conseillé de conserver la majorité des actifs dans un portefeuille froid, tandis que le portefeuille d'interaction en chaîne ne doit contenir qu'une petite quantité de fonds, ce qui peut considérablement réduire les pertes en cas de rencontre avec un eyewash.
Limiter le montant autorisé au contrat Permit2 ou annuler l'autorisation : Lors de l'échange sur Uniswap, n'autorisez que le montant nécessaire pour l'interaction. Bien que le fait de devoir réautoriser chaque interaction augmente les coûts, cela permet d'éviter de subir des attaques de phishing par signature Permit2. Si un montant a déjà été autorisé, vous pouvez utiliser un plugin de sécurité pour révoquer l'autorisation.
Identifier la nature des tokens, comprendre s'ils prennent en charge la fonction permit : À l'avenir, il pourrait y avoir plus de jetons ERC20 prenant en charge la fonction de permission. Il est nécessaire de vérifier si les jetons que vous détenez prennent en charge cette fonction ; s'ils le font, soyez particulièrement prudent lors des transactions ou des opérations, et vérifiez minutieusement chaque signature inconnue pour s'assurer qu'elle est destinée à la fonction de permission.
Si des jetons existent encore sur d'autres plateformes après avoir été victime d'un eyewash, il est nécessaire d'élaborer un plan de sauvetage complet: Après avoir découvert une arnaque, si vous avez encore des jetons qui existent sur d'autres plateformes par le biais de staking ou d'autres moyens, vous devez les retirer et les transférer, en prenant en compte que des hackers peuvent surveiller à tout moment le solde de votre adresse. Établissez un processus de sauvetage des jetons bien défini, en veillant à ce que le retrait et le transfert s'effectuent simultanément, afin d'éviter l'insertion de transactions par des hackers. Vous pouvez envisager d'utiliser le transfert MEV ou de demander l'aide d'une entreprise de sécurité professionnelle comme l'équipe Beosin.
L'avenir des escroqueries basées sur Permit2 pourrait devenir de plus en plus fréquent. Ce type de phishing par signature est extrêmement subtil et difficile à prévenir, et avec l'expansion de l'utilisation de Permit2, le nombre d'adresses exposées au risque augmentera également. J'espère que les lecteurs partageront cet article pour éviter que d'autres subissent des pertes.