- Tópico
23k Popularidade
17k Popularidade
61k Popularidade
31k Popularidade
3k Popularidade
95k Popularidade
28k Popularidade
27k Popularidade
7k Popularidade
18k Popularidade
- Pino
23k Popularidade
17k Popularidade
61k Popularidade
31k Popularidade
3k Popularidade
95k Popularidade
28k Popularidade
27k Popularidade
7k Popularidade
18k Popularidade
Novo esquema de phishing com assinatura Permit2: usuários de um DEX devem estar atentos ao risco de roubo de ativos
Revelando a fraude de phishing com a assinatura Uniswap Permit2
Os hackers são uma presença temida no ecossistema Web3. Para as equipes de projeto, a característica de código aberto torna o desenvolvimento um campo minado, com medo de que um erro em uma linha de código possa deixar uma vulnerabilidade. Para usuários individuais, se não compreenderem o significado das operações em andamento, cada interação ou assinatura na blockchain pode resultar em roubo de ativos. Portanto, a questão da segurança sempre foi um dos problemas mais complicados no mundo das criptomoedas. Devido às características da blockchain, uma vez que os ativos são roubados, é praticamente impossível recuperá-los, por isso é especialmente importante dominar o conhecimento de segurança no mundo das criptomoedas.
Recentemente, pesquisadores descobriram uma nova técnica de phishing que começou a se tornar ativa nos últimos dois meses; basta assinar e os fundos podem ser roubados. A técnica é extremamente discreta e difícil de prevenir, e qualquer endereço que tenha interagido com algum DEX pode estar exposto ao risco. Este artigo analisará essa técnica de phishing por assinatura, a fim de evitar que mais usuários sofram perdas de ativos.
Descrição do Evento
Recentemente, os ativos da carteira de um usuário (, temporariamente chamado de pequeno A ), foram roubados. Ao contrário dos métodos comuns de roubo, pequeno A não revelou a chave privada nem interagiu com contratos de sites de phishing.
Através do explorador de blockchain, é possível ver que o USDT da carteira do Pequeno A foi transferido através da função Transfer From. Isso significa que este ativo roubado foi transferido por outro endereço, e não devido a uma violação da chave privada da carteira.
Detalhes da transação mostram:
A questão chave é: como o endereço com o final fd51 obteve a permissão para este ativo? Por que está relacionado a algum DEX?
Uma investigação adicional revelou que, antes da transferência dos ativos de A, o endereço também realizou uma operação de Permissão, e que ambos os objetos de interação dessas operações eram o contrato Permit2 de um DEX.
O contrato Permit2 é um novo contrato lançado por uma DEX no final de 2022. Ele permite a autorização de tokens para ser compartilhada e gerida em diferentes aplicações, com o objetivo de criar uma experiência de utilizador mais unificada, mais econômica e mais segura. Com cada vez mais projetos a integrar o Permit2, espera-se que ele normalize a aprovação de tokens em todas as aplicações, melhorando a experiência do utilizador ao reduzir os custos de transação, ao mesmo tempo que aumenta a segurança dos contratos inteligentes.
O lançamento do Permit2 pode mudar as regras do jogo para todo o ecossistema DApp. De forma tradicional, os usuários precisavam autorizar separadamente cada interação com ativos em DApps. Com o Permit2, os usuários só precisam autorizar os tokens ao contrato Permit2, e todos os DApps que integram o Permit2 podem compartilhar esse limite de autorização, reduzindo significativamente o custo de interação do usuário e proporcionando uma melhor experiência.
No entanto, o Permit2 também é uma faca de dois gumes. Ele transforma a interação do usuário de operações na cadeia para assinaturas fora da cadeia, e todas as operações na cadeia são realizadas por um intermediário (, como o contrato Permit2 e projetos integrados ). A vantagem disso é que, mesmo que a carteira do usuário não tenha ETH, ele pode pagar o Gas com outros Tokens ou ser reembolsado pelo intermediário. No entanto, a assinatura fora da cadeia é também a parte que os usuários mais facilmente ignoram, e a maioria das pessoas não verifica cuidadosamente o conteúdo da assinatura, o que é o ponto mais perigoso.
técnica de pesca reexibida
Para reproduzir essa técnica de phishing de assinatura Permit2, primeiro é necessário que a carteira de phishing tenha autorização de Token para um contrato Permit2 de algum DEX. Atualmente, para realizar um Swap em um DApp integrado com o Permit2 ou em algum DEX, é necessário autorizar o contrato Permit2.
O mais assustador é que, independentemente do valor do Swap, o contrato Permit2 de um certo DEX sempre permitirá que o usuário autorize o saldo total desse Token. Embora a carteira mostre um aviso para inserir um valor personalizado, a maioria das pessoas simplesmente escolherá o valor máximo ou o valor padrão, e o valor padrão do Permit2 é um limite infinito.
Isto significa que, desde que tenhas interagido com algum DEX após 2023 e autorizado o contrato Permit2, poderás estar exposto ao risco deste lavar os olhos.
O núcleo está na função Permit. Em termos simples, ela utiliza a carteira do usuário para transferir a quantia de Token autorizada ao contrato Permit2 para outros endereços. Assim que o hacker obtém a assinatura do usuário, pode obter a autorização dos Tokens na carteira do usuário e transferir os ativos.
medidas de prevenção
Considerando que o contrato Permit2 pode tornar-se mais popular no futuro, mais projetos o integrarão para compartilhar autorizações, as medidas eficazes de prevenção incluem:
Compreender e identificar o conteúdo da assinatura: A assinatura Permit geralmente contém informações chave como Owner, Spender, value, nonce e deadline. Utilizar plugins de segurança ajuda na identificação.
Separação entre carteira de ativos e carteira de interação: recomenda-se armazenar uma grande quantidade de ativos em uma carteira fria, mantendo apenas uma pequena quantia na carteira de interação, o que pode reduzir significativamente as perdas em caso de phishing.
Limitar o montante de autorização ou cancelar a autorização: Ao trocar no DEX, autorize apenas o montante necessário para a interacção. Embora a necessidade de reautorizar a cada vez aumente os custos, pode evitar o risco de phishing com a assinatura Permit2. A autorização já concedida pode ser cancelada utilizando um plugin de segurança.
Identificar se o token suporta a funcionalidade permit: preste atenção se o token que possui suporta esta funcionalidade; se suportar, deve ser especialmente cauteloso e verificar rigorosamente cada assinatura desconhecida.
Elaborar um plano de resgate de ativos: se houver tokens em outras plataformas após ser enganado, deve-se ter cautela ao retirar e transferir para um endereço seguro. Pode ser necessário usar transferências MEV ou procurar a assistência de uma equipe de segurança profissional para evitar a interceptação por hackers.
O phishing baseado no Permit2 pode tornar-se cada vez mais comum no futuro. Este método de phishing por assinatura é extremamente furtivo e difícil de prevenir, à medida que a aplicação do Permit2 se expande, o número de endereços expostos ao risco também aumentará. Espero que os leitores possam espalhar essas informações para mais pessoas, evitando que mais pessoas sofram perdas.