Tiết lộ về trò lừa bịp ký tên Permit2 của Uniswap: Cẩn thận với việc ký tên sẽ bị đánh cắp
Tin tặc là một sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở khiến cho việc phát hiện lỗ hổng là điều khó tránh; đối với người dùng cá nhân, mỗi lần tương tác trên chuỗi đều có thể mang đến rủi ro mất mát tài sản. Do đó, vấn đề an ninh luôn là điểm đau trong thế giới tiền mã hóa, trong khi các đặc tính của blockchain khiến cho tài sản bị đánh cắp rất khó để lấy lại, việc nắm vững kiến thức an ninh trở nên vô cùng quan trọng.
Gần đây xuất hiện một phương pháp lừa đảo mới, chỉ cần ký tên cũng có thể dẫn đến việc tài sản bị đánh cắp, phương pháp này rất tinh vi và khó phòng ngừa. Những địa chỉ đã từng tương tác với một nền tảng giao dịch nào đó có thể đối mặt với rủi ro. Bài viết này sẽ phân tích phương pháp lừa đảo bằng chữ ký này, nhằm giúp độc giả tránh tổn thất tài sản nhiều hơn.
Diễn biến sự kiện
Một người bạn ( nhỏ A ) tài sản ví đã bị đánh cắp, nhưng không bị rò rỉ khóa riêng tư hoặc tương tác với hợp đồng nghi ngờ. Cuộc điều tra phát hiện rằng USDT của nhỏ A đã được chuyển qua hàm Transfer From, điều này có nghĩa là một bên thứ ba đã thao tác chuyển tài sản, chứ không phải là rò rỉ khóa riêng của ví.
Tiến hành tra cứu chi tiết giao dịch, phát hiện:
Một địa chỉ sẽ chuyển tài sản của A nhỏ đến một địa chỉ khác
Hành động này tương tác với hợp đồng Permit2 của một nền tảng giao dịch nào đó.
Vấn đề then chốt là: địa chỉ này đã nhận được quyền truy cập vào tài sản của A nhỏ như thế nào? Tại sao lại liên quan đến nền tảng giao dịch đó?
Khảo sát cho thấy, trước khi chuyển nhượng tài sản của A nhỏ, địa chỉ đó đã thực hiện một thao tác Permit, và cả hai thao tác đều tương tác với hợp đồng Permit2 của nền tảng giao dịch đó.
Hợp đồng Permit2 là hợp đồng mới được nền tảng giao dịch này ra mắt vào cuối năm 2022, nhằm mục đích cho phép quyền sử dụng token được chia sẻ và quản lý giữa các ứng dụng khác nhau, cung cấp trải nghiệm người dùng đồng nhất, hiệu quả và an toàn hơn. Trong tương lai, với việc tích hợp nhiều dự án hơn, Permit2 hy vọng sẽ đạt được sự chuẩn hóa trong việc phê duyệt Token giữa các ứng dụng, giảm chi phí giao dịch và nâng cao tính an toàn.
Việc ra mắt Permit2 có thể thay đổi quy tắc hệ sinh thái Dapp. Trong mô hình truyền thống, người dùng cần cấp phép riêng cho mỗi lần tương tác với Dapp, trong khi Permit2 hoạt động như một trung gian, người dùng chỉ cần cấp phép một lần, tất cả các Dapp tích hợp Permit2 đều có thể chia sẻ hạn mức cấp phép. Điều này nâng cao trải nghiệm người dùng, nhưng cũng có thể mang lại rủi ro, vấn đề nằm ở cách tương tác với Permit2.
Permit2 chuyển đổi thao tác của người dùng thành chữ ký ngoại tuyến, và các thao tác trên chuỗi được thực hiện bởi một vai trò trung gian. Điều này cho phép người dùng không cần ETH cũng có thể thanh toán Gas hoặc được vai trò trung gian thanh toán thay, nhưng chữ ký ngoại tuyến cũng là bước mà người dùng dễ dàng bỏ qua nhất.
Quay trở lại với trường hợp của A, việc tài sản bị đánh cắp liên quan đến việc tương tác với hợp đồng Permit2. Điều kiện quan trọng là ví bị lừa đảo phải đã được ủy quyền cho hợp đồng Permit2. Cần lưu ý rằng, hiện tại việc thực hiện Swap trên Dapp tích hợp Permit2 hoặc nền tảng giao dịch này đều cần phải ủy quyền cho hợp đồng Permit2.
Điều đáng lo ngại hơn là, bất kể số tiền Swap là bao nhiêu, hợp đồng Permit2 của nền tảng giao dịch này mặc định yêu cầu ủy quyền toàn bộ số dư. Mặc dù ví sẽ nhắc nhở nhập số tiền tùy chỉnh, nhưng hầu hết người dùng có thể chọn trực tiếp giá trị tối đa hoặc giá trị mặc định, và giá trị mặc định của Permit2 là hạn mức không giới hạn.
Điều này có nghĩa là, chỉ cần có sự tương tác với nền tảng giao dịch này sau năm 2023 và được ủy quyền cho hợp đồng Permit2, bạn có thể phải đối mặt với rủi ro của trò lừa bịp này.
Trò lừa bịp cốt lõi nằm ở hàm Permit, nó cho phép chuyển giao hạn mức Token được ủy quyền cho hợp đồng Permit2 đến các địa chỉ khác thông qua chữ ký. Khi hacker nhận được chữ ký, họ có thể thao túng Token trong ví của người dùng và chuyển tài sản.
Phân tích chi tiết sự kiện
Hàm Permit tương tự như ký hợp đồng trực tuyến, cho phép ủy quyền trước cho người khác (spender) sử dụng một số lượng token nhất định trong tương lai. Hàm sẽ kiểm tra thời gian hiệu lực của chữ ký, xác thực tính xác thực của chữ ký, sau đó cập nhật hồ sơ ủy quyền.
Hàm verify trích xuất dữ liệu v, r, s từ thông tin chữ ký, dùng để khôi phục địa chỉ chữ ký và so sánh với địa chỉ chủ sở hữu token, nếu xác thực thành công thì tiếp tục gọi hàm _updateApproval.
Hàm _updateApproval cập nhật giá trị ủy quyền sau khi xác minh chữ ký, thực hiện việc chuyển nhượng quyền. Lúc này, bên được ủy quyền có thể gọi hàm transferfrom để chuyển token đến địa chỉ chỉ định.
Phân tích giao dịch thực tế trên chuỗi có thể thấy:
owner là địa chỉ ví của A nhỏ
Chi tiết hiển thị địa chỉ hợp đồng Token được cấp phép (USDT) và thông tin số tiền.
Spender là địa chỉ hacker
sigDeadline là thời gian hiệu lực của chữ ký
signature là thông tin chữ ký của A nhỏ
Quay ngược lại hồ sơ tương tác của nhỏ A, phát hiện ra rằng khi anh ấy sử dụng nền tảng giao dịch này trước đây, anh ấy đã mặc định ủy quyền một hạn mức gần như vô hạn.
Tóm lại, A nhỏ đã cấp quyền cho hợp đồng Permit2 một hạn mức USDT không giới hạn, sau đó vô tình rơi vào bẫy lừa đảo chữ ký Permit2 được thiết kế bởi hacker. Sau khi có được chữ ký, hacker đã thực hiện các thao tác Permit và Transfer From trong hợp đồng Permit2, chuyển tài sản của A nhỏ. Hiện tại, hợp đồng Permit2 của nền tảng giao dịch này dường như đã trở thành nơi trú ẩn cho lừa đảo, và thủ đoạn lừa đảo này đã bắt đầu hoạt động khoảng hai tháng trước.
Làm thế nào để phòng ngừa?
Xét đến việc hợp đồng Permit2 có thể trở nên phổ biến hơn trong tương lai, ngày càng nhiều dự án có thể tích hợp hợp đồng này để chia sẻ quyền hạn, các biện pháp phòng ngừa hiệu quả bao gồm:
Hiểu và nhận diện nội dung chữ ký:
Chữ ký Permit thường chứa các thông tin chính như Owner, Spender, value, nonce và deadline. Việc sử dụng plugin bảo mật giúp nhận diện định dạng chữ ký này.
Tách biệt lưu trữ tài sản và ví tương tác:
Đề nghị lưu trữ một lượng lớn tài sản trong ví lạnh, ví tương tác chỉ giữ một lượng nhỏ tiền, để giảm thiểu tổn thất tiềm ẩn.
Hạn chế hạn mức ủy quyền hoặc hủy ủy quyền:
Khi thực hiện Swap trên nền tảng giao dịch này, chỉ cần ủy quyền số tiền tương tác cần thiết. Mặc dù việc phải ủy quyền lại mỗi lần tương tác sẽ làm tăng chi phí, nhưng có thể tránh được rủi ro lừa đảo chữ ký Permit2. Người dùng đã ủy quyền có thể sử dụng plugin an toàn để hủy ủy quyền.
Nhận diện xem mã thông báo có hỗ trợ chức năng permit hay không:
Chú ý xem liệu token tự giữ có hỗ trợ chức năng này không, nếu hỗ trợ thì cần phải cẩn thận, kiểm tra kỹ từng chữ ký không xác định.
Xây dựng kế hoạch cứu trợ tài sản hoàn chỉnh:
Nếu phát hiện bị lừa nhưng vẫn có token tồn tại trên các nền tảng khác, cần cẩn thận trong việc rút và chuyển. Cân nhắc sử dụng chuyển MEV hoặc tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp, tránh bị hacker chặn lại lần nữa.
Trong tương lai, việc lừa đảo dựa trên Permit2 có thể trở nên phổ biến hơn, phương thức lừa đảo bằng chữ ký này cực kỳ tinh vi và khó phòng ngừa. Khi phạm vi ứng dụng của Permit2 mở rộng, số lượng địa chỉ có rủi ro cũng sẽ tăng lên. Hy vọng người đọc có thể phổ biến thông tin này rộng rãi, để tránh nhiều người hơn phải chịu thiệt hại.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
7 thích
Phần thưởng
7
2
Chia sẻ
Bình luận
0/400
MetaverseLandlord
· 22giờ trước
Lại đến nữa? Ai có thể chịu nổi thuế thông minh này?
Chiêu trò lừa bịp mới về chữ ký Permit2: Người dùng nền tảng giao dịch cần cảnh giác
Tiết lộ về trò lừa bịp ký tên Permit2 của Uniswap: Cẩn thận với việc ký tên sẽ bị đánh cắp
Tin tặc là một sự hiện diện đáng sợ trong hệ sinh thái Web3. Đối với các dự án, mã nguồn mở khiến cho việc phát hiện lỗ hổng là điều khó tránh; đối với người dùng cá nhân, mỗi lần tương tác trên chuỗi đều có thể mang đến rủi ro mất mát tài sản. Do đó, vấn đề an ninh luôn là điểm đau trong thế giới tiền mã hóa, trong khi các đặc tính của blockchain khiến cho tài sản bị đánh cắp rất khó để lấy lại, việc nắm vững kiến thức an ninh trở nên vô cùng quan trọng.
Gần đây xuất hiện một phương pháp lừa đảo mới, chỉ cần ký tên cũng có thể dẫn đến việc tài sản bị đánh cắp, phương pháp này rất tinh vi và khó phòng ngừa. Những địa chỉ đã từng tương tác với một nền tảng giao dịch nào đó có thể đối mặt với rủi ro. Bài viết này sẽ phân tích phương pháp lừa đảo bằng chữ ký này, nhằm giúp độc giả tránh tổn thất tài sản nhiều hơn.
Diễn biến sự kiện
Một người bạn ( nhỏ A ) tài sản ví đã bị đánh cắp, nhưng không bị rò rỉ khóa riêng tư hoặc tương tác với hợp đồng nghi ngờ. Cuộc điều tra phát hiện rằng USDT của nhỏ A đã được chuyển qua hàm Transfer From, điều này có nghĩa là một bên thứ ba đã thao tác chuyển tài sản, chứ không phải là rò rỉ khóa riêng của ví.
Tiến hành tra cứu chi tiết giao dịch, phát hiện:
Vấn đề then chốt là: địa chỉ này đã nhận được quyền truy cập vào tài sản của A nhỏ như thế nào? Tại sao lại liên quan đến nền tảng giao dịch đó?
Khảo sát cho thấy, trước khi chuyển nhượng tài sản của A nhỏ, địa chỉ đó đã thực hiện một thao tác Permit, và cả hai thao tác đều tương tác với hợp đồng Permit2 của nền tảng giao dịch đó.
Hợp đồng Permit2 là hợp đồng mới được nền tảng giao dịch này ra mắt vào cuối năm 2022, nhằm mục đích cho phép quyền sử dụng token được chia sẻ và quản lý giữa các ứng dụng khác nhau, cung cấp trải nghiệm người dùng đồng nhất, hiệu quả và an toàn hơn. Trong tương lai, với việc tích hợp nhiều dự án hơn, Permit2 hy vọng sẽ đạt được sự chuẩn hóa trong việc phê duyệt Token giữa các ứng dụng, giảm chi phí giao dịch và nâng cao tính an toàn.
Việc ra mắt Permit2 có thể thay đổi quy tắc hệ sinh thái Dapp. Trong mô hình truyền thống, người dùng cần cấp phép riêng cho mỗi lần tương tác với Dapp, trong khi Permit2 hoạt động như một trung gian, người dùng chỉ cần cấp phép một lần, tất cả các Dapp tích hợp Permit2 đều có thể chia sẻ hạn mức cấp phép. Điều này nâng cao trải nghiệm người dùng, nhưng cũng có thể mang lại rủi ro, vấn đề nằm ở cách tương tác với Permit2.
Permit2 chuyển đổi thao tác của người dùng thành chữ ký ngoại tuyến, và các thao tác trên chuỗi được thực hiện bởi một vai trò trung gian. Điều này cho phép người dùng không cần ETH cũng có thể thanh toán Gas hoặc được vai trò trung gian thanh toán thay, nhưng chữ ký ngoại tuyến cũng là bước mà người dùng dễ dàng bỏ qua nhất.
Quay trở lại với trường hợp của A, việc tài sản bị đánh cắp liên quan đến việc tương tác với hợp đồng Permit2. Điều kiện quan trọng là ví bị lừa đảo phải đã được ủy quyền cho hợp đồng Permit2. Cần lưu ý rằng, hiện tại việc thực hiện Swap trên Dapp tích hợp Permit2 hoặc nền tảng giao dịch này đều cần phải ủy quyền cho hợp đồng Permit2.
Điều đáng lo ngại hơn là, bất kể số tiền Swap là bao nhiêu, hợp đồng Permit2 của nền tảng giao dịch này mặc định yêu cầu ủy quyền toàn bộ số dư. Mặc dù ví sẽ nhắc nhở nhập số tiền tùy chỉnh, nhưng hầu hết người dùng có thể chọn trực tiếp giá trị tối đa hoặc giá trị mặc định, và giá trị mặc định của Permit2 là hạn mức không giới hạn.
Điều này có nghĩa là, chỉ cần có sự tương tác với nền tảng giao dịch này sau năm 2023 và được ủy quyền cho hợp đồng Permit2, bạn có thể phải đối mặt với rủi ro của trò lừa bịp này.
Trò lừa bịp cốt lõi nằm ở hàm Permit, nó cho phép chuyển giao hạn mức Token được ủy quyền cho hợp đồng Permit2 đến các địa chỉ khác thông qua chữ ký. Khi hacker nhận được chữ ký, họ có thể thao túng Token trong ví của người dùng và chuyển tài sản.
Phân tích chi tiết sự kiện
Hàm Permit tương tự như ký hợp đồng trực tuyến, cho phép ủy quyền trước cho người khác (spender) sử dụng một số lượng token nhất định trong tương lai. Hàm sẽ kiểm tra thời gian hiệu lực của chữ ký, xác thực tính xác thực của chữ ký, sau đó cập nhật hồ sơ ủy quyền.
Hàm verify trích xuất dữ liệu v, r, s từ thông tin chữ ký, dùng để khôi phục địa chỉ chữ ký và so sánh với địa chỉ chủ sở hữu token, nếu xác thực thành công thì tiếp tục gọi hàm _updateApproval.
Hàm _updateApproval cập nhật giá trị ủy quyền sau khi xác minh chữ ký, thực hiện việc chuyển nhượng quyền. Lúc này, bên được ủy quyền có thể gọi hàm transferfrom để chuyển token đến địa chỉ chỉ định.
Phân tích giao dịch thực tế trên chuỗi có thể thấy:
Quay ngược lại hồ sơ tương tác của nhỏ A, phát hiện ra rằng khi anh ấy sử dụng nền tảng giao dịch này trước đây, anh ấy đã mặc định ủy quyền một hạn mức gần như vô hạn.
Tóm lại, A nhỏ đã cấp quyền cho hợp đồng Permit2 một hạn mức USDT không giới hạn, sau đó vô tình rơi vào bẫy lừa đảo chữ ký Permit2 được thiết kế bởi hacker. Sau khi có được chữ ký, hacker đã thực hiện các thao tác Permit và Transfer From trong hợp đồng Permit2, chuyển tài sản của A nhỏ. Hiện tại, hợp đồng Permit2 của nền tảng giao dịch này dường như đã trở thành nơi trú ẩn cho lừa đảo, và thủ đoạn lừa đảo này đã bắt đầu hoạt động khoảng hai tháng trước.
Làm thế nào để phòng ngừa?
Xét đến việc hợp đồng Permit2 có thể trở nên phổ biến hơn trong tương lai, ngày càng nhiều dự án có thể tích hợp hợp đồng này để chia sẻ quyền hạn, các biện pháp phòng ngừa hiệu quả bao gồm:
Tách biệt lưu trữ tài sản và ví tương tác: Đề nghị lưu trữ một lượng lớn tài sản trong ví lạnh, ví tương tác chỉ giữ một lượng nhỏ tiền, để giảm thiểu tổn thất tiềm ẩn.
Hạn chế hạn mức ủy quyền hoặc hủy ủy quyền: Khi thực hiện Swap trên nền tảng giao dịch này, chỉ cần ủy quyền số tiền tương tác cần thiết. Mặc dù việc phải ủy quyền lại mỗi lần tương tác sẽ làm tăng chi phí, nhưng có thể tránh được rủi ro lừa đảo chữ ký Permit2. Người dùng đã ủy quyền có thể sử dụng plugin an toàn để hủy ủy quyền.
Nhận diện xem mã thông báo có hỗ trợ chức năng permit hay không: Chú ý xem liệu token tự giữ có hỗ trợ chức năng này không, nếu hỗ trợ thì cần phải cẩn thận, kiểm tra kỹ từng chữ ký không xác định.
Xây dựng kế hoạch cứu trợ tài sản hoàn chỉnh: Nếu phát hiện bị lừa nhưng vẫn có token tồn tại trên các nền tảng khác, cần cẩn thận trong việc rút và chuyển. Cân nhắc sử dụng chuyển MEV hoặc tìm kiếm sự hỗ trợ từ đội ngũ an ninh chuyên nghiệp, tránh bị hacker chặn lại lần nữa.
Trong tương lai, việc lừa đảo dựa trên Permit2 có thể trở nên phổ biến hơn, phương thức lừa đảo bằng chữ ký này cực kỳ tinh vi và khó phòng ngừa. Khi phạm vi ứng dụng của Permit2 mở rộng, số lượng địa chỉ có rủi ro cũng sẽ tăng lên. Hy vọng người đọc có thể phổ biến thông tin này rộng rãi, để tránh nhiều người hơn phải chịu thiệt hại.