Mengungkap Penipuan Memancing Tanda Tangan Permit2 Uniswap: Hati-hati Tanda Tangan Bisa Dicuri
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pengembang proyek, kode sumber terbuka membuat kerentanan sulit dihindari; bagi pengguna individu, setiap interaksi di blockchain dapat membawa risiko pencurian aset. Oleh karena itu, masalah keamanan selalu menjadi titik nyeri di dunia kripto, dan karakteristik blockchain membuat aset yang dicuri sulit untuk dipulihkan, sehingga menguasai pengetahuan keamanan sangat penting.
Belakangan ini muncul metode phishing baru, yang hanya memerlukan tanda tangan dan dapat menyebabkan pencurian aset, metode ini tersembunyi dan sulit untuk dicegah. Alamat yang pernah berinteraksi dengan platform perdagangan tertentu mungkin menghadapi risiko. Artikel ini akan menganalisis metode phishing tanda tangan ini, untuk membantu pembaca menghindari kerugian aset lebih lanjut.
Kronologi Kejadian
Seorang teman ( A kecil ) aset dompetnya dicuri, tetapi tidak ada kunci pribadi yang terungkap atau berinteraksi dengan kontrak yang mencurigakan. Penyelidikan menemukan bahwa USDT A kecil dipindahkan melalui fungsi Transfer From, yang berarti bahwa aset dipindahkan oleh pihak ketiga, bukan karena kebocoran kunci pribadi dompet.
Lebih lanjut memeriksa rincian transaksi, ditemukan:
Sebuah alamat memindahkan aset kecil A ke alamat lain
Operasi ini berinteraksi dengan kontrak Permit2 dari suatu platform perdagangan.
Masalah kunci adalah: bagaimana alamat ini memperoleh izin atas aset kecil A? Mengapa terkait dengan platform perdagangan tersebut?
Survei menunjukkan, sebelum memindahkan aset kecil A, alamat tersebut juga melakukan satu operasi Permit, dan kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari platform perdagangan tersebut.
Kontrak Permit2 adalah kontrak baru yang diluncurkan oleh platform perdagangan ini pada akhir 2022, bertujuan untuk mewujudkan otorisasi token yang dapat dibagikan dan dikelola di berbagai aplikasi, serta memberikan pengalaman pengguna yang lebih terintegrasi, efisien, dan aman. Di masa depan, seiring dengan integrasi lebih banyak proyek, Permit2 diharapkan dapat mewujudkan standar persetujuan Token lintas aplikasi, mengurangi biaya transaksi dan meningkatkan keamanan.
Peluncuran Permit2 dapat mengubah aturan ekosistem Dapp. Dalam mode tradisional, pengguna harus memberikan otorisasi secara terpisah setiap kali berinteraksi dengan Dapp, sedangkan Permit2 bertindak sebagai perantara, pengguna hanya perlu memberikan otorisasi sekali, dan semua Dapp yang mengintegrasikan Permit2 dapat berbagi batas otorisasi. Ini meningkatkan pengalaman pengguna, tetapi juga dapat membawa risiko, masalah terletak pada cara interaksi dengan Permit2.
Permit2 mengubah operasi pengguna menjadi tanda tangan off-chain, dan operasi on-chain dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk membayar Gas tanpa ETH atau dibayar oleh peran perantara, tetapi tanda tangan off-chain juga merupakan langkah yang paling mudah diabaikan oleh pengguna.
Kembali ke kasus Xiao A, pencurian aset terkait dengan interaksi kontrak Permit2. Prasyarat kunci adalah dompet yang dipancing harus sudah memberikan izin kepada kontrak Permit2. Perlu dicatat bahwa saat ini, untuk melakukan Swap di Dapp yang mengintegrasikan Permit2 atau di platform perdagangan tersebut, perlu memberikan izin kepada kontrak Permit2.
Lebih mengkhawatirkan lagi, tidak peduli berapa besar jumlah Swap, kontrak Permit2 di platform perdagangan ini secara default meminta otorisasi untuk seluruh saldo. Meskipun dompet akan memberikan prompt untuk memasukkan jumlah kustom, kebanyakan pengguna mungkin langsung memilih nilai maksimum atau default, dan nilai default Permit2 adalah batas tanpa batas.
Ini berarti, selama berinteraksi dengan platform perdagangan ini setelah tahun 2023 dan memberikan izin kepada kontrak Permit2, Anda mungkin menghadapi risiko penipuan ini.
Inti dari eyewash adalah fungsi Permit, yang memungkinkan transfer batas Token yang diotorisasi kepada kontrak Permit2 ke alamat lain melalui tanda tangan. Setelah hacker mendapatkan tanda tangan, mereka dapat mengendalikan Token di dompet pengguna dan mentransfer aset.
analisis rinci dari kejadian
Fungsi Permit mirip dengan menandatangani kontrak secara online, memungkinkan untuk memberikan otorisasi sebelumnya kepada orang lain (spender) untuk menggunakan sejumlah token di masa depan. Fungsi ini akan memeriksa masa berlaku tanda tangan, memverifikasi keaslian tanda tangan, dan kemudian memperbarui catatan otorisasi.
fungsi verify mengekstrak data v, r, s dari informasi tanda tangan, digunakan untuk memulihkan alamat tanda tangan dan membandingkannya dengan alamat pemilik token, jika verifikasi berhasil, maka lanjutkan untuk memanggil fungsi _updateApproval.
Fungsi _updateApproval memperbarui nilai otorisasi setelah verifikasi tanda tangan, mewujudkan perpindahan hak. Pada saat ini, pihak yang diberi otorisasi dapat memanggil fungsi transferfrom untuk mentransfer token ke alamat yang ditentukan.
Analisis transaksi nyata yang terlihat di blockchain:
owner adalah alamat dompet kecil A
Details menampilkan alamat kontrak Token yang diotorisasi (USDT) dan informasi seperti jumlah dan lainnya
Spender adalah alamat hacker
sigDeadline adalah waktu valid tanda tangan
signature adalah informasi tanda tangan kecil A
Melihat catatan interaksi kecil A, ditemukan bahwa dia sebelumnya telah memberikan otorisasi hampir tanpa batas saat menggunakan platform perdagangan tersebut.
Secara singkat, kecil A sebelumnya memberikan otorisasi kepada kontrak Permit2 untuk batas USDT tak terbatas, kemudian terjebak dalam jebakan phishing tanda tangan yang dirancang oleh hacker. Setelah hacker mendapatkan tanda tangan, mereka menjalankan operasi Permit dan Transfer From di kontrak Permit2, memindahkan aset kecil A. Saat ini, kontrak Permit2 di platform perdagangan ini tampaknya telah menjadi sarang phishing, dan metode phishing ini mulai aktif sekitar dua bulan yang lalu.
bagaimana cara mencegahnya?
Mengingat kemungkinan kontrak Permit2 akan semakin umum di masa depan, semakin banyak proyek yang mungkin mengintegrasikan kontrak tersebut untuk berbagi otorisasi, langkah-langkah pencegahan yang efektif meliputi:
Memahami dan mengenali isi tanda tangan:
Tanda tangan Permit biasanya mencakup informasi kunci seperti Owner, Spender, value, nonce, dan deadline. Menggunakan plugin keamanan membantu mengidentifikasi format tanda tangan ini.
Memisahkan penyimpanan aset dan dompet interaksi:
Disarankan untuk menyimpan sebagian besar aset di dompet dingin, sementara dompet interaktif hanya menyimpan sejumlah kecil dana untuk mengurangi potensi kerugian.
Batasi jumlah otorisasi atau batalkan otorisasi:
Saat melakukan Swap di platform perdagangan ini, hanya otorisasi jumlah interaksi yang diperlukan. Meskipun setiap interaksi yang memerlukan otorisasi ulang akan meningkatkan biaya, namun dapat menghindari risiko phishing tanda tangan Permit2. Pengguna yang sudah diotorisasi dapat menggunakan plugin keamanan untuk membatalkan otorisasi.
Identifikasi apakah token mendukung fungsi permit:
Perhatikan apakah token yang dimiliki mendukung fitur ini, jika ya, perlu sangat berhati-hati dan memeriksa setiap tanda tangan yang tidak dikenal dengan ketat.
Menyusun rencana penyelamatan aset yang lengkap:
Jika Anda menemukan diri Anda tertipu tetapi masih memiliki token di platform lain, perlu berhati-hati saat menarik dan memindahkan. Pertimbangkan untuk menggunakan pemindahan MEV atau mencari bantuan dari tim keamanan profesional untuk menghindari peretasan kembali.
Pancingan berbasis Permit2 di masa depan mungkin akan semakin umum, metode pancingan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah. Seiring dengan meluasnya penerapan Permit2, alamat yang terpapar risiko juga akan semakin banyak. Harap pembaca dapat menyebarluaskan informasi ini, untuk menghindari lebih banyak orang mengalami kerugian.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Permit2 tanda tangan memancing eyewash baru: pengguna platform transaksi harus waspada
Mengungkap Penipuan Memancing Tanda Tangan Permit2 Uniswap: Hati-hati Tanda Tangan Bisa Dicuri
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pengembang proyek, kode sumber terbuka membuat kerentanan sulit dihindari; bagi pengguna individu, setiap interaksi di blockchain dapat membawa risiko pencurian aset. Oleh karena itu, masalah keamanan selalu menjadi titik nyeri di dunia kripto, dan karakteristik blockchain membuat aset yang dicuri sulit untuk dipulihkan, sehingga menguasai pengetahuan keamanan sangat penting.
Belakangan ini muncul metode phishing baru, yang hanya memerlukan tanda tangan dan dapat menyebabkan pencurian aset, metode ini tersembunyi dan sulit untuk dicegah. Alamat yang pernah berinteraksi dengan platform perdagangan tertentu mungkin menghadapi risiko. Artikel ini akan menganalisis metode phishing tanda tangan ini, untuk membantu pembaca menghindari kerugian aset lebih lanjut.
Kronologi Kejadian
Seorang teman ( A kecil ) aset dompetnya dicuri, tetapi tidak ada kunci pribadi yang terungkap atau berinteraksi dengan kontrak yang mencurigakan. Penyelidikan menemukan bahwa USDT A kecil dipindahkan melalui fungsi Transfer From, yang berarti bahwa aset dipindahkan oleh pihak ketiga, bukan karena kebocoran kunci pribadi dompet.
Lebih lanjut memeriksa rincian transaksi, ditemukan:
Masalah kunci adalah: bagaimana alamat ini memperoleh izin atas aset kecil A? Mengapa terkait dengan platform perdagangan tersebut?
Survei menunjukkan, sebelum memindahkan aset kecil A, alamat tersebut juga melakukan satu operasi Permit, dan kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari platform perdagangan tersebut.
Kontrak Permit2 adalah kontrak baru yang diluncurkan oleh platform perdagangan ini pada akhir 2022, bertujuan untuk mewujudkan otorisasi token yang dapat dibagikan dan dikelola di berbagai aplikasi, serta memberikan pengalaman pengguna yang lebih terintegrasi, efisien, dan aman. Di masa depan, seiring dengan integrasi lebih banyak proyek, Permit2 diharapkan dapat mewujudkan standar persetujuan Token lintas aplikasi, mengurangi biaya transaksi dan meningkatkan keamanan.
Peluncuran Permit2 dapat mengubah aturan ekosistem Dapp. Dalam mode tradisional, pengguna harus memberikan otorisasi secara terpisah setiap kali berinteraksi dengan Dapp, sedangkan Permit2 bertindak sebagai perantara, pengguna hanya perlu memberikan otorisasi sekali, dan semua Dapp yang mengintegrasikan Permit2 dapat berbagi batas otorisasi. Ini meningkatkan pengalaman pengguna, tetapi juga dapat membawa risiko, masalah terletak pada cara interaksi dengan Permit2.
Permit2 mengubah operasi pengguna menjadi tanda tangan off-chain, dan operasi on-chain dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk membayar Gas tanpa ETH atau dibayar oleh peran perantara, tetapi tanda tangan off-chain juga merupakan langkah yang paling mudah diabaikan oleh pengguna.
Kembali ke kasus Xiao A, pencurian aset terkait dengan interaksi kontrak Permit2. Prasyarat kunci adalah dompet yang dipancing harus sudah memberikan izin kepada kontrak Permit2. Perlu dicatat bahwa saat ini, untuk melakukan Swap di Dapp yang mengintegrasikan Permit2 atau di platform perdagangan tersebut, perlu memberikan izin kepada kontrak Permit2.
Lebih mengkhawatirkan lagi, tidak peduli berapa besar jumlah Swap, kontrak Permit2 di platform perdagangan ini secara default meminta otorisasi untuk seluruh saldo. Meskipun dompet akan memberikan prompt untuk memasukkan jumlah kustom, kebanyakan pengguna mungkin langsung memilih nilai maksimum atau default, dan nilai default Permit2 adalah batas tanpa batas.
Ini berarti, selama berinteraksi dengan platform perdagangan ini setelah tahun 2023 dan memberikan izin kepada kontrak Permit2, Anda mungkin menghadapi risiko penipuan ini.
Inti dari eyewash adalah fungsi Permit, yang memungkinkan transfer batas Token yang diotorisasi kepada kontrak Permit2 ke alamat lain melalui tanda tangan. Setelah hacker mendapatkan tanda tangan, mereka dapat mengendalikan Token di dompet pengguna dan mentransfer aset.
analisis rinci dari kejadian
Fungsi Permit mirip dengan menandatangani kontrak secara online, memungkinkan untuk memberikan otorisasi sebelumnya kepada orang lain (spender) untuk menggunakan sejumlah token di masa depan. Fungsi ini akan memeriksa masa berlaku tanda tangan, memverifikasi keaslian tanda tangan, dan kemudian memperbarui catatan otorisasi.
fungsi verify mengekstrak data v, r, s dari informasi tanda tangan, digunakan untuk memulihkan alamat tanda tangan dan membandingkannya dengan alamat pemilik token, jika verifikasi berhasil, maka lanjutkan untuk memanggil fungsi _updateApproval.
Fungsi _updateApproval memperbarui nilai otorisasi setelah verifikasi tanda tangan, mewujudkan perpindahan hak. Pada saat ini, pihak yang diberi otorisasi dapat memanggil fungsi transferfrom untuk mentransfer token ke alamat yang ditentukan.
Analisis transaksi nyata yang terlihat di blockchain:
Melihat catatan interaksi kecil A, ditemukan bahwa dia sebelumnya telah memberikan otorisasi hampir tanpa batas saat menggunakan platform perdagangan tersebut.
Secara singkat, kecil A sebelumnya memberikan otorisasi kepada kontrak Permit2 untuk batas USDT tak terbatas, kemudian terjebak dalam jebakan phishing tanda tangan yang dirancang oleh hacker. Setelah hacker mendapatkan tanda tangan, mereka menjalankan operasi Permit dan Transfer From di kontrak Permit2, memindahkan aset kecil A. Saat ini, kontrak Permit2 di platform perdagangan ini tampaknya telah menjadi sarang phishing, dan metode phishing ini mulai aktif sekitar dua bulan yang lalu.
bagaimana cara mencegahnya?
Mengingat kemungkinan kontrak Permit2 akan semakin umum di masa depan, semakin banyak proyek yang mungkin mengintegrasikan kontrak tersebut untuk berbagi otorisasi, langkah-langkah pencegahan yang efektif meliputi:
Memisahkan penyimpanan aset dan dompet interaksi: Disarankan untuk menyimpan sebagian besar aset di dompet dingin, sementara dompet interaktif hanya menyimpan sejumlah kecil dana untuk mengurangi potensi kerugian.
Batasi jumlah otorisasi atau batalkan otorisasi: Saat melakukan Swap di platform perdagangan ini, hanya otorisasi jumlah interaksi yang diperlukan. Meskipun setiap interaksi yang memerlukan otorisasi ulang akan meningkatkan biaya, namun dapat menghindari risiko phishing tanda tangan Permit2. Pengguna yang sudah diotorisasi dapat menggunakan plugin keamanan untuk membatalkan otorisasi.
Identifikasi apakah token mendukung fungsi permit: Perhatikan apakah token yang dimiliki mendukung fitur ini, jika ya, perlu sangat berhati-hati dan memeriksa setiap tanda tangan yang tidak dikenal dengan ketat.
Menyusun rencana penyelamatan aset yang lengkap: Jika Anda menemukan diri Anda tertipu tetapi masih memiliki token di platform lain, perlu berhati-hati saat menarik dan memindahkan. Pertimbangkan untuk menggunakan pemindahan MEV atau mencari bantuan dari tim keamanan profesional untuk menghindari peretasan kembali.
Pancingan berbasis Permit2 di masa depan mungkin akan semakin umum, metode pancingan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah. Seiring dengan meluasnya penerapan Permit2, alamat yang terpapar risiko juga akan semakin banyak. Harap pembaca dapat menyebarluaskan informasi ini, untuk menghindari lebih banyak orang mengalami kerugian.