İmza Phishing Çaylak Yöntemi: Uniswap Permit2 Sözleşmesinin Yol Açtığı Güvenlik Tehditleri
Son zamanlarda, Uniswap Permit2 sözleşmesini kullanan yeni bir imza oltalama yöntemi aktif hale geldi ve bu yöntemin gizliliği ve zarar verme potansiyeli oldukça yüksek. Bu saldırı, mağdurun yalnızca bir kez imza atmasını gerektiriyor ve Uniswap ile daha önce etkileşimde bulunmuş olan adresler de risk altında.
Vaka Analizi
Son zamanlarda bir kullanıcı ( küçük A ) cüzdan varlıkları çalındı, ancak o özel anahtarını sızdırmamış veya şüpheli sözleşmelerle etkileşime girmemiş. Yapılan araştırmalar, çalınan USDT'nin Transfer From fonksiyonu aracılığıyla transfer edildiğini, yani bir üçüncü taraf adresinin varlıkları taşıdığını gösteriyor.
İleri analizde işlem detayları şunları buldu:
Bir ara adres, küçük A'nın varlıklarını başka bir adrese aktardı.
Bu işlem, Uniswap'ın Permit2 sözleşmesiyle etkileşimde bulunur.
Anahtar, bu ara adresin varlıkları transfer etmeden önce bir Permit işlemi gerçekleştirmesinde yatıyor, etkileşim nesnesi de Uniswap'ın Permit2 sözleşmesi.
Permit2 Sözleşmesi Tanıtımı
Uniswap Permit2, kullanıcıların farklı uygulamalar arasında token onayı paylaşmasına ve yönetmesine olanak tanıyan bir token onay sözleşmesidir. Bu, işlem maliyetlerini düşürüp kullanıcı deneyimini artırabilir. Ancak, yeni güvenlik riskleri de beraberinde getirmektedir.
Permit2 kullanıldığında, kullanıcıların işlemleri zincir dışı imza haline gelir, zincir üstü işlemler ise ara birimler tarafından gerçekleştirilir. Bu yöntem pratik olmasına rağmen, kullanıcıların imza sırasında dikkatlerini dağıtmalarına da neden olabilir.
Balık Tutma Yönteminin Yeniden Yapılandırılması
Mağdurlar önce Token'i Uniswap'ın Permit2 sözleşmesine ( genellikle tam yetki verecek şekilde yetkilendirmelidir ).
Hacker, kullanıcıyı masum görünen bir imza atmaya zorlar.
Hackerlar bu imzayı kullanarak Permit2 sözleşmesinin permit fonksiyonunu çağırarak kullanıcının Token'ının kullanım hakkını elde etti.
Hacker daha sonra transferFrom fonksiyonunu çağırarak Token'i alır.
Bu, 2023'ten sonra Uniswap ile etkileşimde bulunduysanız, bu tür bir riskle karşılaşabileceğiniz anlamına geliyor.
Önleme Önerileri
Permit imzasının formatını öğrenin, Owner, Spender, value, nonce ve deadline gibi alanları içerir.
Varlıklar ve etkileşim cüzdanı ayrık kullanılır
Permit2 sözleşmesi yetkilendirilirken yalnızca gerekli miktar yetkilendirilmelidir veya fazla yetkilendirme iptal edilmelidir.
Sahip olduğunuz tokenlerin permit fonksiyonunu destekleyip desteklemediğini öğrenin
Eğer çalındıktan sonra başka platformlarda hala varlık varsa, kapsamlı bir çekim planı oluşturulmalıdır.
Gelecekte Permit2 tabanlı oltalama saldırıları artabilir, bu yöntem son derece gizli ve savunulması zor. Herkesi dikkatli olmaya ve imza atarken temkinli olmaya çağırıyorum.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
8
Share
Comment
0/400
CrashHotline
· 07-18 13:40
Son zamanlarda neden takas yapmaktan çekindiğimi anlıyorum...
View OriginalReply0
ForkThisDAO
· 07-18 11:18
Hırsız bu numara çok kötü, imza çalabiliyor.
View OriginalReply0
TokenEconomist
· 07-16 11:52
aslında bu permit2 güvenlik açığı, defi'deki yanlış hizalanmış teşviklerin klasik bir örneğidir...
View OriginalReply0
TokenTaxonomist
· 07-15 15:20
istatistiksel olarak konuşursak, permit2 başka bir kriptografik yok olma olayına dönüşüyor... rip anon
View OriginalReply0
HackerWhoCares
· 07-15 15:19
Vay canına, böyle bir işlem de mi var? Artık imza atmaya cesaret edemiyorum.
View OriginalReply0
TokenSherpa
· 07-15 15:18
aslında oldukça endişe verici... permit2 açığı, onay mekanizmalarımızda temel kusurlar gösteriyor açıkçası
View OriginalReply0
GasBandit
· 07-15 14:58
Çok kötü, küçük A Rug Pull yaptı.
View OriginalReply0
SadMoneyMeow
· 07-15 14:56
Bir kez daha boşaltılan, çok kötü çok kötü çok kötü
Uniswap Permit2 sözleşmesi yeni bir imza phishing tehdidi ortaya çıkardı, varlık güvenliği dikkat edilmesi gereken bir konu.
İmza Phishing Çaylak Yöntemi: Uniswap Permit2 Sözleşmesinin Yol Açtığı Güvenlik Tehditleri
Son zamanlarda, Uniswap Permit2 sözleşmesini kullanan yeni bir imza oltalama yöntemi aktif hale geldi ve bu yöntemin gizliliği ve zarar verme potansiyeli oldukça yüksek. Bu saldırı, mağdurun yalnızca bir kez imza atmasını gerektiriyor ve Uniswap ile daha önce etkileşimde bulunmuş olan adresler de risk altında.
Vaka Analizi
Son zamanlarda bir kullanıcı ( küçük A ) cüzdan varlıkları çalındı, ancak o özel anahtarını sızdırmamış veya şüpheli sözleşmelerle etkileşime girmemiş. Yapılan araştırmalar, çalınan USDT'nin Transfer From fonksiyonu aracılığıyla transfer edildiğini, yani bir üçüncü taraf adresinin varlıkları taşıdığını gösteriyor.
İleri analizde işlem detayları şunları buldu:
Anahtar, bu ara adresin varlıkları transfer etmeden önce bir Permit işlemi gerçekleştirmesinde yatıyor, etkileşim nesnesi de Uniswap'ın Permit2 sözleşmesi.
Permit2 Sözleşmesi Tanıtımı
Uniswap Permit2, kullanıcıların farklı uygulamalar arasında token onayı paylaşmasına ve yönetmesine olanak tanıyan bir token onay sözleşmesidir. Bu, işlem maliyetlerini düşürüp kullanıcı deneyimini artırabilir. Ancak, yeni güvenlik riskleri de beraberinde getirmektedir.
Permit2 kullanıldığında, kullanıcıların işlemleri zincir dışı imza haline gelir, zincir üstü işlemler ise ara birimler tarafından gerçekleştirilir. Bu yöntem pratik olmasına rağmen, kullanıcıların imza sırasında dikkatlerini dağıtmalarına da neden olabilir.
Balık Tutma Yönteminin Yeniden Yapılandırılması
Mağdurlar önce Token'i Uniswap'ın Permit2 sözleşmesine ( genellikle tam yetki verecek şekilde yetkilendirmelidir ).
Hacker, kullanıcıyı masum görünen bir imza atmaya zorlar.
Hackerlar bu imzayı kullanarak Permit2 sözleşmesinin permit fonksiyonunu çağırarak kullanıcının Token'ının kullanım hakkını elde etti.
Hacker daha sonra transferFrom fonksiyonunu çağırarak Token'i alır.
Bu, 2023'ten sonra Uniswap ile etkileşimde bulunduysanız, bu tür bir riskle karşılaşabileceğiniz anlamına geliyor.
Önleme Önerileri
Permit imzasının formatını öğrenin, Owner, Spender, value, nonce ve deadline gibi alanları içerir.
Varlıklar ve etkileşim cüzdanı ayrık kullanılır
Permit2 sözleşmesi yetkilendirilirken yalnızca gerekli miktar yetkilendirilmelidir veya fazla yetkilendirme iptal edilmelidir.
Sahip olduğunuz tokenlerin permit fonksiyonunu destekleyip desteklemediğini öğrenin
Eğer çalındıktan sonra başka platformlarda hala varlık varsa, kapsamlı bir çekim planı oluşturulmalıdır.
Gelecekte Permit2 tabanlı oltalama saldırıları artabilir, bu yöntem son derece gizli ve savunulması zor. Herkesi dikkatli olmaya ve imza atarken temkinli olmaya çağırıyorum.