Nouvelle méthode de phishing par signature : les risques de sécurité causés par le contrat Uniswap Permit2
Récemment, une nouvelle méthode de phishing par signature utilisant le contrat Uniswap Permit2 a commencé à se répandre, avec un niveau de dissimulation et de dangerosité très élevé. Cette attaque nécessite qu'une seule signature soit effectuée par la victime pour que des actifs puissent être volés, et toutes les adresses ayant déjà interagi avec Uniswap sont à risque.
Analyse de cas
Récemment, un utilisateur (, connu sous le nom de petit A ), a vu les actifs de son portefeuille volés, mais il n'a pas divulgué sa clé privée ni interagi avec un contrat suspect. L'enquête a révélé que le USDT volé a été transféré via la fonction Transfer From, ce qui indique que des actifs ont été déplacés par une adresse tierce.
Une analyse plus approfondie des détails de la transaction révèle :
Une adresse intermédiaire a transféré les actifs de petit A à une autre adresse
Cette opération interagit avec le contrat Permit2 d'Uniswap
La clé est que cette adresse intermédiaire a également effectué une opération de Permis avant de transférer des actifs, et l'objet d'interaction est également le contrat Permit2 d'Uniswap.
Introduction au contrat Permit2
Uniswap Permit2 est un contrat d'approbation de jetons qui permet l'autorisation de partager et de gérer des jetons entre différentes applications, ce qui peut réduire les coûts de transaction et améliorer l'expérience utilisateur. Cependant, cela a également introduit de nouveaux risques de sécurité.
Lors de l'utilisation de Permit2, les opérations des utilisateurs deviennent des signatures hors chaîne, tandis que les opérations sur chaîne sont effectuées par un rôle intermédiaire. Bien que cette méthode soit pratique, elle peut également amener les utilisateurs à baisser leur vigilance lors de la signature.
Restauration des techniques de pêche
La victime doit d'abord autoriser le Token au contrat Permit2 d'Uniswap (, généralement pour une autorisation totale ).
Les hackers incitent les utilisateurs à effectuer une signature apparemment inoffensive.
Les hackers utilisent cette signature pour appeler la fonction permit du contrat Permit2, obtenant ainsi le droit d'utilisation des tokens de l'utilisateur.
Le hacker appelle à nouveau la fonction transferFrom pour transférer le Token.
Cela signifie que si vous avez interagi avec Uniswap après 2023, vous pourriez être confronté à ce risque.
Conseils de prévention
Apprenez à reconnaître le format de signature du Permit, incluant les champs Owner, Spender, value, nonce et deadline.
Séparation de l'utilisation des actifs et du portefeuille d'interaction
Lors de l'autorisation du contrat Permit2, n'autorisez que le montant nécessaire ou annulez les autorisations excessives.
Vérifiez si les jetons que vous détenez prennent en charge la fonction permit.
Si des actifs sont toujours présents sur d'autres plateformes après un vol, il est nécessaire d'élaborer un plan de retrait complet.
À l'avenir, la pêche basée sur Permit2 pourrait devenir de plus en plus courante, cette méthode étant extrêmement discrète et difficile à prévenir. J'espère que tout le monde fera preuve de vigilance et signera avec prudence.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
8
Partager
Commentaire
0/400
CrashHotline
· 07-18 13:40
Pas étonnant que je n'ose plus échanger récemment...
Voir l'originalRépondre0
ForkThisDAO
· 07-18 11:18
Ce tour de voleur est vraiment mal, il peut voler des signatures.
Voir l'originalRépondre0
TokenEconomist
· 07-16 11:52
en fait, cette vulnérabilité permit2 est un cas classique d'incitations mal alignées dans la defi...
Voir l'originalRépondre0
TokenTaxonomist
· 07-15 15:20
statistiquement parlant, permit2 est en train de se transformer en un autre événement d'extinction cryptographique... rip anon
Voir l'originalRépondre0
HackerWhoCares
· 07-15 15:19
Oh là là, il y a vraiment ce genre d'opération ? Je n'ose plus signer.
Voir l'originalRépondre0
TokenSherpa
· 07-15 15:18
en fait, c'est assez préoccupant... l'exploitation de permit2 montre des défauts fondamentaux dans nos mécanismes d'approbation, pour être honnête.
Voir l'originalRépondre0
GasBandit
· 07-15 14:58
C'est trop triste, petit A a fait un Rug Pull.
Voir l'originalRépondre0
SadMoneyMeow
· 07-15 14:56
Encore un autre vide, c'est terrible, terrible, terrible.
Uniswap Permit2 contrat déclenche une nouvelle menace de phishing par signature, la sécurité des actifs doit être vigilante.
Nouvelle méthode de phishing par signature : les risques de sécurité causés par le contrat Uniswap Permit2
Récemment, une nouvelle méthode de phishing par signature utilisant le contrat Uniswap Permit2 a commencé à se répandre, avec un niveau de dissimulation et de dangerosité très élevé. Cette attaque nécessite qu'une seule signature soit effectuée par la victime pour que des actifs puissent être volés, et toutes les adresses ayant déjà interagi avec Uniswap sont à risque.
Analyse de cas
Récemment, un utilisateur (, connu sous le nom de petit A ), a vu les actifs de son portefeuille volés, mais il n'a pas divulgué sa clé privée ni interagi avec un contrat suspect. L'enquête a révélé que le USDT volé a été transféré via la fonction Transfer From, ce qui indique que des actifs ont été déplacés par une adresse tierce.
Une analyse plus approfondie des détails de la transaction révèle :
La clé est que cette adresse intermédiaire a également effectué une opération de Permis avant de transférer des actifs, et l'objet d'interaction est également le contrat Permit2 d'Uniswap.
Introduction au contrat Permit2
Uniswap Permit2 est un contrat d'approbation de jetons qui permet l'autorisation de partager et de gérer des jetons entre différentes applications, ce qui peut réduire les coûts de transaction et améliorer l'expérience utilisateur. Cependant, cela a également introduit de nouveaux risques de sécurité.
Lors de l'utilisation de Permit2, les opérations des utilisateurs deviennent des signatures hors chaîne, tandis que les opérations sur chaîne sont effectuées par un rôle intermédiaire. Bien que cette méthode soit pratique, elle peut également amener les utilisateurs à baisser leur vigilance lors de la signature.
Restauration des techniques de pêche
La victime doit d'abord autoriser le Token au contrat Permit2 d'Uniswap (, généralement pour une autorisation totale ).
Les hackers incitent les utilisateurs à effectuer une signature apparemment inoffensive.
Les hackers utilisent cette signature pour appeler la fonction permit du contrat Permit2, obtenant ainsi le droit d'utilisation des tokens de l'utilisateur.
Le hacker appelle à nouveau la fonction transferFrom pour transférer le Token.
Cela signifie que si vous avez interagi avec Uniswap après 2023, vous pourriez être confronté à ce risque.
Conseils de prévention
Apprenez à reconnaître le format de signature du Permit, incluant les champs Owner, Spender, value, nonce et deadline.
Séparation de l'utilisation des actifs et du portefeuille d'interaction
Lors de l'autorisation du contrat Permit2, n'autorisez que le montant nécessaire ou annulez les autorisations excessives.
Vérifiez si les jetons que vous détenez prennent en charge la fonction permit.
Si des actifs sont toujours présents sur d'autres plateformes après un vol, il est nécessaire d'élaborer un plan de retrait complet.
À l'avenir, la pêche basée sur Permit2 pourrait devenir de plus en plus courante, cette méthode étant extrêmement discrète et difficile à prévenir. J'espère que tout le monde fera preuve de vigilance et signera avec prudence.