Раскрытие мошенничества с подделкой подписей Permit2 Uniswap

Хакеры являются устрашающим присутствием в экосистеме Web3. Для проектов открытый код создает чувство опасности при разработке, так как они боятся, что ошибка в одной строке кода может оставить уязвимость. Для индивидуальных пользователей, если они не понимают смысл происходящих операций, каждое взаимодействие или подписание в цепочке может привести к краже активов. Поэтому проблемы безопасности всегда были одной из самых сложных проблем в мире криптовалют. Из-за особенностей блокчейна, как только активы украдены, их практически невозможно вернуть, поэтому обладание знаниями о безопасности в мире криптовалют особенно важно.

Недавно исследователи обнаружили новый тип фишинга, который стал активен всего за последние два месяца. Достаточно подписать, и средства будут украдены; метод крайне скрытный и сложно предотвратить, и адреса, которые взаимодействовали с каким-либо DEX, могут быть подвержены риску. Эта статья проанализирует этот метод фишинга через подписи, чтобы избежать дополнительных потерь активов для пользователей.

Ход событий

Недавно один пользователь (, условно называемый Маленький А, обнаружил, что активы его кошелька были украдены. В отличие от распространенных способов кражи, Маленький А не раскрыл свой приватный ключ и не взаимодействовал с контрактами фишинговых сайтов.

С помощью блокчейн-браузера можно увидеть, что украденный USDT из кошелька маленького A был переведен с помощью функции Transfer From. Это означает, что этот украденный актив был переведен другим адресом, а не в результате утечки закрытого ключа кошелька.

Детали транзакции показывают:

• Адрес, оканчивающийся на fd51, перевел активы маленького A на адрес, оканчивающийся на a0c8.
• Эта операция взаимодействует с контрактом Permit2 от某DEX.

Ключевой вопрос: как адрес с окончанием fd51 получил права на этот актив? Почему это связано с каким-то DEX?

Дальнейшее расследование показало, что перед передачей активов маленького А этот адрес также выполнил операцию Permit, и оба этих действия взаимодействовали с контрактом Permit2 на одном DEX.

![Подписали и вас обокрали? Раскрытие фишинга с подписанием Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(

Контракт Permit2 — это новый контракт, который был запущен некоторой DEX в конце 2022 года. Он позволяет авторизовать токены для совместного использования и управления в различных приложениях, нацеливаясь на создание более единообразного, более экономически эффективного и более безопасного пользовательского опыта. Поскольку все больше проектов интегрируются с Permit2, ожидается, что он позволит стандартизировать одобрения токенов во всех приложениях, улучшая пользовательский опыт за счет снижения транзакционных издержек и одновременно повышая безопасность смарт-контрактов.

Запуск Permit2 может изменить правила игры во всей экосистеме DApp. При традиционном подходе пользователям необходимо отдельно авторизовывать каждое взаимодействие с активами в DApp. С Permit2 пользователям достаточно авторизовать токены для контракта Permit2, и все DApp, интегрированные с Permit2, могут делиться этой авторизацией, что значительно снижает затраты на взаимодействие пользователей и обеспечивает лучший опыт.

Однако Permit2 также является двусторонним мечом. Он переводит операции пользователей с on-chain взаимодействия на off-chain подпись, все on-chain операции выполняются промежуточными ролями ), такими как контракт Permit2 и интегрированные проекты (. Преимуществом этого является то, что даже если в кошельке пользователя нет ETH, он может платить Gas другими токенами или быть возмещенным промежуточной ролью. Но off-chain подпись также является наиболее легко игнорируемым этапом для пользователей, большинство людей не будут внимательно проверять содержание подписи, и именно здесь заключается наибольшая опасность.

) Способы рыбалки вновь представлены

Чтобы воспроизвести этот метод фишинга с подписью Permit2, сначала необходимо, чтобы кошелек жертвы предоставил токен разрешения какому-либо DEX-контракту Permit2. В настоящее время для выполнения Swap на DApp, интегрированном с Permit2, или на каком-либо DEX требуется разрешение на контракт Permit2.

Более того, независимо от суммы Swap, контракт Permit2 на одном из DEX автоматически позволяет пользователям разрешать использование всего баланса токена. Хотя кошелек предлагает ввести пользовательскую сумму, большинство людей просто выбирают максимальное или значение по умолчанию, а значение по умолчанию для Permit2 - это неограниченный лимит.

Это означает, что, если вы взаимодействовали с каким-либо DEX после 2023 года и предоставили разрешение контракту Permit2, вы можете быть подвергнуты риску этого промывания глаз.

Суть заключается в функции Permit. Проще говоря, она использует кошелек пользователя для передачи разрешенных токенов от контракта Permit2 на другие адреса. Хакер, получив подпись пользователя, может получить доступ к токенам в кошельке пользователя и перевести активы.

![Подпись была украдена? Раскрытие мошенничества с подписанием Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(

) меры предосторожности

Учитывая, что контракт Permit2 может стать более популярным в будущем, и больше проектов будет интегрировать его для авторизации и обмена, эффективные меры предосторожности включают:

1. Понимание и распознавание содержания подписи: Подпись Permit обычно содержит ключевую информацию, такую как Owner, Spender, value, nonce и deadline. Использование безопасных плагинов помогает в распознавании.

2. Разделение кошелька для активов и интерактивного кошелька: рекомендуется хранить значительные активы в холодном кошельке, а в повседневном интерактивном кошельке оставлять лишь небольшую сумму, что может значительно уменьшить потери при столкновении с промыванием глаз.

3. Ограничение суммы авторизации или отмена авторизации: при обмене на DEX авторизуйте только необходимую для взаимодействия сумму. Хотя необходимость повторной авторизации каждый раз увеличивает затраты, это может избежать риска фишинга на подписи Permit2. Уже авторизованные можно отменить с помощью безопасного плагина.

4. Определите, поддерживает ли токен функцию permit: обратите внимание на то, поддерживает ли держимый токен эту функцию; если поддерживает, необходимо быть особенно осторожным и тщательно проверять каждую неизвестную подпись.

5. Разработать完善ный план спасения активов: если после обмана остались токены на других платформах, необходимо осторожно вывести и перевести их на безопасный адрес. Возможно, потребуется использовать MEV для перевода или обратиться за помощью к профессиональной команде безопасности, чтобы избежать перехвата хакерами.

В будущем случаи рыбалки на основе Permit2 могут стать все более распространенными. Этот способ подписания рыбалки чрезвычайно скрытен и труден для предотвращения. С расширением области применения Permit2 также увеличится количество адресов, подверженных риску. Надеюсь, читатели смогут распространить эту информацию среди большего числа людей, чтобы избежать потерь для большего числа людей.

![Подписка была украдена? Разоблачение схемы фишинга Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(

![Подпись была украдена? Раскрытие мошенничества с фишингом подписей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(

![Подписка и кража? Раскрываем мошенничество с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(

![Подписываешься и тебя крадут? Раскрываем мошенничество с фишингом подписей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(

![Подпись была украдена? Раскрытие схемы фишинга подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(

![Подпись была украдена? Раскрытие мошенничества с фишингом подписей Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(

![Подписываете и вас крадут? Раскрываем схему промывания глаз с подписью Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-c2d0bc61729aaca413737ac667eaf7d5.webp(

![Подписываешь и тебя обворовывают? Раскрываем промывание глаз с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f72c38a16e315ce33b8cc5567854f5c6.webp(

![Подпись была украдена? Раскрытие мошенничества с фишингом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-4fdf03afb062f8f5d531cca3cd6330cc.webp(

![Подпись была украдена? Раскрытие схемы фишинга Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-dc94f3781aa7b30ba08a99ee827ca2e3.webp(

![Подписали и украли? Раскрываем схему фишинга с подписанием Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-47d14fc32e8b79f43a5a64146a1b355a.webp(

![Подписка будет украдена? Раскрываем мошенничество с рыбалкой за подписью Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1ce5ef8966b9fc2d1101ba341faad70d.webp(

![Подписал и был обманут? Раскрытие мошенничества с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3c5d855a6c3bc51a57a4a17fe28b2657.webp(

![Подписали и вас ограбили? Раскрываем мошенничество с фишингом на подписях Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-c1e00cf62c806e99c4188dfa650090ce.webp(

![Подписка была украдена? Разоблачение промывания глаз с помощью Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-b80025f211f7c0ef6371b6bd1a309ebc.webp(

![Подпись была украдена? Раскрытие фишинга с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1b868982a90873ccc2af4ad8c5e4f1ff.webp(

![Подписали и украли? Раскрытие схемы фишинга Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd.webp(

![Подпись украдена? Раскрытие схемы фишинга на подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-3213312ac0a792dabb27109da5084835.webp(

![Подписка украдена? Раскрытие промывания глаз с помощью Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-fad2e7cbe2aaf3d695362fca4640ff4f.webp(

![Подписываясь, вы можете быть ограблены? Раскрытие схемы фишинга с подписью Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0030f2fe9e740084b05db9e08c389be7.webp(

![Подпись и кража? Раскрытие мошенничества с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-9e636d675ee5c6c6e57ed6022fce956a.webp(

![Подпись будет украдена? Раскрытие фишинга с использованием подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-8961f519f6452dbcd4876e0135b0cb64.webp(

![Подпись была украдена? Раскрытие мошенничества с фишингом подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-1a57d7d1db3a8e31c46432f068871722.webp(