يعتبر القراصنة وجودًا يثير الرعب في بيئة Web3. بالنسبة للمشاريع، فإن خاصية الشيفرة المفتوحة تجعلهم يعملون بحذر كبير أثناء التطوير، خوفًا من ترك ثغرة نتيجة لخطأ في سطر واحد من الشيفرة. أما بالنسبة للمستخدمين الفرديين، فإذا لم يفهموا معنى العمليات الجارية، فقد تؤدي كل تفاعل أو توقيع على السلسلة إلى سرقة أصولهم. لذلك، كانت قضايا الأمان دائمًا من أكثر المشكلات تعقيدًا في عالم التشفير. نظرًا لخصائص blockchain، فإن استرداد الأصول المسروقة يكون شبه مستحيل، لذا فإن اكتساب المعرفة الأمنية في عالم التشفير أمر بالغ الأهمية.
مؤخراً، اكتشف الباحثون طريقة جديدة للاختراق بدأت في النشاط خلال الشهرين الماضيين، حيث يمكن أن يتم سرقة التوقيع، والأسلوب شديد الخفاء وصعب الحماية، وأي عنوان تفاعل مع DEX معين قد يكون معرضاً للخطر. ستقوم هذه المقالة بتحليل هذه الطريقة في اختراق التوقيع لتجنب المزيد من خسائر الأصول للمستخدمين.
تفاصيل الحدث
مؤخراً، تم سرقة أصول محفظة مستخدم يُدعى ( والذي يُشار إليه باسم صغير أ. على عكس طرق السرقة الشائعة، لم يقم صغير أ بكشف المفتاح الخاص ولم يتفاعل مع عقود موقع التصيد.
من خلال متصفح blockchain، يمكن رؤية أن USDT المسروق من محفظة Xiao A تم نقله عبر دالة Transfer From. وهذا يعني أن الأصل المسروق تم نقله بواسطة عنوان آخر، وليس بسبب تسرب مفتاح المحفظة الخاص.
تفاصيل الصفقة تظهر:
عنوان ينتهي بالرقم fd51 قام بنقل أصول الصغيرة A إلى عنوان ينتهي بالرقم a0c8
هذه العملية تتفاعل مع عقد Permit2 الخاص بـ DEX معين.
السؤال الرئيسي هو: كيف حصل العنوان الذي ينتهي بـ fd51 على صلاحيات هذا الأصل؟ ولماذا يتعلق الأمر بـ DEX معينة؟
أظهرت التحقيقات الإضافية أنه قبل نقل أصول A الصغيرة، قام هذا العنوان أيضًا بإجراء عملية تصريح، وكانت كائنات التفاعل لهذه العمليات هي عقد تصريح 2 الخاص بـ DEX معين.
![توقيعك يتعرض للسرقة؟ كشف عن تضليل توقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
عقد Permit2 هو عقد جديد أطلقته بعض منصات التداول اللامركزية في نهاية عام 2022. يسمح بتفويض الرموز لمشاركة وإدارة عبر تطبيقات مختلفة، وهدفه هو خلق تجربة مستخدم أكثر اتساقًا وفعالية من حيث التكلفة وأمانًا. مع تكامل المزيد من المشاريع مع Permit2، من المتوقع أن يصبح معيارًا لتفويض الرموز في جميع التطبيقات، من خلال تقليل تكاليف المعاملات وتحسين تجربة المستخدم، بينما يعزز أمان العقود الذكية.
قد تؤدي إطلاق Permit2 إلى تغيير قواعد اللعبة في نظام DApp البيئي بأكمله. في الطريقة التقليدية، يحتاج المستخدم إلى تفويض منفصل في كل مرة يتفاعل فيها مع DApp للأصول. ومع Permit2، يحتاج المستخدم فقط إلى تفويض الرمز المميز لعقد Permit2، ويمكن لجميع DApps التي تتكامل مع Permit2 مشاركة هذا الحد من التفويض، مما يقلل بشكل كبير من تكلفة تفاعل المستخدم ويقدم تجربة أفضل.
ومع ذلك، فإن Permit2 هو أيضاً سيف ذو حدين. حيث يقوم بتحويل عمليات المستخدم من التفاعل على السلسلة إلى توقيع خارج السلسلة، وتتم جميع العمليات على السلسلة بواسطة أطراف وسيطة مثل عقد Permit2 ومشاريع التكامل ). الفائدة من ذلك هي أنه حتى إذا كان محفظة المستخدم لا تحتوي على ETH، يمكن دفع رسوم الغاز باستخدام رموز أخرى أو تعويضها من قبل الأطراف الوسيطة. لكن توقيع خارج السلسلة هو أيضاً الجزء الذي يسهل على المستخدمين تجاهله، حيث أن معظم الناس لن يتحققوا بدقة من محتوى التوقيع، وهذه هي النقطة الأكثر خطورة.
( طرق الصيد تتكرر
لإعادة إنتاج أسلوب التصيد باستخدام توقيع Permit2، يجب أولاً أن يكون لمحفظة التصيد إذن بتوكن من أجل عقد Permit2 لأحد DEX. حالياً، يتطلب الأمر فقط التفويض لعقد Permit2 عند إجراء عملية Swap على DApp المدمجة مع Permit2 أو أحد DEX.
الأكثر رعبًا هو أنه بغض النظر عن مقدار Swap، فإن عقد Permit2 الخاص بـ某DEX سيسمح افتراضيًا للمستخدم بتفويض الرصيد الكامل لهذا الرمز. على الرغم من أن المحفظة ستعرض تلميحًا لإدخال مبلغ مخصص، إلا أن معظم الناس سيختارون مباشرة القيمة القصوى أو القيمة الافتراضية، والقيمة الافتراضية لـ Permit2 هي حد غير محدود.
هذا يعني أنه طالما أنك قد تفاعلت مع بعض DEX بعد عام 2023 ومنحت الإذن لعقد Permit2، قد تكون معرضًا لخطر هذا التضليل.
الأساس هو دالة Permit. باختصار، إنها تستخدم محفظة المستخدم لنقل حدود التوكين المصرح بها لعقد Permit2 إلى عنوان آخر. ما على المخترق سوى الحصول على توقيع المستخدم ليتمكن من الحصول على صلاحية توكنات محفظة المستخدم ونقل الأصول.
![توقيع تم سرقته؟ كشف عملية تضليل توقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp###
( تدابير الحماية
نظرًا لأن عقد Permit2 قد يصبح أكثر شيوعًا في المستقبل، ستقوم المزيد من المشاريع بدمجه لمشاركة التفويض، تشمل وسائل الحماية الفعالة ما يلي:
فهم وتحديد محتوى التوقيع: عادة ما يحتوي توقيع Permit على معلومات رئيسية مثل Owner و Spender و value و nonce و deadline. يساعد استخدام الإضافات الآمنة في التعرف.
فصل محفظة الأصول عن محفظة التفاعل: يُنصح بتخزين الأصول الكبيرة في المحفظة الباردة، بينما يجب الاحتفاظ بمبلغ صغير فقط في محفظة التفاعل اليومية، مما يمكن أن يقلل بشكل كبير من الخسائر عند مواجهة تضليل.
تحديد حد التفويض أو إلغاء التفويض: عند التبادل في DEX، قم فقط بتفويض المبلغ المطلوب للتفاعل. على الرغم من أن الحاجة إلى إعادة التفويض في كل مرة ستزيد من التكاليف، إلا أنها ستساعد في تجنب مخاطر تصيد توقيع Permit2. يمكن استخدام المكونات الإضافية الآمنة لإلغاء التفويض المصرح به.
التعرف على ما إذا كانت الرموز تدعم وظيفة التصريح: انتبه إلى ما إذا كانت الرموز التي تمتلكها تدعم هذه الوظيفة، وإذا كانت تدعمها، يجب أن تكون حذرًا للغاية، والتحقق بدقة من كل توقيع غير معروف.
وضع خطة شاملة لإنقاذ الأصول: إذا تم تضليلك ولا يزال لديك رموز على منصات أخرى، يجب سحبها ونقلها إلى عنوان آمن بحذر. قد تحتاج إلى استخدام تحويل MEV أو طلب مساعدة فريق أمان محترف لتجنب اعتراض القراصنة.
قد تزداد عمليات الاحتيال القائمة على Permit2 في المستقبل. هذه الطريقة في الاحتيال بالتوقيع خفية للغاية وصعبة الحماية، ومع توسع نطاق استخدام Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المعلومات لأكبر عدد ممكن من الناس، لتجنب تكبد المزيد من الخسائر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 22
أعجبني
22
7
مشاركة
تعليق
0/400
OnchainGossiper
· منذ 23 س
يا له من أمر غريب! عالم العملات الرقمية يتجمد بشكل غير متوقع.
شاهد النسخة الأصليةرد0
UnluckyValidator
· 07-20 13:12
استمع إلى نصيحتي، لا تكن عشوائيًا في التوقيع
شاهد النسخة الأصليةرد0
SelfMadeRuggee
· 07-17 16:13
هاكر جاء بفكرة جديدة…佛了
شاهد النسخة الأصليةرد0
LiquidationAlert
· 07-17 16:11
لعبت بالمحفظة ثم اختفت
شاهد النسخة الأصليةرد0
DisillusiionOracle
· 07-17 16:06
توقيع واحد ثم يختفي... عالم العقود مخيف للغاية
شاهد النسخة الأصليةرد0
LiquidationWatcher
· 07-17 16:03
ماء داكن وعميق
شاهد النسخة الأصليةرد0
RugPullAlertBot
· 07-17 16:02
لقد تم زرع الألغام مرة أخرى، احذر من الوقوع في الفخ
تضليل توقيع Permit2 الجديد: يجب على مستخدمي DEX توخي الحذر من مخاطر سرقة الأصول
كشف خدعة توقيع Permit2 الخاصة بـ Uniswap
يعتبر القراصنة وجودًا يثير الرعب في بيئة Web3. بالنسبة للمشاريع، فإن خاصية الشيفرة المفتوحة تجعلهم يعملون بحذر كبير أثناء التطوير، خوفًا من ترك ثغرة نتيجة لخطأ في سطر واحد من الشيفرة. أما بالنسبة للمستخدمين الفرديين، فإذا لم يفهموا معنى العمليات الجارية، فقد تؤدي كل تفاعل أو توقيع على السلسلة إلى سرقة أصولهم. لذلك، كانت قضايا الأمان دائمًا من أكثر المشكلات تعقيدًا في عالم التشفير. نظرًا لخصائص blockchain، فإن استرداد الأصول المسروقة يكون شبه مستحيل، لذا فإن اكتساب المعرفة الأمنية في عالم التشفير أمر بالغ الأهمية.
مؤخراً، اكتشف الباحثون طريقة جديدة للاختراق بدأت في النشاط خلال الشهرين الماضيين، حيث يمكن أن يتم سرقة التوقيع، والأسلوب شديد الخفاء وصعب الحماية، وأي عنوان تفاعل مع DEX معين قد يكون معرضاً للخطر. ستقوم هذه المقالة بتحليل هذه الطريقة في اختراق التوقيع لتجنب المزيد من خسائر الأصول للمستخدمين.
تفاصيل الحدث
مؤخراً، تم سرقة أصول محفظة مستخدم يُدعى ( والذي يُشار إليه باسم صغير أ. على عكس طرق السرقة الشائعة، لم يقم صغير أ بكشف المفتاح الخاص ولم يتفاعل مع عقود موقع التصيد.
من خلال متصفح blockchain، يمكن رؤية أن USDT المسروق من محفظة Xiao A تم نقله عبر دالة Transfer From. وهذا يعني أن الأصل المسروق تم نقله بواسطة عنوان آخر، وليس بسبب تسرب مفتاح المحفظة الخاص.
تفاصيل الصفقة تظهر:
السؤال الرئيسي هو: كيف حصل العنوان الذي ينتهي بـ fd51 على صلاحيات هذا الأصل؟ ولماذا يتعلق الأمر بـ DEX معينة؟
أظهرت التحقيقات الإضافية أنه قبل نقل أصول A الصغيرة، قام هذا العنوان أيضًا بإجراء عملية تصريح، وكانت كائنات التفاعل لهذه العمليات هي عقد تصريح 2 الخاص بـ DEX معين.
![توقيعك يتعرض للسرقة؟ كشف عن تضليل توقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
عقد Permit2 هو عقد جديد أطلقته بعض منصات التداول اللامركزية في نهاية عام 2022. يسمح بتفويض الرموز لمشاركة وإدارة عبر تطبيقات مختلفة، وهدفه هو خلق تجربة مستخدم أكثر اتساقًا وفعالية من حيث التكلفة وأمانًا. مع تكامل المزيد من المشاريع مع Permit2، من المتوقع أن يصبح معيارًا لتفويض الرموز في جميع التطبيقات، من خلال تقليل تكاليف المعاملات وتحسين تجربة المستخدم، بينما يعزز أمان العقود الذكية.
قد تؤدي إطلاق Permit2 إلى تغيير قواعد اللعبة في نظام DApp البيئي بأكمله. في الطريقة التقليدية، يحتاج المستخدم إلى تفويض منفصل في كل مرة يتفاعل فيها مع DApp للأصول. ومع Permit2، يحتاج المستخدم فقط إلى تفويض الرمز المميز لعقد Permit2، ويمكن لجميع DApps التي تتكامل مع Permit2 مشاركة هذا الحد من التفويض، مما يقلل بشكل كبير من تكلفة تفاعل المستخدم ويقدم تجربة أفضل.
ومع ذلك، فإن Permit2 هو أيضاً سيف ذو حدين. حيث يقوم بتحويل عمليات المستخدم من التفاعل على السلسلة إلى توقيع خارج السلسلة، وتتم جميع العمليات على السلسلة بواسطة أطراف وسيطة مثل عقد Permit2 ومشاريع التكامل ). الفائدة من ذلك هي أنه حتى إذا كان محفظة المستخدم لا تحتوي على ETH، يمكن دفع رسوم الغاز باستخدام رموز أخرى أو تعويضها من قبل الأطراف الوسيطة. لكن توقيع خارج السلسلة هو أيضاً الجزء الذي يسهل على المستخدمين تجاهله، حيث أن معظم الناس لن يتحققوا بدقة من محتوى التوقيع، وهذه هي النقطة الأكثر خطورة.
( طرق الصيد تتكرر
لإعادة إنتاج أسلوب التصيد باستخدام توقيع Permit2، يجب أولاً أن يكون لمحفظة التصيد إذن بتوكن من أجل عقد Permit2 لأحد DEX. حالياً، يتطلب الأمر فقط التفويض لعقد Permit2 عند إجراء عملية Swap على DApp المدمجة مع Permit2 أو أحد DEX.
الأكثر رعبًا هو أنه بغض النظر عن مقدار Swap، فإن عقد Permit2 الخاص بـ某DEX سيسمح افتراضيًا للمستخدم بتفويض الرصيد الكامل لهذا الرمز. على الرغم من أن المحفظة ستعرض تلميحًا لإدخال مبلغ مخصص، إلا أن معظم الناس سيختارون مباشرة القيمة القصوى أو القيمة الافتراضية، والقيمة الافتراضية لـ Permit2 هي حد غير محدود.
هذا يعني أنه طالما أنك قد تفاعلت مع بعض DEX بعد عام 2023 ومنحت الإذن لعقد Permit2، قد تكون معرضًا لخطر هذا التضليل.
الأساس هو دالة Permit. باختصار، إنها تستخدم محفظة المستخدم لنقل حدود التوكين المصرح بها لعقد Permit2 إلى عنوان آخر. ما على المخترق سوى الحصول على توقيع المستخدم ليتمكن من الحصول على صلاحية توكنات محفظة المستخدم ونقل الأصول.
![توقيع تم سرقته؟ كشف عملية تضليل توقيع Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp###
( تدابير الحماية
نظرًا لأن عقد Permit2 قد يصبح أكثر شيوعًا في المستقبل، ستقوم المزيد من المشاريع بدمجه لمشاركة التفويض، تشمل وسائل الحماية الفعالة ما يلي:
فهم وتحديد محتوى التوقيع: عادة ما يحتوي توقيع Permit على معلومات رئيسية مثل Owner و Spender و value و nonce و deadline. يساعد استخدام الإضافات الآمنة في التعرف.
فصل محفظة الأصول عن محفظة التفاعل: يُنصح بتخزين الأصول الكبيرة في المحفظة الباردة، بينما يجب الاحتفاظ بمبلغ صغير فقط في محفظة التفاعل اليومية، مما يمكن أن يقلل بشكل كبير من الخسائر عند مواجهة تضليل.
تحديد حد التفويض أو إلغاء التفويض: عند التبادل في DEX، قم فقط بتفويض المبلغ المطلوب للتفاعل. على الرغم من أن الحاجة إلى إعادة التفويض في كل مرة ستزيد من التكاليف، إلا أنها ستساعد في تجنب مخاطر تصيد توقيع Permit2. يمكن استخدام المكونات الإضافية الآمنة لإلغاء التفويض المصرح به.
التعرف على ما إذا كانت الرموز تدعم وظيفة التصريح: انتبه إلى ما إذا كانت الرموز التي تمتلكها تدعم هذه الوظيفة، وإذا كانت تدعمها، يجب أن تكون حذرًا للغاية، والتحقق بدقة من كل توقيع غير معروف.
وضع خطة شاملة لإنقاذ الأصول: إذا تم تضليلك ولا يزال لديك رموز على منصات أخرى، يجب سحبها ونقلها إلى عنوان آمن بحذر. قد تحتاج إلى استخدام تحويل MEV أو طلب مساعدة فريق أمان محترف لتجنب اعتراض القراصنة.
قد تزداد عمليات الاحتيال القائمة على Permit2 في المستقبل. هذه الطريقة في الاحتيال بالتوقيع خفية للغاية وصعبة الحماية، ومع توسع نطاق استخدام Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المعلومات لأكبر عدد ممكن من الناس، لتجنب تكبد المزيد من الخسائر.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp###
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp)
! [التوقيع مسروق؟] إزالة الغموض عن Uniswap Permit2 Signature Phishing Scam](https://img-cdn.gateio.im/webp-social/moments-c2d0bc61729aaca413737ac667eaf7d5.webp)
! [التوقيع مسروق؟] إزالة الغموض عن عملية احتيال التصيد الاحتيالي Uniswap Permit2](https://img-cdn.gateio.im/webp-social/moments-f72c38a16e315ce33b8cc5567854f5c6.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-dc94f3781aa7b30ba08a99ee827ca2e3.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-47d14fc32e8b79f43a5a64146a1b355a.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-1ce5ef8966b9fc2d1101ba341faad70d.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-3c5d855a6c3bc51a57a4a17fe28b2657.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-c1e00cf62c806e99c4188dfa650090ce.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-1b868982a90873ccc2af4ad8c5e4f1ff.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-3213312ac0a792dabb27109da5084835.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-0030f2fe9e740084b05db9e08c389be7.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-9e636d675ee5c6c6e57ed6022fce956a.webp)
! [التوقيع مسروق؟] إزالة الغموض عن عملية احتيال التصيد الاحتيالي Uniswap Permit2](https://img-cdn.gateio.im/webp-social/moments-1a57d7d1db3a8e31c46432f068871722.webp)