Uniswap Permit2 contrat déclenche une nouvelle menace de phishing par signature, la sécurité des actifs doit être vigilante.

Nouvelle méthode de phishing par signature : les risques de sécurité causés par le contrat Uniswap Permit2

Récemment, une nouvelle méthode de phishing par signature utilisant le contrat Uniswap Permit2 a commencé à se répandre, avec un niveau de dissimulation et de dangerosité très élevé. Cette attaque nécessite qu'une seule signature soit effectuée par la victime pour que des actifs puissent être volés, et toutes les adresses ayant déjà interagi avec Uniswap sont à risque.

Analyse de cas

Récemment, un utilisateur (, connu sous le nom de petit A ), a vu les actifs de son portefeuille volés, mais il n'a pas divulgué sa clé privée ni interagi avec un contrat suspect. L'enquête a révélé que le USDT volé a été transféré via la fonction Transfer From, ce qui indique que des actifs ont été déplacés par une adresse tierce.

Une analyse plus approfondie des détails de la transaction révèle :

  • Une adresse intermédiaire a transféré les actifs de petit A à une autre adresse
  • Cette opération interagit avec le contrat Permit2 d'Uniswap

La clé est que cette adresse intermédiaire a également effectué une opération de Permis avant de transférer des actifs, et l'objet d'interaction est également le contrat Permit2 d'Uniswap.

Signature volée ? Découvrez l'escroquerie de phishing de la signature Uniswap Permit2

Introduction au contrat Permit2

Uniswap Permit2 est un contrat d'approbation de jetons qui permet l'autorisation de partager et de gérer des jetons entre différentes applications, ce qui peut réduire les coûts de transaction et améliorer l'expérience utilisateur. Cependant, cela a également introduit de nouveaux risques de sécurité.

Lors de l'utilisation de Permit2, les opérations des utilisateurs deviennent des signatures hors chaîne, tandis que les opérations sur chaîne sont effectuées par un rôle intermédiaire. Bien que cette méthode soit pratique, elle peut également amener les utilisateurs à baisser leur vigilance lors de la signature.

Signature volée ? Découvrez l'escroquerie par phishing de la signature Uniswap Permit2

Restauration des techniques de pêche

  1. La victime doit d'abord autoriser le Token au contrat Permit2 d'Uniswap (, généralement pour une autorisation totale ).

  2. Les hackers incitent les utilisateurs à effectuer une signature apparemment inoffensive.

  3. Les hackers utilisent cette signature pour appeler la fonction permit du contrat Permit2, obtenant ainsi le droit d'utilisation des tokens de l'utilisateur.

  4. Le hacker appelle à nouveau la fonction transferFrom pour transférer le Token.

Cela signifie que si vous avez interagi avec Uniswap après 2023, vous pourriez être confronté à ce risque.

La signature volée ? Découvrez l'escroquerie de phishing par signature Uniswap Permit2

Signature volée ? Dévoilement de l'escroquerie de phishing Uniswap Permit2

Signature volée ? Dévoilement de l'escroquerie de phishing par signature Uniswap Permit2

Signature volée ? Découvrez l'escroquerie de phishing de signature Permit2 d'Uniswap

Signature volée ? Révélation sur l'escroquerie de phishing des signatures Uniswap Permit2

Signature volée ? Découvrez l'escroquerie de phishing par signature Uniswap Permit2

Vol de signature ? Découvrez l'escroquerie de phishing Uniswap Permit2

Signature volée ? Découvrez l'escroquerie de phishing des signatures Uniswap Permit2

Signature volée ? Dévoilement de l'escroquerie de phishing par signature Uniswap Permit2

Signature volée ? Découvrez l'escroquerie de phishing par signature Uniswap Permit2

Signature volée ? Découvrez l'escroquerie de phishing avec Uniswap Permit2

Signature volée ? Découvrez l'escroquerie de phishing via les signatures Uniswap Permit2

Signature volée ? Découvrez l'escroquerie de phishing par signature Uniswap Permit2

La signature a-t-elle été volée ? Découvrez l'escroquerie de phishing par signature Uniswap Permit2

La signature a été volée ? Dévoilement de l'escroquerie de phishing par signature Uniswap Permit2

Signature volée ? Dévoilement de l'escroquerie de phishing par signature Uniswap Permit2

Signature volée ? Dévoilement de l'escroquerie de phishing Uniswap Permit2

Signature volée ? Découvrez l'escroquerie de phishing par signature Uniswap Permit2

Signature volée ? Découvrez l'escroquerie de phishing Uniswap Permit2

Signature volée ? Découvrez l'escroquerie de phishing par signature Uniswap Permit2

Signature volée ? Dévoilement de l'escroquerie de phishing Uniswap Permit2

Signature volée ? Dévoilement de l'escroquerie de phishing Uniswap Permit2

Conseils de prévention

  1. Apprenez à reconnaître le format de signature du Permit, incluant les champs Owner, Spender, value, nonce et deadline.

  2. Séparation de l'utilisation des actifs et du portefeuille d'interaction

  3. Lors de l'autorisation du contrat Permit2, n'autorisez que le montant nécessaire ou annulez les autorisations excessives.

  4. Vérifiez si les jetons que vous détenez prennent en charge la fonction permit.

  5. Si des actifs sont toujours présents sur d'autres plateformes après un vol, il est nécessaire d'élaborer un plan de retrait complet.

À l'avenir, la pêche basée sur Permit2 pourrait devenir de plus en plus courante, cette méthode étant extrêmement discrète et difficile à prévenir. J'espère que tout le monde fera preuve de vigilance et signera avec prudence.

Signature volée ? Dévoilement de l'escroquerie de phishing Uniswap Permit2

UNI1.22%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • 8
  • Partager
Commentaire
0/400
CrashHotlinevip
· 07-18 13:40
Pas étonnant que je n'ose plus échanger récemment...
Voir l'originalRépondre0
ForkThisDAOvip
· 07-18 11:18
Ce tour de voleur est vraiment mal, il peut voler des signatures.
Voir l'originalRépondre0
TokenEconomistvip
· 07-16 11:52
en fait, cette vulnérabilité permit2 est un cas classique d'incitations mal alignées dans la defi...
Voir l'originalRépondre0
TokenTaxonomistvip
· 07-15 15:20
statistiquement parlant, permit2 est en train de se transformer en un autre événement d'extinction cryptographique... rip anon
Voir l'originalRépondre0
HackerWhoCaresvip
· 07-15 15:19
Oh là là, il y a vraiment ce genre d'opération ? Je n'ose plus signer.
Voir l'originalRépondre0
TokenSherpavip
· 07-15 15:18
en fait, c'est assez préoccupant... l'exploitation de permit2 montre des défauts fondamentaux dans nos mécanismes d'approbation, pour être honnête.
Voir l'originalRépondre0
GasBanditvip
· 07-15 14:58
C'est trop triste, petit A a fait un Rug Pull.
Voir l'originalRépondre0
SadMoneyMeowvip
· 07-15 14:56
Encore un autre vide, c'est terrible, terrible, terrible.
Voir l'originalRépondre0
  • Épingler
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)