Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia temida en el ecosistema de Web3. Para los desarrolladores de proyectos, la naturaleza de código abierto les hace caminar sobre cáscaras de huevo durante el desarrollo, temiendo que un error en una línea de código deje una vulnerabilidad. Para los usuarios individuales, si no comprenden el significado de las operaciones que están realizando, cada interacción o firma en la cadena podría resultar en el robo de activos. Por lo tanto, los problemas de seguridad han sido uno de los más difíciles en el mundo de las criptomonedas. Debido a las características de la blockchain, una vez que los activos son robados, es casi imposible recuperarlos, por lo que es especialmente importante adquirir conocimientos de seguridad en el mundo de las criptomonedas.
Recientemente, investigadores han descubierto un nuevo método de phishing que ha comenzado a activarse en los últimos dos meses; basta con firmar para ser robado. Este método es extremadamente encubierto y difícil de prevenir, y cualquier dirección que haya interactuado con algún DEX podría estar expuesta al riesgo. Este artículo analizará este método de phishing por firma para evitar que más usuarios sufran pérdidas de activos.
Evento
Recientemente, un usuario (, que llamaremos pequeño A ), tuvo sus activos de billetera robados. A diferencia de los métodos comunes de robo, pequeño A no filtró su clave privada ni interactuó con contratos de sitios de phishing.
A través del explorador de blockchain se puede ver que el USDT robado de la billetera de Xiao A fue transferido a través de la función Transfer From. Esto significa que este activo robado fue transferido por otra dirección, y no por una filtración de la clave privada de la billetera.
Detalles de la transacción:
Una dirección que termina en fd51 transfirió los activos de Xiao A a una dirección que termina en a0c8.
Esta operación interactúa con el contrato Permit2 de algún DEX.
La cuestión clave es: ¿cómo obtuvo la dirección que termina en fd51 los permisos para este activo? ¿Por qué está relacionada con algún DEX?
Una investigación adicional reveló que, antes de transferir los activos de A, esta dirección también realizó una operación de Permiso, y ambos operaciones interactuaron con el contrato Permit2 de un DEX.
El contrato Permit2 es un nuevo contrato lanzado por un DEX a finales de 2022. Permite la autorización de tokens para compartir y gestionar en diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, rentable y segura. A medida que más proyectos se integren con Permit2, se espera que logre la estandarización de la aprobación de tokens en todas las aplicaciones, mejorando la experiencia del usuario al reducir los costos de transacción y al mismo tiempo aumentar la seguridad de los contratos inteligentes.
El lanzamiento de Permit2 podría cambiar las reglas del juego en todo el ecosistema de DApp. De manera tradicional, los usuarios necesitan autorizar individualmente cada interacción de activos con el DApp. Con Permit2, los usuarios solo necesitan autorizar el Token al contrato de Permit2, y todas las DApps que integren Permit2 pueden compartir este límite de autorización, lo que reduce significativamente el costo de interacción del usuario y brinda una mejor experiencia.
Sin embargo, Permit2 también es una espada de doble filo. Mueve las operaciones de los usuarios de interacciones en la cadena a firmas fuera de la cadena, todas las operaciones en la cadena son realizadas por un intermediario ( como el contrato Permit2 y el proyecto integrado ). La ventaja de esto es que, incluso si la billetera del usuario no tiene ETH, se puede pagar el Gas con otros Token o ser reembolsado por el intermediario. Pero la firma fuera de la cadena es también la parte que los usuarios más tienden a pasar por alto, la mayoría de las personas no revisan detenidamente el contenido de la firma, y ahí es donde radica el mayor peligro.
Reaparición de la técnica de pesca
Para reproducir este método de phishing de firma de Permit2, primero se necesita que la billetera de phishing tenga autorización de Token para el contrato Permit2 de algún DEX. Actualmente, cualquier Swap realizado en una DApp integrada con Permit2 o en algún DEX requiere autorización para el contrato Permit2.
Lo que es aún más aterrador es que, sin importar cuánto sea el monto del Swap, el contrato Permit2 de cierto DEX siempre permitirá que los usuarios autoricen el saldo total de ese Token de forma predeterminada. Aunque la billetera ofrecerá la opción de ingresar un monto personalizado, la mayoría de las personas simplemente elegirán el máximo o el valor predeterminado, y el valor predeterminado de Permit2 es un límite ilimitado.
Esto significa que, siempre que hayas interactuado con algún DEX después de 2023 y hayas autorizado al contrato Permit2, podrías estar expuesto al riesgo de este Lavado de ojos.
El núcleo está en la función Permit. En pocas palabras, utiliza la billetera del usuario para transferir el límite de tokens autorizado al contrato Permit2 a otras direcciones. Un hacker, al obtener la firma del usuario, puede obtener los permisos de los tokens en la billetera del usuario y transferir activos.
Medidas de prevención
Considerando que el contrato Permit2 podría volverse más común en el futuro, más proyectos lo integrarán para compartir autorizaciones. Las medidas de prevención efectivas incluyen:
Entender e identificar el contenido de la firma: La firma Permit generalmente contiene información clave como Owner, Spender, value, nonce y deadline. Utilizar complementos de seguridad ayuda a la identificación.
Separación de cartera de activos y cartera de interacción: se recomienda almacenar grandes cantidades de activos en una cartera fría, mientras que en la cartera de interacción se debe mantener solo una pequeña cantidad de fondos, lo que puede reducir significativamente las pérdidas en caso de un Lavado de ojos.
Limitar el monto de autorización o cancelar la autorización: Al intercambiar en un DEX, autorizar solo la cantidad necesaria para la interacción. Aunque tener que autorizar nuevamente cada vez aumentará los costos, se puede evitar el riesgo de phishing de firma de Permit2. Los autorizados se pueden cancelar utilizando un complemento de seguridad.
Identificar si el token admite la función permit: Prestar atención a si el token que se posee admite esta función; si es así, se debe tener especial cuidado y verificar estrictamente cada firma desconocida.
Elaborar un plan de rescate de activos completo: si después de ser víctima de un Lavado de ojos todavía hay tokens en otras plataformas, es necesario extraerlos con precaución y transferirlos a una dirección segura. Puede ser necesario utilizar una transferencia MEV o buscar la asistencia de un equipo de seguridad profesional para evitar que los hackers intercepten.
El phishing basado en Permit2 podría aumentar en el futuro. Este método de phishing por firma es extremadamente sigiloso y difícil de prevenir; a medida que se expanda el alcance de Permit2, también aumentará el número de direcciones expuestas al riesgo. Espero que los lectores puedan difundir esta información a más personas para evitar que más personas sufran pérdidas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
22 me gusta
Recompensa
22
7
Compartir
Comentar
0/400
OnchainGossiper
· 07-20 15:31
Demasiado increíble, en el mundo Cripto, si no tienes cuidado, todo puede irse al traste.
Ver originalesResponder0
UnluckyValidator
· 07-20 13:12
Escucha mi consejo, no firmes de manera demasiado casual.
Ver originalesResponder0
SelfMadeRuggee
· 07-17 16:13
Hacker viene con algo nuevo... Buda.
Ver originalesResponder0
LiquidationAlert
· 07-17 16:11
Jugué con la Billetera y ya no está.
Ver originalesResponder0
DisillusiionOracle
· 07-17 16:06
Un simple firma y ya se fue... el mundo de los contratos es aterrador.
Ver originalesResponder0
LiquidationWatcher
· 07-17 16:03
agua negra y profunda
Ver originalesResponder0
RugPullAlertBot
· 07-17 16:02
Ya han puesto minas otra vez, ten cuidado de caer en una.
La nueva estafa de pesca con firma Permit2: los usuarios de ciertos DEX deben tener cuidado con el riesgo de robo de activos.
Revelando el Lavado de ojos de la firma Permit2 de Uniswap
Los hackers son una presencia temida en el ecosistema de Web3. Para los desarrolladores de proyectos, la naturaleza de código abierto les hace caminar sobre cáscaras de huevo durante el desarrollo, temiendo que un error en una línea de código deje una vulnerabilidad. Para los usuarios individuales, si no comprenden el significado de las operaciones que están realizando, cada interacción o firma en la cadena podría resultar en el robo de activos. Por lo tanto, los problemas de seguridad han sido uno de los más difíciles en el mundo de las criptomonedas. Debido a las características de la blockchain, una vez que los activos son robados, es casi imposible recuperarlos, por lo que es especialmente importante adquirir conocimientos de seguridad en el mundo de las criptomonedas.
Recientemente, investigadores han descubierto un nuevo método de phishing que ha comenzado a activarse en los últimos dos meses; basta con firmar para ser robado. Este método es extremadamente encubierto y difícil de prevenir, y cualquier dirección que haya interactuado con algún DEX podría estar expuesta al riesgo. Este artículo analizará este método de phishing por firma para evitar que más usuarios sufran pérdidas de activos.
Evento
Recientemente, un usuario (, que llamaremos pequeño A ), tuvo sus activos de billetera robados. A diferencia de los métodos comunes de robo, pequeño A no filtró su clave privada ni interactuó con contratos de sitios de phishing.
A través del explorador de blockchain se puede ver que el USDT robado de la billetera de Xiao A fue transferido a través de la función Transfer From. Esto significa que este activo robado fue transferido por otra dirección, y no por una filtración de la clave privada de la billetera.
Detalles de la transacción:
La cuestión clave es: ¿cómo obtuvo la dirección que termina en fd51 los permisos para este activo? ¿Por qué está relacionada con algún DEX?
Una investigación adicional reveló que, antes de transferir los activos de A, esta dirección también realizó una operación de Permiso, y ambos operaciones interactuaron con el contrato Permit2 de un DEX.
El contrato Permit2 es un nuevo contrato lanzado por un DEX a finales de 2022. Permite la autorización de tokens para compartir y gestionar en diferentes aplicaciones, con el objetivo de crear una experiencia de usuario más unificada, rentable y segura. A medida que más proyectos se integren con Permit2, se espera que logre la estandarización de la aprobación de tokens en todas las aplicaciones, mejorando la experiencia del usuario al reducir los costos de transacción y al mismo tiempo aumentar la seguridad de los contratos inteligentes.
El lanzamiento de Permit2 podría cambiar las reglas del juego en todo el ecosistema de DApp. De manera tradicional, los usuarios necesitan autorizar individualmente cada interacción de activos con el DApp. Con Permit2, los usuarios solo necesitan autorizar el Token al contrato de Permit2, y todas las DApps que integren Permit2 pueden compartir este límite de autorización, lo que reduce significativamente el costo de interacción del usuario y brinda una mejor experiencia.
Sin embargo, Permit2 también es una espada de doble filo. Mueve las operaciones de los usuarios de interacciones en la cadena a firmas fuera de la cadena, todas las operaciones en la cadena son realizadas por un intermediario ( como el contrato Permit2 y el proyecto integrado ). La ventaja de esto es que, incluso si la billetera del usuario no tiene ETH, se puede pagar el Gas con otros Token o ser reembolsado por el intermediario. Pero la firma fuera de la cadena es también la parte que los usuarios más tienden a pasar por alto, la mayoría de las personas no revisan detenidamente el contenido de la firma, y ahí es donde radica el mayor peligro.
Reaparición de la técnica de pesca
Para reproducir este método de phishing de firma de Permit2, primero se necesita que la billetera de phishing tenga autorización de Token para el contrato Permit2 de algún DEX. Actualmente, cualquier Swap realizado en una DApp integrada con Permit2 o en algún DEX requiere autorización para el contrato Permit2.
Lo que es aún más aterrador es que, sin importar cuánto sea el monto del Swap, el contrato Permit2 de cierto DEX siempre permitirá que los usuarios autoricen el saldo total de ese Token de forma predeterminada. Aunque la billetera ofrecerá la opción de ingresar un monto personalizado, la mayoría de las personas simplemente elegirán el máximo o el valor predeterminado, y el valor predeterminado de Permit2 es un límite ilimitado.
Esto significa que, siempre que hayas interactuado con algún DEX después de 2023 y hayas autorizado al contrato Permit2, podrías estar expuesto al riesgo de este Lavado de ojos.
El núcleo está en la función Permit. En pocas palabras, utiliza la billetera del usuario para transferir el límite de tokens autorizado al contrato Permit2 a otras direcciones. Un hacker, al obtener la firma del usuario, puede obtener los permisos de los tokens en la billetera del usuario y transferir activos.
Medidas de prevención
Considerando que el contrato Permit2 podría volverse más común en el futuro, más proyectos lo integrarán para compartir autorizaciones. Las medidas de prevención efectivas incluyen:
Entender e identificar el contenido de la firma: La firma Permit generalmente contiene información clave como Owner, Spender, value, nonce y deadline. Utilizar complementos de seguridad ayuda a la identificación.
Separación de cartera de activos y cartera de interacción: se recomienda almacenar grandes cantidades de activos en una cartera fría, mientras que en la cartera de interacción se debe mantener solo una pequeña cantidad de fondos, lo que puede reducir significativamente las pérdidas en caso de un Lavado de ojos.
Limitar el monto de autorización o cancelar la autorización: Al intercambiar en un DEX, autorizar solo la cantidad necesaria para la interacción. Aunque tener que autorizar nuevamente cada vez aumentará los costos, se puede evitar el riesgo de phishing de firma de Permit2. Los autorizados se pueden cancelar utilizando un complemento de seguridad.
Identificar si el token admite la función permit: Prestar atención a si el token que se posee admite esta función; si es así, se debe tener especial cuidado y verificar estrictamente cada firma desconocida.
Elaborar un plan de rescate de activos completo: si después de ser víctima de un Lavado de ojos todavía hay tokens en otras plataformas, es necesario extraerlos con precaución y transferirlos a una dirección segura. Puede ser necesario utilizar una transferencia MEV o buscar la asistencia de un equipo de seguridad profesional para evitar que los hackers intercepten.
El phishing basado en Permit2 podría aumentar en el futuro. Este método de phishing por firma es extremadamente sigiloso y difícil de prevenir; a medida que se expanda el alcance de Permit2, también aumentará el número de direcciones expuestas al riesgo. Espero que los lectores puedan difundir esta información a más personas para evitar que más personas sufran pérdidas.