تقنية جديدة لصيد الأسماك بالتوقيع: المخاطر الأمنية الناجمة عن عقد Uniswap Permit2
في الفترة الأخيرة، بدأت طريقة جديدة للاحتيال باستخدام عقد Uniswap Permit2 النشط، والتي تتميز بخفائها وضررها العالي. هذه الهجمة تتطلب من الضحية إجراء توقيع واحد فقط، مما قد يؤدي إلى سرقة الأصول، كما أن جميع العناوين التي تفاعلت سابقًا مع Uniswap معرضة للخطر.
تحليل الحالة
مؤخراً، تم سرقة أصول المحفظة للمستخدم (小A)، لكنه لم يكشف عن المفتاح الخاص أو يتفاعل مع عقود مشبوهة. كشفت التحقيقات أن USDT المسروق تم نقله عبر دالة Transfer From، مما يدل على أن الأصول تم نقلها بواسطة عنوان طرف ثالث.
عند تحليل تفاصيل الصفقة بشكل أعمق:
عنوان وسيط نقل أصول A الصغيرة إلى عنوان آخر
هذه العملية تتفاعل مع عقد Permit2 الخاص بـ Uniswap
المفتاح هو أن عنوان الوسطى قام بعملية إذن قبل نقل الأصول، وكان كائن التفاعل هو أيضًا عقد إذن Uniswap 2.
مقدمة عقد Permit2
Uniswap Permit2 هو عقد موافقة الرموز، يسمح بتفويض الرموز للمشاركة والإدارة بين تطبيقات مختلفة، مما يمكن أن يقلل من تكاليف المعاملات، ويحسن تجربة المستخدم. لكنه أيضًا يجلب مخاطر أمان جديدة.
عند استخدام Permit2، تصبح عمليات المستخدم توقيعات خارج السلسلة، وتتم العمليات على السلسلة من قبل طرف ثالث. على الرغم من أن هذه الطريقة مريحة، إلا أنها قد تجعل المستخدمين أكثر إهمالًا أثناء التوقيع.
استعادة أساليب الصيد
يجب على الضحية أولاً تفويض الرمز المميز للعقد Permit2 الخاص بـ Uniswap ( عادةً ما يكون التفويض كاملاً )
يقوم القراصنة بتحفيز المستخدمين على إجراء توقيع يبدو بلا ضرر.
استخدم الهاكر هذا التوقيع لاستدعاء دالة permit في عقد Permit2، للحصول على حق استخدام توكنات المستخدم.
يقوم الهاكر باستدعاء دالة transferFrom لنقل التوكن
هذا يعني أنه إذا كنت قد تفاعلت مع Uniswap بعد عام 2023، فقد تواجه هذه المخاطر.
! [التوقيع مسروق؟] إزالة الغموض عن عملية احتيال التصيد الاحتيالي Uniswap Permit2](https://img-cdn.gateio.im/webp-social/moments-fad2e7cbe2aaf3d695362fca4640ff4f.webp)
نصائح للوقاية
تعلم كيفية التعرف على تنسيق توقيع Permit، والذي يتضمن حقول Owner و Spender و value و nonce و deadline.
فصل الأصول عن استخدام محفظة التفاعل
عند تفويض عقد Permit2، قم بتفويض المبلغ المطلوب فقط، أو ألغِ التفويض الزائد.
معرفة ما إذا كانت الرموز التي تمتلكها تدعم وظيفة التصريح
إذا كان هناك أصول في منصات أخرى بعد السرقة، يجب وضع خطة سحب كاملة.
في المستقبل، قد تزداد حالات الصيد القائمة على Permit2، فهذه الطريقة شديدة الخفاء وصعبة الحماية، نأمل أن يزيد الجميع من يقظتهم ويتوخى الحذر عند التوقيع.
! [التوقيع مسروق؟] إزالة الغموض عن عملية احتيال التصيد الاحتيالي Uniswap Permit2](https://img-cdn.gateio.im/webp-social/moments-1a57d7d1db3a8e31c46432f068871722.webp)
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 16
أعجبني
16
8
مشاركة
تعليق
0/400
CrashHotline
· 07-18 13:40
لا عجب أنني لم أجرؤ على التبادل مؤخرًا...
شاهد النسخة الأصليةرد0
ForkThisDAO
· 07-18 11:18
اللص هذه الحيلة سيئة للغاية يمكنه سرقة التوقيع
شاهد النسخة الأصليةرد0
TokenEconomist
· 07-16 11:52
في الواقع، تعتبر ثغرة permit2 هذه حالة كلاسيكية من حوافز غير متوافقة في التمويل اللامركزي...
شاهد النسخة الأصليةرد0
TokenTaxonomist
· 07-15 15:20
من الناحية الإحصائية، يبدو أن permit2 يتحول إلى حدث انقراض تشفيري آخر... ارقد بسلام يا مجهول
شاهد النسخة الأصليةرد0
HackerWhoCares
· 07-15 15:19
يا إلهي، هل يوجد مثل هذا الإجراء؟ لم أعد أجرؤ على التوقيع.
شاهد النسخة الأصليةرد0
TokenSherpa
· 07-15 15:18
في الحقيقة، الأمر مقلق للغاية... استغلال permit2 يظهر عيوبًا أساسية في آليات الموافقة لدينا بصراحة
تهديد جديد للتصيد الاحتيالي بواسطة توقيع عقد Uniswap Permit2 يجب أن نكون حذرين بشأن أمان الأصول
تقنية جديدة لصيد الأسماك بالتوقيع: المخاطر الأمنية الناجمة عن عقد Uniswap Permit2
في الفترة الأخيرة، بدأت طريقة جديدة للاحتيال باستخدام عقد Uniswap Permit2 النشط، والتي تتميز بخفائها وضررها العالي. هذه الهجمة تتطلب من الضحية إجراء توقيع واحد فقط، مما قد يؤدي إلى سرقة الأصول، كما أن جميع العناوين التي تفاعلت سابقًا مع Uniswap معرضة للخطر.
تحليل الحالة
مؤخراً، تم سرقة أصول المحفظة للمستخدم (小A)، لكنه لم يكشف عن المفتاح الخاص أو يتفاعل مع عقود مشبوهة. كشفت التحقيقات أن USDT المسروق تم نقله عبر دالة Transfer From، مما يدل على أن الأصول تم نقلها بواسطة عنوان طرف ثالث.
عند تحليل تفاصيل الصفقة بشكل أعمق:
المفتاح هو أن عنوان الوسطى قام بعملية إذن قبل نقل الأصول، وكان كائن التفاعل هو أيضًا عقد إذن Uniswap 2.
مقدمة عقد Permit2
Uniswap Permit2 هو عقد موافقة الرموز، يسمح بتفويض الرموز للمشاركة والإدارة بين تطبيقات مختلفة، مما يمكن أن يقلل من تكاليف المعاملات، ويحسن تجربة المستخدم. لكنه أيضًا يجلب مخاطر أمان جديدة.
عند استخدام Permit2، تصبح عمليات المستخدم توقيعات خارج السلسلة، وتتم العمليات على السلسلة من قبل طرف ثالث. على الرغم من أن هذه الطريقة مريحة، إلا أنها قد تجعل المستخدمين أكثر إهمالًا أثناء التوقيع.
استعادة أساليب الصيد
يجب على الضحية أولاً تفويض الرمز المميز للعقد Permit2 الخاص بـ Uniswap ( عادةً ما يكون التفويض كاملاً )
يقوم القراصنة بتحفيز المستخدمين على إجراء توقيع يبدو بلا ضرر.
استخدم الهاكر هذا التوقيع لاستدعاء دالة permit في عقد Permit2، للحصول على حق استخدام توكنات المستخدم.
يقوم الهاكر باستدعاء دالة transferFrom لنقل التوكن
هذا يعني أنه إذا كنت قد تفاعلت مع Uniswap بعد عام 2023، فقد تواجه هذه المخاطر.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp)
! [التوقيع مسروق؟] إزالة الغموض عن Uniswap Permit2 Signature Phishing Scam](https://img-cdn.gateio.im/webp-social/moments-c2d0bc61729aaca413737ac667eaf7d5.webp)
! [التوقيع مسروق؟] إزالة الغموض عن عملية احتيال التصيد الاحتيالي Uniswap Permit2](https://img-cdn.gateio.im/webp-social/moments-f72c38a16e315ce33b8cc5567854f5c6.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-4fdf03afb062f8f5d531cca3cd6330cc.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-dc94f3781aa7b30ba08a99ee827ca2e3.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-1ce5ef8966b9fc2d1101ba341faad70d.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-3c5d855a6c3bc51a57a4a17fe28b2657.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-c1e00cf62c806e99c4188dfa650090ce.webp)
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-f73fcbe800aa7dff3ff10fd19fef5dcd.webp)
! [التوقيع مسروق؟] إزالة الغموض عن عملية احتيال التصيد الاحتيالي Uniswap Permit2](https://img-cdn.gateio.im/webp-social/moments-fad2e7cbe2aaf3d695362fca4640ff4f.webp)
نصائح للوقاية
تعلم كيفية التعرف على تنسيق توقيع Permit، والذي يتضمن حقول Owner و Spender و value و nonce و deadline.
فصل الأصول عن استخدام محفظة التفاعل
عند تفويض عقد Permit2، قم بتفويض المبلغ المطلوب فقط، أو ألغِ التفويض الزائد.
معرفة ما إذا كانت الرموز التي تمتلكها تدعم وظيفة التصريح
إذا كان هناك أصول في منصات أخرى بعد السرقة، يجب وضع خطة سحب كاملة.
في المستقبل، قد تزداد حالات الصيد القائمة على Permit2، فهذه الطريقة شديدة الخفاء وصعبة الحماية، نأمل أن يزيد الجميع من يقظتهم ويتوخى الحذر عند التوقيع.
! [التوقيع مسروق؟] إزالة الغموض عن عملية احتيال التصيد الاحتيالي Uniswap Permit2](https://img-cdn.gateio.im/webp-social/moments-1a57d7d1db3a8e31c46432f068871722.webp)