# Uniswap Permit2サインフィッシング目薬の真相ハッカーはWeb3エコシステムにおいて恐れられる存在です。プロジェクト側にとって、コードのオープンソースの特性は、開発中に一歩一歩気を使うことを意味し、一行のコードのミスが脆弱性を残すことを恐れています。個人ユーザーにとって、進行中の操作の意味を理解していない場合、ブロックチェーン上のインタラクションや署名のたびに資産が盗まれる可能性があります。したがって、安全性の問題は暗号世界で最も厄介な問題の一つです。ブロックチェーンの特性により、一度資産が盗まれるとほぼ回収不可能であるため、暗号世界で安全知識を持つことは特に重要です。最近、研究者はここ2ヶ月間に活発化した新しいフィッシング手法を発見しました。署名を行うだけで盗まれてしまい、手法は非常に巧妙で防ぐのが難しく、あるDEXでのやり取りを行ったアドレスはすべてリスクにさらされる可能性があります。この記事では、この署名フィッシング手法を分析し、より多くのユーザーが資産を失うのを防ぐための対策を講じます。###イベント最近、ユーザー(仮称小A)のウォレット資産が盗まれました。一般的な盗難方法とは異なり、小Aはプライベートキーを漏らさず、フィッシングサイトの契約とも相互作用していません。ブロックチェーンブラウザを通じて、小Aのウォレットから盗まれたUSDTはTransfer From関数を通じて移動されたことが分かります。これは、この盗まれた資産が別のアドレスによって操作されて移動されたことを意味し、ウォレットの秘密鍵が漏洩したわけではありません。取引の詳細が表示されます:- 尾号fd51のアドレスが小Aの資産を尾号a0c8のアドレスに転送しました。- この操作は、あるDEXのPermit2契約と相互作用しています。重要な問題は: 尾号fd51のアドレスがどのようにこの資産の権限を得たのか? なぜあるDEXと関係があるのか?さらに調査したところ、小Aの資産を移転する前に、そのアドレスはPermit操作を行っており、これらの二つの操作の相互作用の対象は、あるDEXのPermit2契約であることがわかりました。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0cc586809f131d9dfab81df33fd1835e)Permit2コントラクトは、あるDEXが2022年末に導入した新しいコントラクトです。これは、トークンの承認を異なるアプリケーション間で共有および管理することを可能にし、より統一され、コスト効率が高く、安全なユーザー体験を創出することを目的としています。ますます多くのプロジェクトがPermit2と統合されるにつれて、すべてのアプリケーションでのトークン承認の標準化を実現し、取引コストを削減してユーザー体験を改善し、同時にスマートコントラクトの安全性を向上させることが期待されています。Permit2の導入は、DAppエコシステム全体のゲームルールを変える可能性があります。従来の方法では、ユーザーはDAppと資産を交互に操作するたびに個別に承認する必要がありました。しかし、Permit2があれば、ユーザーはTokenをPermit2コントラクトに承認するだけで、Permit2を統合したすべてのDAppがこの承認枠を共有でき、ユーザーのインタラクションコストが大幅に削減され、より良い体験をもたらします。しかし、Permit2は両刃の剣でもあります。ユーザーの操作はオンチェーンのインタラクションからオフチェーンの署名に変わり、すべてのオンチェーン操作は中間役(のPermit2契約や統合プロジェクト)によって行われます。これによる利点は、ユーザーのウォレットにETHがなくても他のトークンでガスを支払ったり、中間役によって払い戻しを受けることができることです。しかし、オフチェーンの署名はユーザーが最も見落としやすい部分でもあり、大多数の人は署名内容を慎重に確認しないため、これが最も危険な点です。###釣りのテクニックが繰り返されるこのPermit2署名フィッシング手法を再現するには、まずフィッシングされたウォレットが特定のDEXのPermit2コントラクトにTokenを許可している必要があります。現在、Permit2と統合されたDAppまたは特定のDEXでスワップを行うには、Permit2コントラクトへの許可が必要です。更に恐ろしいことに、Swapの金額に関わらず、あるDEXのPermit2契約はユーザーにそのTokenの全残高をデフォルトで承認させます。ウォレットはカスタム入力金額を提示しますが、多くの人は最大またはデフォルト値を直接選択するでしょう。そして、Permit2のデフォルト値は無制限の額です。これは、2023年以降にあるDEXと相互作用し、Permit2契約に権限を与えた場合、このフィッシング目薬のリスクにさらされる可能性があることを意味します。コアはPermit関数です。簡単に言うと、これはユーザーのウォレットを利用してPermit2コントラクトに与えられたTokenの限度額を他のアドレスに移転します。ハッカーがユーザーの署名を取得すれば、ユーザーのウォレット内のTokenの権限を持ち、資産を移転することができます。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-bb348691082594ecc577f91d7f9dc800)###注意事項Permit2契約が将来的にさらに普及する可能性があるため、より多くのプロジェクトがそれを統合して権限の共有を行うことになります。効果的な防止手段には次のものが含まれます:1. サイン内容を理解し認識する: Permitサインには通常、Owner、Spender、value、nonce、deadlineなどの重要な情報が含まれています。安全なプラグインを使用すると、認識に役立ちます。2. 資産ウォレットとインタラクティブウォレットの分離: 大量の資産はコールドウォレットに保管し、日常のインタラクティブウォレットには少量の資金のみを保持することをお勧めします。これにより、フィッシングに遭遇した際の損失を大幅に減らすことができます。3. 認可限度額の制限または認可のキャンセル: DEXでスワップする際、インタラクションに必要な金額のみを認可します。毎回再認可する必要があるためコストが増加しますが、Permit2署名のフィッシングリスクを回避できます。認可されたものは、安全プラグインを使用してキャンセルできます。4. トークンがpermit機能をサポートしているかを確認する: 保有しているトークンがこの機能をサポートしているかを注視し、サポートしている場合は特に慎重になり、未知の署名を厳密にチェックする必要があります。5. 完璧な資産救済計画を策定する: 詐欺に遭った後、他のプラットフォームにトークンが残っている場合は、慎重に引き出して安全なアドレスに移動する必要があります。MEV転送を使用するか、専門のセキュリティチームの協力を求める必要があるかもしれません。ハッカーによる傍受を避けるためです。今後、Permit2に基づくフィッシングがますます増加する可能性があります。この署名フィッシングの方法は非常に巧妙で防ぎにくく、Permit2の適用範囲が広がるにつれて、リスクにさらされるアドレスも増加します。読者がこれらの情報をより多くの人に広め、さらなる損失を避けることを願っています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-30520c8399a6ee69aa22424476c5870c)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-730db044a34a8dc242f04cf8ae4d394c)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-610abe28375ce9ad0e08e0ff1f483c1d)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-7e307b251a6cd5f615f05f3fe5f88165)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-beaf0776306ee492b8c2fe3bbc281fd6)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-b4e0fd1284baf2f4ca7e18c82d07100c)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-c2d0bc61729aaca413737ac667eaf7d5)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-f72c38a16e315ce33b8cc5567854f5c6)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-4fdf03afb062f8f5d531cca3cd6330cc)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-dc94f3781aa7b30ba08a99ee827ca2e3)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-47d14fc32e8b79f43a5a64146a1b355a)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-1ce5ef8966b9fc2d1101ba341faad70d)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-3c5d855a6c3bc51a57a4a17fe28b2657)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-c1e00cf62c806e99c4188dfa650090ce)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-b80025f211f7c0ef6371b6bd1a309ebc)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-1b868982a90873ccc2af4ad8c5e4f1ff)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-3213312ac0a792dabb27109da5084835)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-fad2e7cbe2aaf3d695362fca4640ff4f)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0030f2fe9e740084b05db9e08c389be7)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-9e636d675ee5c6c6e57ed6022fce956a)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-8961f519f6452dbcd4876e0135b0cb64)! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-1a57d7d1db3a8e31c46432f068871722)
Permit2サインフィッシングの新しい目薬:あるDEXユーザーは資産盗難のリスクに警戒する必要があります
Uniswap Permit2サインフィッシング目薬の真相
ハッカーはWeb3エコシステムにおいて恐れられる存在です。プロジェクト側にとって、コードのオープンソースの特性は、開発中に一歩一歩気を使うことを意味し、一行のコードのミスが脆弱性を残すことを恐れています。個人ユーザーにとって、進行中の操作の意味を理解していない場合、ブロックチェーン上のインタラクションや署名のたびに資産が盗まれる可能性があります。したがって、安全性の問題は暗号世界で最も厄介な問題の一つです。ブロックチェーンの特性により、一度資産が盗まれるとほぼ回収不可能であるため、暗号世界で安全知識を持つことは特に重要です。
最近、研究者はここ2ヶ月間に活発化した新しいフィッシング手法を発見しました。署名を行うだけで盗まれてしまい、手法は非常に巧妙で防ぐのが難しく、あるDEXでのやり取りを行ったアドレスはすべてリスクにさらされる可能性があります。この記事では、この署名フィッシング手法を分析し、より多くのユーザーが資産を失うのを防ぐための対策を講じます。
###イベント
最近、ユーザー(仮称小A)のウォレット資産が盗まれました。一般的な盗難方法とは異なり、小Aはプライベートキーを漏らさず、フィッシングサイトの契約とも相互作用していません。
ブロックチェーンブラウザを通じて、小Aのウォレットから盗まれたUSDTはTransfer From関数を通じて移動されたことが分かります。これは、この盗まれた資産が別のアドレスによって操作されて移動されたことを意味し、ウォレットの秘密鍵が漏洩したわけではありません。
取引の詳細が表示されます:
重要な問題は: 尾号fd51のアドレスがどのようにこの資産の権限を得たのか? なぜあるDEXと関係があるのか?
さらに調査したところ、小Aの資産を移転する前に、そのアドレスはPermit操作を行っており、これらの二つの操作の相互作用の対象は、あるDEXのPermit2契約であることがわかりました。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Permit2コントラクトは、あるDEXが2022年末に導入した新しいコントラクトです。これは、トークンの承認を異なるアプリケーション間で共有および管理することを可能にし、より統一され、コスト効率が高く、安全なユーザー体験を創出することを目的としています。ますます多くのプロジェクトがPermit2と統合されるにつれて、すべてのアプリケーションでのトークン承認の標準化を実現し、取引コストを削減してユーザー体験を改善し、同時にスマートコントラクトの安全性を向上させることが期待されています。
Permit2の導入は、DAppエコシステム全体のゲームルールを変える可能性があります。従来の方法では、ユーザーはDAppと資産を交互に操作するたびに個別に承認する必要がありました。しかし、Permit2があれば、ユーザーはTokenをPermit2コントラクトに承認するだけで、Permit2を統合したすべてのDAppがこの承認枠を共有でき、ユーザーのインタラクションコストが大幅に削減され、より良い体験をもたらします。
しかし、Permit2は両刃の剣でもあります。ユーザーの操作はオンチェーンのインタラクションからオフチェーンの署名に変わり、すべてのオンチェーン操作は中間役(のPermit2契約や統合プロジェクト)によって行われます。これによる利点は、ユーザーのウォレットにETHがなくても他のトークンでガスを支払ったり、中間役によって払い戻しを受けることができることです。しかし、オフチェーンの署名はユーザーが最も見落としやすい部分でもあり、大多数の人は署名内容を慎重に確認しないため、これが最も危険な点です。
###釣りのテクニックが繰り返される
このPermit2署名フィッシング手法を再現するには、まずフィッシングされたウォレットが特定のDEXのPermit2コントラクトにTokenを許可している必要があります。現在、Permit2と統合されたDAppまたは特定のDEXでスワップを行うには、Permit2コントラクトへの許可が必要です。
更に恐ろしいことに、Swapの金額に関わらず、あるDEXのPermit2契約はユーザーにそのTokenの全残高をデフォルトで承認させます。ウォレットはカスタム入力金額を提示しますが、多くの人は最大またはデフォルト値を直接選択するでしょう。そして、Permit2のデフォルト値は無制限の額です。
これは、2023年以降にあるDEXと相互作用し、Permit2契約に権限を与えた場合、このフィッシング目薬のリスクにさらされる可能性があることを意味します。
コアはPermit関数です。簡単に言うと、これはユーザーのウォレットを利用してPermit2コントラクトに与えられたTokenの限度額を他のアドレスに移転します。ハッカーがユーザーの署名を取得すれば、ユーザーのウォレット内のTokenの権限を持ち、資産を移転することができます。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
###注意事項
Permit2契約が将来的にさらに普及する可能性があるため、より多くのプロジェクトがそれを統合して権限の共有を行うことになります。効果的な防止手段には次のものが含まれます:
サイン内容を理解し認識する: Permitサインには通常、Owner、Spender、value、nonce、deadlineなどの重要な情報が含まれています。安全なプラグインを使用すると、認識に役立ちます。
資産ウォレットとインタラクティブウォレットの分離: 大量の資産はコールドウォレットに保管し、日常のインタラクティブウォレットには少量の資金のみを保持することをお勧めします。これにより、フィッシングに遭遇した際の損失を大幅に減らすことができます。
認可限度額の制限または認可のキャンセル: DEXでスワップする際、インタラクションに必要な金額のみを認可します。毎回再認可する必要があるためコストが増加しますが、Permit2署名のフィッシングリスクを回避できます。認可されたものは、安全プラグインを使用してキャンセルできます。
トークンがpermit機能をサポートしているかを確認する: 保有しているトークンがこの機能をサポートしているかを注視し、サポートしている場合は特に慎重になり、未知の署名を厳密にチェックする必要があります。
完璧な資産救済計画を策定する: 詐欺に遭った後、他のプラットフォームにトークンが残っている場合は、慎重に引き出して安全なアドレスに移動する必要があります。MEV転送を使用するか、専門のセキュリティチームの協力を求める必要があるかもしれません。ハッカーによる傍受を避けるためです。
今後、Permit2に基づくフィッシングがますます増加する可能性があります。この署名フィッシングの方法は非常に巧妙で防ぎにくく、Permit2の適用範囲が広がるにつれて、リスクにさらされるアドレスも増加します。読者がこれらの情報をより多くの人に広め、さらなる損失を避けることを願っています。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く