Peretas adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pihak proyek, kode sumber terbuka berarti bahwa peretas di seluruh dunia mungkin mengincar Anda, dan begitu ada celah keamanan, konsekuensinya bisa sangat sulit ditanggung. Bagi pengguna individu, jika tidak memahami apa yang sedang dilakukan, setiap interaksi atau tanda tangan di blockchain bisa mengakibatkan pencurian aset. Oleh karena itu, masalah keamanan selalu menjadi salah satu masalah paling rumit di dunia kripto. Karena sifat blockchain, begitu aset dicuri hampir tidak mungkin untuk dipulihkan, jadi sangat penting untuk menguasai pengetahuan keamanan di dunia kripto.
Baru-baru ini, metode phishing baru mulai aktif, hanya dengan tanda tangan akan dicuri, metode ini sangat tersembunyi dan sulit untuk dicegah. Alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan mengedukasi tentang metode phishing tanda tangan ini, untuk menghindari lebih banyak kehilangan aset.
Kronologi Peristiwa
Baru-baru ini, seorang teman ( yang sementara disebut sebagai A) kehilangan aset dompetnya. Berbeda dengan cara pencurian yang umum, A tidak mengungkapkan kunci pribadi, dan juga tidak berinteraksi dengan kontrak situs phishing.
Penjelajah blockchain menunjukkan bahwa USDT di dompet A kecil dipindahkan melalui fungsi Transfer From. Ini berarti alamat lain yang melakukan operasi akan memindahkan Token, bukan kebocoran kunci pribadi dompet.
Detail transaksi menunjukkan:
Alamat dengan akhiran fd51 telah memindahkan aset kecil A ke alamat dengan akhiran a0c8
Operasi ini berinteraksi dengan kontrak Permit2 dari Uniswap
Masalah kunci adalah: bagaimana alamat yang diakhiri dengan fd51 mendapatkan hak atas aset ini? Mengapa terkait dengan Uniswap?
Penyelidikan lebih lanjut menemukan bahwa sebelum mentransfer aset kecil A, alamat yang diakhiri dengan fd51 juga melakukan operasi Permit, dan kedua operasi ini berinteraksi dengan kontrak Permit2 dari Uniswap.
Uniswap Permit2 adalah kontrak baru yang diluncurkan pada akhir 2022, yang memungkinkan otorisasi token untuk berbagi dan mengelola di berbagai aplikasi, bertujuan untuk menciptakan pengalaman pengguna yang lebih bersatu, lebih hemat biaya, dan lebih aman. Seiring dengan lebih banyak proyek yang mengintegrasikan Permit2, ini dapat mencapai standar persetujuan Token di semua aplikasi, mengurangi biaya transaksi dan meningkatkan keamanan kontrak pintar.
Permit2 sebagai perantara antara pengguna dan Dapp, pengguna hanya perlu memberikan izin Token kepada kontrak Permit2, semua Dapp yang mengintegrasikan Permit2 dapat berbagi batasan izin ini. Ini mengurangi biaya interaksi pengguna, meningkatkan pengalaman. Namun, ini juga merupakan pedang bermata dua, masalah terletak pada cara interaksi dengan Permit2.
Dalam cara interaksi tradisional, otorisasi dan transfer dana adalah interaksi pengguna di blockchain. Namun, Permit2 mengubah operasi pengguna menjadi tanda tangan di luar rantai, semua operasi di blockchain dilakukan oleh perantara. Manfaat yang dihadirkan adalah, bahkan jika dompet pengguna tidak memiliki ETH, mereka masih dapat menggunakan Token lain untuk membayar biaya Gas atau diganti oleh perantara.
Namun, tanda tangan di luar rantai adalah tahap yang paling mudah diabaikan oleh pengguna. Banyak orang tidak memeriksa dengan cermat isi tanda tangan, dan juga tidak memahami maknanya, ini adalah tempat yang paling berbahaya.
Untuk memicu penipuan tanda tangan Permit2 ini, prasyarat kunci adalah dompet yang terperangkap harus telah memberikan izin Token kepada kontrak Permit2 Uniswap. Saat ini, hanya dengan melakukan Swap di Dapp yang terintegrasi Permit2 atau di Uniswap, izin harus diberikan kepada kontrak Permit2.
Yang lebih menakutkan, berapa pun jumlah Swap, kontrak Permit2 Uniswap akan secara default mengizinkan pengguna untuk memberikan otorisasi pada seluruh saldo Token tersebut. Meskipun MetaMask memungkinkan input jumlah yang disesuaikan, kebanyakan orang mungkin langsung memilih nilai maksimum atau default, dan nilai default Permit2 adalah batas tak terbatas.
Ini berarti, selama Anda memiliki interaksi dengan Uniswap setelah tahun 2023 dan memberikan izin kepada kontrak Permit2, Anda mungkin menghadapi risiko penipuan eyewash ini.
Kuncinya terletak pada fungsi Permit, yang memungkinkan hacker menggunakan tanda tangan Anda untuk memindahkan kuota Token yang Anda berikan kepada kontrak Permit2 ke alamat lain. Selama mereka mendapatkan tanda tangan Anda, hacker dapat memperoleh akses ke Token di dompet Anda dan memindahkan aset.
Analisis Detail Peristiwa
Alur kerja fungsi permit:
Periksa apakah waktu saat ini telah melewati batas waktu tanda tangan (sigDeadline)
Memverifikasi keaslian tanda tangan
Jika melalui pemeriksaan, pembaruan catatan memungkinkan orang lain menggunakan token Anda
Poin utamanya adalah fungsi verify dan fungsi _updateApproval.
Fungsi verify mengambil tiga data v, r, s dari informasi tanda tangan, digunakan untuk memulihkan alamat tanda tangan transaksi. Kontrak akan membandingkan alamat yang dipulihkan dengan alamat pemilik token yang diberikan, jika sama, maka verifikasi berhasil dan melanjutkan pemanggilan fungsi _updateApproval; jika berbeda, maka transaksi akan dibatalkan.
Fungsi _updateApproval memperbarui nilai otorisasi setelah memverifikasi tanda tangan, yang berarti hak akses Anda telah dialihkan. Pada saat ini, pihak yang diberi otorisasi dapat memanggil fungsi transferfrom untuk mentransfer token ke alamat yang ditentukan.
Transaksi nyata di blockchain menunjukkan:
owner adalah alamat dompet kecil A ( dengan akhiran 308a)
Detail dapat dilihat alamat kontrak Token yang diotorisasi (USDT) dan informasi seperti jumlah.
Spender adalah alamat hacker dengan nomor akhir fd51
sigDeadline adalah waktu berlaku tanda tangan, signature adalah informasi tanda tangan dari Xiao A
Melihat catatan interaksi kecil A, dia sebelumnya menggunakan Uniswap dan mengklik batas otorisasi default, yaitu hampir tanpa batas.
Ringkasan sederhana: A sebelumnya mengizinkan batas USDT tak terbatas kepada Permit2 saat menggunakan Uniswap. Kemudian saat mengoperasikan dompet, ia secara tidak sengaja terjebak dalam jebakan phishing tanda tangan Permit2 yang dirancang oleh hacker. Setelah mendapatkan tanda tangan A, hacker melakukan operasi Permit dan Transfer From dalam kontrak Permit2, mengalihkan aset A. Saat ini, kontrak Permit2 Uniswap tampaknya telah menjadi sarang phishing, dan jenis phishing tanda tangan ini mulai aktif sekitar dua bulan yang lalu.
Bagaimana cara mencegah?
Mengingat bahwa kontrak Uniswap Permit2 mungkin akan lebih umum di masa depan, lebih banyak proyek mungkin mengintegrasikannya untuk berbagi otorisasi, langkah-langkah pencegahan yang efektif termasuk:
Memahami dan mengenali konten tanda tangan:
Format tanda tangan Permit biasanya mencakup informasi kunci seperti Owner, Spender, value, nonce, dan deadline. Jika ingin menikmati kemudahan dan biaya rendah yang ditawarkan oleh Permit2, Anda harus belajar mengenali format tanda tangan ini. Menggunakan plugin keamanan adalah pilihan yang baik.
Memisahkan penggunaan dompet aset dan dompet interaktif:
Jika Anda memiliki banyak aset, disarankan untuk menyimpan aset utama di dompet dingin, dan hanya menyimpan sedikit dana di dompet interaksi on-chain, yang dapat secara signifikan mengurangi kerugian saat menghadapi eyewash.
Membatasi jumlah yang diberikan kepada kontrak Permit2 atau mencabut otorisasi:
Saat melakukan Swap di Uniswap, hanya berikan otorisasi untuk jumlah yang diperlukan untuk interaksi. Meskipun setiap interaksi yang memerlukan otorisasi ulang akan meningkatkan biaya, ini dapat menghindari penipuan tanda tangan Permit2. Jika batas yang diotorisasi sudah ada, Anda dapat menggunakan plugin keamanan untuk mencabut otorisasi.
Mengenali sifat token, memahami apakah mendukung fungsi permit:
Di masa depan mungkin akan ada lebih banyak token ERC20 yang mengimplementasikan fungsi permit. Perlu memperhatikan apakah token yang Anda miliki mendukung fungsi tersebut, jika mendukung maka harus lebih berhati-hati dalam melakukan transaksi atau operasi, dan memeriksa dengan ketat setiap tanda tangan yang tidak diketahui apakah ditujukan untuk fungsi permit.
Jika masih ada token di platform lain setelah terkena penipuan, perlu menyusun rencana penyelamatan yang lengkap:
Setelah menemukan penipuan, jika masih ada token yang ada di platform lain melalui staking atau cara lain, perlu diingat bahwa hacker dapat memantau saldo alamat Anda kapan saja. Buatlah proses penyelamatan token yang komprehensif, pastikan penarikan dan transfer dilakukan secara bersamaan, untuk mencegah penyisipan transaksi oleh hacker. Pertimbangkan untuk menggunakan transfer MEV atau mencari bantuan dari perusahaan keamanan profesional seperti tim Beosin.
Kedepannya, phishing berbasis Permit2 mungkin akan semakin banyak. Metode phishing tanda tangan ini sangat tersembunyi dan sulit untuk dicegah. Seiring dengan perluasan penggunaan Permit2, alamat yang terpapar risiko juga akan meningkat. Semoga pembaca setelah melihat artikel ini dapat menyebarkannya kepada lebih banyak orang, agar lebih banyak orang terhindar dari kerugian.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
8
Posting ulang
Bagikan
Komentar
0/400
DeFiGrayling
· 2jam yang lalu
Keamanan memang sangat penting.
Lihat AsliBalas0
TokenSleuth
· 2jam yang lalu
Saksi langsung dari tragedi ini, penipuan semacam ini memang sangat sulit untuk dihindari.
Lihat AsliBalas0
NotFinancialAdviser
· 08-10 23:39
Sekali lagi, saya yang harus menanggung risiko di uni.
Lihat AsliBalas0
BlockTalk
· 08-10 15:17
又是 terjebak还是被盗
Lihat AsliBalas0
AirdropChaser
· 08-10 15:16
Apakah ada cara untuk memulihkannya? Sungguh menyedihkan
Lihat AsliBalas0
ZenChainWalker
· 08-10 15:06
Ah, ada penipuan baru lagi. Semakin cepat mati semakin cepat kaki tangan.
Lihat AsliBalas0
AirdropHunterZhang
· 08-10 15:05
Aduh, sudah gratisan begitu lama, ternyata harus membayar. uniV3 terlalu banyak ditukar.
Lihat AsliBalas0
LiquidationAlert
· 08-10 14:50
Setelah melihat begitu banyak lubang dalam protokol, saya benar-benar tidak berani untuk menandatangani.
Uniswap Permit2 tanda tangan phishing baru: panduan untuk mengenali risiko dan pencegahan
Mengungkap: Penipuan Tanda Tangan Permit2 Uniswap
Peretas adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pihak proyek, kode sumber terbuka berarti bahwa peretas di seluruh dunia mungkin mengincar Anda, dan begitu ada celah keamanan, konsekuensinya bisa sangat sulit ditanggung. Bagi pengguna individu, jika tidak memahami apa yang sedang dilakukan, setiap interaksi atau tanda tangan di blockchain bisa mengakibatkan pencurian aset. Oleh karena itu, masalah keamanan selalu menjadi salah satu masalah paling rumit di dunia kripto. Karena sifat blockchain, begitu aset dicuri hampir tidak mungkin untuk dipulihkan, jadi sangat penting untuk menguasai pengetahuan keamanan di dunia kripto.
Baru-baru ini, metode phishing baru mulai aktif, hanya dengan tanda tangan akan dicuri, metode ini sangat tersembunyi dan sulit untuk dicegah. Alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan mengedukasi tentang metode phishing tanda tangan ini, untuk menghindari lebih banyak kehilangan aset.
Kronologi Peristiwa
Baru-baru ini, seorang teman ( yang sementara disebut sebagai A) kehilangan aset dompetnya. Berbeda dengan cara pencurian yang umum, A tidak mengungkapkan kunci pribadi, dan juga tidak berinteraksi dengan kontrak situs phishing.
Penjelajah blockchain menunjukkan bahwa USDT di dompet A kecil dipindahkan melalui fungsi Transfer From. Ini berarti alamat lain yang melakukan operasi akan memindahkan Token, bukan kebocoran kunci pribadi dompet.
Detail transaksi menunjukkan:
Masalah kunci adalah: bagaimana alamat yang diakhiri dengan fd51 mendapatkan hak atas aset ini? Mengapa terkait dengan Uniswap?
Penyelidikan lebih lanjut menemukan bahwa sebelum mentransfer aset kecil A, alamat yang diakhiri dengan fd51 juga melakukan operasi Permit, dan kedua operasi ini berinteraksi dengan kontrak Permit2 dari Uniswap.
Uniswap Permit2 adalah kontrak baru yang diluncurkan pada akhir 2022, yang memungkinkan otorisasi token untuk berbagi dan mengelola di berbagai aplikasi, bertujuan untuk menciptakan pengalaman pengguna yang lebih bersatu, lebih hemat biaya, dan lebih aman. Seiring dengan lebih banyak proyek yang mengintegrasikan Permit2, ini dapat mencapai standar persetujuan Token di semua aplikasi, mengurangi biaya transaksi dan meningkatkan keamanan kontrak pintar.
Permit2 sebagai perantara antara pengguna dan Dapp, pengguna hanya perlu memberikan izin Token kepada kontrak Permit2, semua Dapp yang mengintegrasikan Permit2 dapat berbagi batasan izin ini. Ini mengurangi biaya interaksi pengguna, meningkatkan pengalaman. Namun, ini juga merupakan pedang bermata dua, masalah terletak pada cara interaksi dengan Permit2.
Dalam cara interaksi tradisional, otorisasi dan transfer dana adalah interaksi pengguna di blockchain. Namun, Permit2 mengubah operasi pengguna menjadi tanda tangan di luar rantai, semua operasi di blockchain dilakukan oleh perantara. Manfaat yang dihadirkan adalah, bahkan jika dompet pengguna tidak memiliki ETH, mereka masih dapat menggunakan Token lain untuk membayar biaya Gas atau diganti oleh perantara.
Namun, tanda tangan di luar rantai adalah tahap yang paling mudah diabaikan oleh pengguna. Banyak orang tidak memeriksa dengan cermat isi tanda tangan, dan juga tidak memahami maknanya, ini adalah tempat yang paling berbahaya.
Untuk memicu penipuan tanda tangan Permit2 ini, prasyarat kunci adalah dompet yang terperangkap harus telah memberikan izin Token kepada kontrak Permit2 Uniswap. Saat ini, hanya dengan melakukan Swap di Dapp yang terintegrasi Permit2 atau di Uniswap, izin harus diberikan kepada kontrak Permit2.
Yang lebih menakutkan, berapa pun jumlah Swap, kontrak Permit2 Uniswap akan secara default mengizinkan pengguna untuk memberikan otorisasi pada seluruh saldo Token tersebut. Meskipun MetaMask memungkinkan input jumlah yang disesuaikan, kebanyakan orang mungkin langsung memilih nilai maksimum atau default, dan nilai default Permit2 adalah batas tak terbatas.
Ini berarti, selama Anda memiliki interaksi dengan Uniswap setelah tahun 2023 dan memberikan izin kepada kontrak Permit2, Anda mungkin menghadapi risiko penipuan eyewash ini.
Kuncinya terletak pada fungsi Permit, yang memungkinkan hacker menggunakan tanda tangan Anda untuk memindahkan kuota Token yang Anda berikan kepada kontrak Permit2 ke alamat lain. Selama mereka mendapatkan tanda tangan Anda, hacker dapat memperoleh akses ke Token di dompet Anda dan memindahkan aset.
Analisis Detail Peristiwa
Alur kerja fungsi permit:
Poin utamanya adalah fungsi verify dan fungsi _updateApproval.
Fungsi verify mengambil tiga data v, r, s dari informasi tanda tangan, digunakan untuk memulihkan alamat tanda tangan transaksi. Kontrak akan membandingkan alamat yang dipulihkan dengan alamat pemilik token yang diberikan, jika sama, maka verifikasi berhasil dan melanjutkan pemanggilan fungsi _updateApproval; jika berbeda, maka transaksi akan dibatalkan.
Fungsi _updateApproval memperbarui nilai otorisasi setelah memverifikasi tanda tangan, yang berarti hak akses Anda telah dialihkan. Pada saat ini, pihak yang diberi otorisasi dapat memanggil fungsi transferfrom untuk mentransfer token ke alamat yang ditentukan.
Transaksi nyata di blockchain menunjukkan:
Melihat catatan interaksi kecil A, dia sebelumnya menggunakan Uniswap dan mengklik batas otorisasi default, yaitu hampir tanpa batas.
Ringkasan sederhana: A sebelumnya mengizinkan batas USDT tak terbatas kepada Permit2 saat menggunakan Uniswap. Kemudian saat mengoperasikan dompet, ia secara tidak sengaja terjebak dalam jebakan phishing tanda tangan Permit2 yang dirancang oleh hacker. Setelah mendapatkan tanda tangan A, hacker melakukan operasi Permit dan Transfer From dalam kontrak Permit2, mengalihkan aset A. Saat ini, kontrak Permit2 Uniswap tampaknya telah menjadi sarang phishing, dan jenis phishing tanda tangan ini mulai aktif sekitar dua bulan yang lalu.
Bagaimana cara mencegah?
Mengingat bahwa kontrak Uniswap Permit2 mungkin akan lebih umum di masa depan, lebih banyak proyek mungkin mengintegrasikannya untuk berbagi otorisasi, langkah-langkah pencegahan yang efektif termasuk:
Memisahkan penggunaan dompet aset dan dompet interaktif: Jika Anda memiliki banyak aset, disarankan untuk menyimpan aset utama di dompet dingin, dan hanya menyimpan sedikit dana di dompet interaksi on-chain, yang dapat secara signifikan mengurangi kerugian saat menghadapi eyewash.
Membatasi jumlah yang diberikan kepada kontrak Permit2 atau mencabut otorisasi: Saat melakukan Swap di Uniswap, hanya berikan otorisasi untuk jumlah yang diperlukan untuk interaksi. Meskipun setiap interaksi yang memerlukan otorisasi ulang akan meningkatkan biaya, ini dapat menghindari penipuan tanda tangan Permit2. Jika batas yang diotorisasi sudah ada, Anda dapat menggunakan plugin keamanan untuk mencabut otorisasi.
Mengenali sifat token, memahami apakah mendukung fungsi permit: Di masa depan mungkin akan ada lebih banyak token ERC20 yang mengimplementasikan fungsi permit. Perlu memperhatikan apakah token yang Anda miliki mendukung fungsi tersebut, jika mendukung maka harus lebih berhati-hati dalam melakukan transaksi atau operasi, dan memeriksa dengan ketat setiap tanda tangan yang tidak diketahui apakah ditujukan untuk fungsi permit.
Jika masih ada token di platform lain setelah terkena penipuan, perlu menyusun rencana penyelamatan yang lengkap: Setelah menemukan penipuan, jika masih ada token yang ada di platform lain melalui staking atau cara lain, perlu diingat bahwa hacker dapat memantau saldo alamat Anda kapan saja. Buatlah proses penyelamatan token yang komprehensif, pastikan penarikan dan transfer dilakukan secara bersamaan, untuk mencegah penyisipan transaksi oleh hacker. Pertimbangkan untuk menggunakan transfer MEV atau mencari bantuan dari perusahaan keamanan profesional seperti tim Beosin.
Kedepannya, phishing berbasis Permit2 mungkin akan semakin banyak. Metode phishing tanda tangan ini sangat tersembunyi dan sulit untuk dicegah. Seiring dengan perluasan penggunaan Permit2, alamat yang terpapar risiko juga akan meningkat. Semoga pembaca setelah melihat artikel ini dapat menyebarkannya kepada lebih banyak orang, agar lebih banyak orang terhindar dari kerugian.