İmza çalındı mı? Uniswap Permit2 imza oltalama eyewash'ını açığa çıkarıyoruz
Hackerlar, Web3 ekosisteminde korkutucu bir varlık olarak karşımıza çıkıyor. Proje sahipleri için, kodun açık kaynak olması herhangi bir hatanın kötüye kullanılabileceği anlamına geliyor ve güvenlik kazalarının sonuçları oldukça ağır olabilir. Bireysel kullanıcılar için, işlemlerin anlamını bilmemek varlıkların çalınmasına yol açabilir. Blok zincirinin geri alınamaz özelliği, çalınan varlıkların geri alınmasını zorlaştırır, bu nedenle güvenlik bilgisi son derece önemlidir.
Son zamanlarda, yeni bir oltalama yöntemi aktif hale geldi, sadece imza atmak yeterli olabilir ve yöntem gizli olup önlenmesi zor. Belirli bir DEX ile etkileşimde bulunan adresler risk altında olabilir. Bu makalede, bu imza oltalama yönteminin bilimsel bir açıklaması yapılacak ve daha fazla varlık kaybını önlemek için bilgi verilecektir.
Olay, bir arkadaşım ( olan küçük A'nın ) varlıklarının çalınmasıyla başladı. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi ve bir dolandırıcılık sözleşmesiyle etkileşime girmedi. Araştırmalar, küçük A'nın USDT'sinin Transfer From fonksiyonu aracılığıyla aktarıldığını ortaya koydu, bu da başka bir adresin Token'ı transfer ettiğini gösteriyor.
Ana ipucu şudur:
Bir adres, küçük A varlığını başka bir adrese aktarır
Bir DEX'in Permit2 sözleşmesi ile etkileşim
Şüphe, bu adresin nasıl varlık yetkisi elde ettiği ve neden belirli bir DEX ile ilişkili olduğu üzerinedir.
Daha fazla araştırma, varlık transferinden önce bu adresin bir Permit işlemi gerçekleştirdiğini ve etkileşimde bulunduğu nesnelerin belirli bir DEX'in Permit2 sözleşmesi olduğunu ortaya koydu. Permit2, bu DEX'in 2022'nin sonunda tanıttığı yeni bir sözleşmedir ve uygulamalar arası Token yetkilendirme paylaşım yönetimini sağlamayı amaçlamaktadır.
Permit2'nin amacı, kullanıcı etkileşim süreçlerini basitleştirmek ve Gas maliyetlerini düşürmektir. Geleneksel yöntemlerde kullanıcı, her bir Dapp için ayrı ayrı yetkilendirme yapmak zorundayken, Permit2 bu adımı ortadan kaldırabilir. Kullanıcı ile Dapp arasında bir aracı olarak görev yapar, kullanıcı sadece Permit2'ye yetki vermekle kalır, tüm entegre Dapp'ler bu yetkiyi paylaşabilir.
Bu yöntem kullanıcı deneyimini artırsa da riskler de getirmektedir. Permit2, kullanıcı işlemlerini zincir dışı imzaya dönüştürür, tüm zincir içi işlemler aracı bir taraf tarafından gerçekleştirilir. Bu, kullanıcıların ETH olmadan diğer Token'ları kullanarak Gas ödemesine veya aracı tarafın üstlenmesine olanak tanır.
Ancak, zincir dışı imza en kolay göz ardı edilen aşamadır. Birçok kullanıcı Dapp'e bağlanırken imza içeriğini dikkatlice kontrol etmez, bu da en tehlikeli yerdir.
Küçük A olayının anahtarı Permit fonksiyonudur. Bu fonksiyon, kullanıcıların gelecekte başkalarının kendi Token'larını kullanmalarına izin vermek için "sözleşme"yi önceden imzalamalarına olanak tanır. Kullanıcı imzasını aldıktan sonra, saldırgan kullanıcı tarafından Permit2'ye yetki verilen Token miktarını transfer edebilir.
Dikkat edilmesi gereken bir husus, bazı DEX'lerin Permit2 için varsayılan olarak sınırsız yetki talep etmesidir. Bu, 2023'ten sonra bu DEX ile etkileşimde bulunan ve Permit2'yi yetkilendiren kullanıcıların riskle karşılaşabileceği anlamına geliyor.
Önleme önerisi:
Permit imza formatını tanımayı öğrenin
Varlıkların depolanması ve etkileşim cüzdanı ayrılması
Permit2'ye verilen yetkiyi sınırlama veya yetkiyi zamanında iptal etme
Sahip olunan Token'ın permit işlevini destekleyip desteklemediğini öğrenin.
Tamamlayıcı bir varlık kurtarma planı oluşturmak
Permit2 uygulamasının kapsamı genişledikçe, ilgili dolandırıcılık yöntemleri artabilir. Bu tür imza dolandırıcılığı son derece gizli ve önlenmesi zor olup, risk altında olan adreslerin sayısı giderek artacaktır. Okuyucuların bu bilgiyi daha fazla kişiye yaymasını ve daha fazla varlık kaybını önlemesini umuyoruz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Yeni Nesil İmza Phishing Tehditleri: Permit2 Yetkilendirme Riskleri ve Önleme Rehberi
İmza çalındı mı? Uniswap Permit2 imza oltalama eyewash'ını açığa çıkarıyoruz
Hackerlar, Web3 ekosisteminde korkutucu bir varlık olarak karşımıza çıkıyor. Proje sahipleri için, kodun açık kaynak olması herhangi bir hatanın kötüye kullanılabileceği anlamına geliyor ve güvenlik kazalarının sonuçları oldukça ağır olabilir. Bireysel kullanıcılar için, işlemlerin anlamını bilmemek varlıkların çalınmasına yol açabilir. Blok zincirinin geri alınamaz özelliği, çalınan varlıkların geri alınmasını zorlaştırır, bu nedenle güvenlik bilgisi son derece önemlidir.
Son zamanlarda, yeni bir oltalama yöntemi aktif hale geldi, sadece imza atmak yeterli olabilir ve yöntem gizli olup önlenmesi zor. Belirli bir DEX ile etkileşimde bulunan adresler risk altında olabilir. Bu makalede, bu imza oltalama yönteminin bilimsel bir açıklaması yapılacak ve daha fazla varlık kaybını önlemek için bilgi verilecektir.
Olay, bir arkadaşım ( olan küçük A'nın ) varlıklarının çalınmasıyla başladı. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi ve bir dolandırıcılık sözleşmesiyle etkileşime girmedi. Araştırmalar, küçük A'nın USDT'sinin Transfer From fonksiyonu aracılığıyla aktarıldığını ortaya koydu, bu da başka bir adresin Token'ı transfer ettiğini gösteriyor.
Ana ipucu şudur:
Şüphe, bu adresin nasıl varlık yetkisi elde ettiği ve neden belirli bir DEX ile ilişkili olduğu üzerinedir.
Daha fazla araştırma, varlık transferinden önce bu adresin bir Permit işlemi gerçekleştirdiğini ve etkileşimde bulunduğu nesnelerin belirli bir DEX'in Permit2 sözleşmesi olduğunu ortaya koydu. Permit2, bu DEX'in 2022'nin sonunda tanıttığı yeni bir sözleşmedir ve uygulamalar arası Token yetkilendirme paylaşım yönetimini sağlamayı amaçlamaktadır.
Permit2'nin amacı, kullanıcı etkileşim süreçlerini basitleştirmek ve Gas maliyetlerini düşürmektir. Geleneksel yöntemlerde kullanıcı, her bir Dapp için ayrı ayrı yetkilendirme yapmak zorundayken, Permit2 bu adımı ortadan kaldırabilir. Kullanıcı ile Dapp arasında bir aracı olarak görev yapar, kullanıcı sadece Permit2'ye yetki vermekle kalır, tüm entegre Dapp'ler bu yetkiyi paylaşabilir.
Bu yöntem kullanıcı deneyimini artırsa da riskler de getirmektedir. Permit2, kullanıcı işlemlerini zincir dışı imzaya dönüştürür, tüm zincir içi işlemler aracı bir taraf tarafından gerçekleştirilir. Bu, kullanıcıların ETH olmadan diğer Token'ları kullanarak Gas ödemesine veya aracı tarafın üstlenmesine olanak tanır.
Ancak, zincir dışı imza en kolay göz ardı edilen aşamadır. Birçok kullanıcı Dapp'e bağlanırken imza içeriğini dikkatlice kontrol etmez, bu da en tehlikeli yerdir.
Küçük A olayının anahtarı Permit fonksiyonudur. Bu fonksiyon, kullanıcıların gelecekte başkalarının kendi Token'larını kullanmalarına izin vermek için "sözleşme"yi önceden imzalamalarına olanak tanır. Kullanıcı imzasını aldıktan sonra, saldırgan kullanıcı tarafından Permit2'ye yetki verilen Token miktarını transfer edebilir.
Dikkat edilmesi gereken bir husus, bazı DEX'lerin Permit2 için varsayılan olarak sınırsız yetki talep etmesidir. Bu, 2023'ten sonra bu DEX ile etkileşimde bulunan ve Permit2'yi yetkilendiren kullanıcıların riskle karşılaşabileceği anlamına geliyor.
Önleme önerisi:
Permit2 uygulamasının kapsamı genişledikçe, ilgili dolandırıcılık yöntemleri artabilir. Bu tür imza dolandırıcılığı son derece gizli ve önlenmesi zor olup, risk altında olan adreslerin sayısı giderek artacaktır. Okuyucuların bu bilgiyi daha fazla kişiye yaymasını ve daha fazla varlık kaybını önlemesini umuyoruz.