- Topik
13k Popularitas
16k Popularitas
31k Popularitas
31k Popularitas
3k Popularitas
94k Popularitas
27k Popularitas
27k Popularitas
7k Popularitas
18k Popularitas
- Sematkan
13k Popularitas
16k Popularitas
31k Popularitas
31k Popularitas
3k Popularitas
94k Popularitas
27k Popularitas
27k Popularitas
7k Popularitas
18k Popularitas
Penipuan baru phishing tanda tangan Permit2: Pengguna DEX tertentu harus waspada terhadap risiko pencurian aset
Mengungkap Penipuan Tanda Tangan Permit2 Uniswap
Hacker adalah keberadaan yang menakutkan di ekosistem Web3. Bagi pihak proyek, sifat kode yang open source membuat mereka merasa seperti berjalan di atas es tipis saat mengembangkan, takut satu baris kode yang salah dapat meninggalkan celah. Bagi pengguna individu, jika tidak memahami arti dari operasi yang sedang dilakukan, setiap interaksi atau tanda tangan di blockchain dapat menyebabkan aset dicuri. Oleh karena itu, masalah keamanan selalu menjadi salah satu masalah paling rumit di dunia kripto. Karena sifat blockchain, begitu aset dicuri, hampir tidak mungkin untuk memulihkannya, sehingga sangat penting untuk menguasai pengetahuan keamanan di dunia kripto.
Baru-baru ini, para peneliti telah menemukan metode phishing baru yang mulai aktif dalam dua bulan terakhir. Hanya dengan menandatangani, aset akan dicuri, dan metode ini sangat tersembunyi serta sulit untuk dicegah. Selain itu, alamat yang pernah berinteraksi dengan DEX tertentu mungkin terpapar pada risiko. Artikel ini akan menganalisis metode phishing berbasis tanda tangan ini, untuk mencegah lebih banyak pengguna mengalami kerugian aset.
Kronologi kejadian
Baru-baru ini, aset dompet pengguna ( yang sementara disebut sebagai A) dicuri. Berbeda dengan cara pencurian yang umum, A tidak membocorkan kunci pribadi dan juga tidak berinteraksi dengan kontrak situs phishing.
Melalui penjelajah blockchain, dapat dilihat bahwa USDT yang dicuri dari dompet A kecil dipindahkan melalui fungsi Transfer From. Ini berarti bahwa aset yang dicuri tersebut dipindahkan oleh alamat lain, dan bukan karena kebocoran kunci pribadi dompet.
Detail transaksi menunjukkan:
Pertanyaan kunci adalah: bagaimana alamat yang berakhiran fd51 mendapatkan izin untuk aset ini? Mengapa itu terkait dengan DEX tertentu?
Penyelidikan lebih lanjut menemukan bahwa sebelum memindahkan aset kecil A, alamat tersebut juga melakukan operasi Permit, dan kedua interaksi ini melibatkan kontrak Permit2 dari suatu DEX.
Kontrak Permit2 adalah kontrak baru yang diluncurkan oleh DEX tertentu pada akhir tahun 2022. Ini memungkinkan otorisasi token untuk dibagikan dan dikelola di berbagai aplikasi, bertujuan untuk menciptakan pengalaman pengguna yang lebih terstandarisasi, lebih biaya-efektif, dan lebih aman. Dengan semakin banyak proyek yang mengintegrasikan Permit2, diharapkan dapat mewujudkan standardisasi persetujuan Token di semua aplikasi, memperbaiki pengalaman pengguna dengan mengurangi biaya transaksi, sambil meningkatkan keamanan kontrak pintar.
Peluncuran Permit2 dapat mengubah aturan permainan seluruh ekosistem DApp. Dengan cara tradisional, pengguna perlu memberikan otorisasi secara terpisah setiap kali berinteraksi dengan DApp untuk aset. Namun, dengan Permit2, pengguna hanya perlu memberikan otorisasi Token kepada kontrak Permit2, semua DApp yang mengintegrasikan Permit2 dapat berbagi kuota otorisasi ini, secara signifikan mengurangi biaya interaksi pengguna dan memberikan pengalaman yang lebih baik.
Namun, Permit2 juga merupakan pedang bermata dua. Ini mengubah operasi pengguna dari interaksi di rantai menjadi tanda tangan di luar rantai, semua operasi di rantai diselesaikan oleh peran perantara ( seperti kontrak Permit2 dan proyek integrasi ). Manfaatnya adalah, bahkan jika dompet pengguna tidak memiliki ETH, dapat menggunakan token lain untuk membayar Gas atau diganti oleh peran perantara. Namun, tanda tangan di luar rantai juga merupakan bagian yang paling mudah diabaikan oleh pengguna, sebagian besar orang tidak akan memeriksa konten tanda tangan dengan cermat, dan ini adalah bagian yang paling berbahaya.
metode memancing muncul kembali
Untuk mereproduksi teknik phishing tanda tangan Permit2 ini, pertama-tama dompet yang terkena phishing perlu memberikan otorisasi Token kepada kontrak Permit2 dari DEX tertentu. Saat ini, setiap kali melakukan Swap di DApp yang terintegrasi dengan Permit2 atau di DEX tertentu, pengguna perlu memberikan otorisasi kepada kontrak Permit2.
Yang lebih menakutkan adalah, terlepas dari berapa pun jumlah Swap, kontrak Permit2 dari DEX tertentu akan secara default mengizinkan pengguna untuk memberikan otorisasi untuk seluruh saldo Token tersebut. Meskipun dompet akan memberi tahu untuk memasukkan jumlah secara kustom, tetapi kebanyakan orang akan langsung memilih nilai maksimum atau nilai default, dan nilai default Permit2 adalah batas tanpa batas.
Ini berarti, selama Anda telah berinteraksi dengan DEX tertentu setelah tahun 2023 dan memberikan izin kepada kontrak Permit2, Anda mungkin terpapar pada risiko penipuan ini.
Intinya adalah fungsi Permit. Singkatnya, ia memanfaatkan dompet pengguna untuk memindahkan kuota Token yang diotorisasi ke kontrak Permit2 ke alamat lain. Hacker hanya perlu mendapatkan tanda tangan pengguna, maka mereka dapat mendapatkan akses ke Token di dompet pengguna dan memindahkan aset.
langkah pencegahan
Mengingat bahwa kontrak Permit2 mungkin akan semakin umum di masa depan, lebih banyak proyek akan mengintegrasikannya untuk berbagi otorisasi, langkah-langkah pencegahan yang efektif termasuk:
Memahami dan mengenali konten tanda tangan: Tanda tangan Permit biasanya mencakup informasi kunci seperti Owner, Spender, value, nonce, dan deadline. Menggunakan plugin keamanan dapat membantu dalam pengenalan.
Memisahkan dompet aset dan dompet interaksi: disarankan untuk menyimpan aset dalam jumlah besar di dompet dingin, dan hanya menyimpan sedikit dana di dompet interaksi sehari-hari, ini dapat secara signifikan mengurangi kerugian saat menghadapi phising.
Batasi jumlah otorisasi atau batalkan otorisasi: Saat Swap di DEX, hanya otorisasi jumlah yang diperlukan untuk interaksi. Meskipun harus mengotorisasi ulang setiap kali akan meningkatkan biaya, tetapi dapat menghindari risiko phishing tanda tangan Permit2. Otorisasi yang telah diberikan dapat dibatalkan menggunakan plugin keamanan.
Identifikasi apakah token mendukung fungsi permit: Perhatikan apakah token yang dimiliki mendukung fungsi ini, jika mendukung, harus sangat berhati-hati dan memeriksa setiap tanda tangan yang tidak dikenal dengan ketat.
Menyusun rencana penyelamatan aset yang komprehensif: Jika masih ada token di platform lain setelah tertipu, perlu hati-hati dalam menarik dan memindahkannya ke alamat yang aman. Mungkin perlu menggunakan pemindahan MEV atau mencari bantuan tim keamanan profesional untuk menghindari pencurian oleh hacker.
Masa depan phishing berbasis Permit2 mungkin akan semakin meningkat. Metode phishing tanda tangan ini sangat tersembunyi dan sulit untuk dihindari, seiring dengan meluasnya penggunaan Permit2, alamat yang terpapar risiko juga akan meningkat. Semoga pembaca dapat menyebarkan informasi ini kepada lebih banyak orang, untuk menghindari lebih banyak orang mengalami kerugian.