- Rubrique
16k Popularité
2k Popularité
3k Popularité
41k Popularité
16k Popularité
60k Popularité
31k Popularité
3k Popularité
94k Popularité
27k Popularité
- Épingler
16k Popularité
2k Popularité
3k Popularité
41k Popularité
16k Popularité
60k Popularité
31k Popularité
3k Popularité
94k Popularité
27k Popularité
Nouvelle eyewash de phishing sur la signature Permit2 : les utilisateurs de certains DEX doivent se méfier du risque de vol d'actifs.
Dévoiler l'eyewash de phishing par signature Permit2 d'Uniswap
Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les projets, la nature open source du code les rend prudents lors du développement, craignant qu'une seule ligne de code erronée n'entraîne des vulnérabilités. Pour les utilisateurs individuels, si l'on ne comprend pas la signification des opérations en cours, chaque interaction ou signature sur la chaîne peut entraîner le vol d'actifs. Ainsi, la question de la sécurité reste l'un des problèmes les plus épineux du monde des cryptomonnaies. En raison des caractéristiques de la blockchain, une fois les actifs volés, il est presque impossible de les récupérer, d'où l'importance cruciale de maîtriser les connaissances en matière de sécurité dans le monde des cryptomonnaies.
Récemment, des chercheurs ont découvert une nouvelle méthode de phishing qui a commencé à être active au cours des deux derniers mois. Il suffit de signer pour être volé, la méthode est extrêmement discrète et difficile à prévenir, et toutes les adresses ayant interagi avec un certain DEX pourraient être exposées à des risques. Cet article analysera cette méthode de phishing par signature afin d'éviter que d'autres utilisateurs subissent des pertes d'actifs.
déroulement de l'événement
Récemment, un utilisateur (, temporairement appelé petit A ), a vu les actifs de son portefeuille volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée et n'a pas interagi avec le contrat du site de phishing.
Grâce à l'explorateur de blockchain, on peut voir que les USDT volés du portefeuille de Xiao A ont été transférés via la fonction Transfer From. Cela signifie que cet actif volé a été transféré par une autre adresse et non par une fuite de la clé privée du portefeuille.
Détails de la transaction :
La question clé est : comment l'adresse se terminant par fd51 a-t-elle obtenu les droits sur cet actif ? Pourquoi est-elle liée à un certain DEX ?
Une enquête plus approfondie a révélé qu'avant le transfert des actifs de A, cette adresse avait également effectué une opération de Permit, et que les deux opérations impliquaient le contrat Permit2 d'un certain DEX.
Le contrat Permit2 est un nouveau contrat lancé par un DEX à la fin de 2022. Il permet l'autorisation de tokens pour être partagés et gérés dans différentes applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée. Avec de plus en plus de projets intégrant Permit2, il est prévu qu'il standardise l'approbation des tokens dans toutes les applications, en améliorant l'expérience utilisateur grâce à la réduction des coûts de transaction tout en augmentant la sécurité des contrats intelligents.
Le lancement de Permit2 pourrait changer les règles du jeu pour l'ensemble de l'écosystème DApp. Dans le cadre traditionnel, les utilisateurs doivent autoriser séparément chaque interaction avec les actifs DApp. Avec Permit2, les utilisateurs n'ont besoin d'autoriser les tokens qu'au contrat Permit2, et tous les DApp intégrant Permit2 peuvent partager ce quota d'autorisation, réduisant considérablement le coût des interactions pour les utilisateurs et offrant une meilleure expérience.
Cependant, Permit2 est également une arme à double tranchant. Il transforme les opérations des utilisateurs d'interactions sur la chaîne en signatures hors chaîne, toutes les opérations sur la chaîne étant réalisées par un intermédiaire ( tel que le contrat Permit2 et les projets intégrés ). L'avantage est que même si le portefeuille de l'utilisateur n'a pas d'ETH, il peut payer les frais de Gas avec d'autres Tokens ou être remboursé par un intermédiaire. Mais la signature hors chaîne est également l'étape la plus facilement négligée par les utilisateurs, la plupart des gens ne vérifiant pas attentivement le contenu de la signature, c'est là que réside le plus grand danger.
technique de phishing réapparue
Pour reproduire cette méthode de phishing par signature Permit2, il est d'abord nécessaire que le portefeuille ciblé ait autorisé un Token au contrat Permit2 d'un certain DEX. Actuellement, pour effectuer un Swap sur une DApp intégrée à Permit2 ou sur un certain DEX, il est nécessaire d'autoriser le contrat Permit2.
Ce qui est encore plus terrifiant, c'est que peu importe le montant du Swap, le contrat Permit2 d'un certain DEX permettra par défaut à l'utilisateur d'autoriser le solde total de ce Token. Bien que le portefeuille suggère un montant d'entrée personnalisé, la plupart des gens choisiront directement la valeur maximale ou par défaut, et la valeur par défaut de Permit2 est un montant illimité.
Cela signifie que tant que vous avez interagi avec un DEX après 2023 et autorisé le contrat Permit2, vous pourriez être exposé au risque de ce eyewash.
Le cœur du problème réside dans la fonction Permit. En termes simples, elle permet de transférer le montant de Token autorisé par l'utilisateur au contrat Permit2 vers d'autres adresses en utilisant le portefeuille de l'utilisateur. Un hacker, en obtenant la signature de l'utilisateur, peut obtenir les droits sur les Tokens dans le portefeuille de l'utilisateur et transférer des actifs.
mesures préventives
Étant donné que le contrat Permit2 pourrait devenir plus répandu à l'avenir, davantage de projets l'intégreront pour le partage des autorisations. Les mesures de prévention efficaces comprennent :
Comprendre et identifier le contenu de la signature : La signature Permit contient généralement des informations clés telles que Owner, Spender, value, nonce et deadline. L'utilisation de plugins sécurisés aide à l'identification.
Séparation du portefeuille d'actifs et du portefeuille d'interaction : il est conseillé de stocker une grande quantité d'actifs dans un portefeuille froid, tandis que le portefeuille d'interaction ne conserve qu'une petite quantité de fonds, ce qui peut réduire considérablement les pertes en cas de phishing.
Limiter le montant d'autorisation ou annuler l'autorisation : Lors de l'échange sur DEX, n'autorisez que le montant nécessaire à l'interaction. Bien que le besoin de réautoriser à chaque fois augmente les coûts, cela peut éviter le risque de phishing lié à la signature Permit2. Les autorisations déjà accordées peuvent être annulées à l'aide d'un plugin sécurisé.
Identifier si le jeton prend en charge la fonction permit : faites attention à savoir si le jeton détenu prend en charge cette fonction, s'il est pris en charge, il faut être particulièrement prudent et vérifier rigoureusement chaque signature inconnue.
Élaborer un plan de sauvetage d'actifs complet : si des jetons sont encore présents sur d'autres plateformes après avoir été trompé, il est nécessaire de les retirer avec prudence et de les transférer à une adresse sécurisée. Il peut être nécessaire d'utiliser un transfert MEV ou de demander l'assistance d'une équipe de sécurité professionnelle pour éviter que des hackers ne les interceptent.
L'avenir des escroqueries basées sur Permit2 pourrait devenir de plus en plus fréquent. Ce type de phishing par signature est extrêmement furtif et difficile à prévenir. Avec l'expansion de l'utilisation de Permit2, le nombre d'adresses exposées au risque augmentera également. J'espère que les lecteurs pourront diffuser ces informations à un plus grand nombre de personnes pour éviter que d'autres ne subissent des pertes.