Dévoiler le piège de phishing de signature Permit2 d'Uniswap
Les hackers sont une présence redoutée dans l'écosystème Web3. Pour les équipes de projet, le code source ouvert les rend nerveux, craignant qu'une ligne de code erronée n'ouvre une faille. Pour les utilisateurs individuels, chaque interaction ou signature sur la chaîne peut entraîner le vol d'actifs. Par conséquent, les problèmes de sécurité ont toujours été l'un des points sensibles du monde des cryptomonnaies. En raison des caractéristiques de la blockchain, il est presque impossible de récupérer des actifs volés, il est donc particulièrement important de posséder des connaissances en matière de sécurité.
Récemment, un chercheur a découvert une nouvelle technique de phishing qui peut entraîner le vol d'actifs simplement en signant. Cette méthode est extrêmement discrète et difficile à prévenir, et toutes les adresses ayant interagi avec une certaine plateforme de trading peuvent être exposées à des risques. Cet article vise à sensibiliser sur cette technique de phishing par signature afin de minimiser les pertes d'actifs.
déroulement de l'événement
Récemment, un ami ( Xiao A ) a eu ses actifs de portefeuille volés. Contrairement aux méthodes de vol courantes, Xiao A n'a pas divulgué de clé privée et n'a pas interagi avec un contrat de site de phishing.
Le navigateur de blockchain montre que les USDT dans le portefeuille de Xiao A ont été transférés par la fonction Transfer From. Cela signifie qu'une autre adresse a opéré le transfert du Token, et non que la clé privée du portefeuille a été compromise.
Les détails de la transaction révèlent des indices clés :
Une adresse transfère les actifs de Petit A à une autre adresse
Cette opération interagit avec le contrat Permit2 d'une plateforme de trading.
Le problème est de savoir comment cette adresse a obtenu des droits d'actifs ? Pourquoi est-elle liée à une certaine plateforme de trading ?
Pour appeler la fonction Transfer From, le prérequis est que l'appelant doit avoir l'autorisation de montant de Token (approve). Avant de transférer les actifs de A, une opération Permit a également été effectuée, les deux opérations interagissant avec le contrat Permit2 d'une certaine plateforme de trading.
Permit2 est un nouveau contrat lancé par une plateforme de trading à la fin de 2022, permettant l'autorisation de tokens pour le partage de la gestion entre différentes applications, dans le but de créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée. Avec l'intégration de plus de projets, Permit2 devrait permettre la normalisation des approbations de tokens dans toutes les applications, réduisant ainsi les coûts de transaction et améliorant la sécurité des contrats intelligents.
Le lancement de Permit2 pourrait changer les règles de l'écosystème Dapp. Avec la méthode traditionnelle, les utilisateurs doivent autoriser chaque interaction avec le Dapp, tandis que Permit2 permet de sauter cette étape, réduisant ainsi efficacement le coût des interactions pour les utilisateurs. Permit2 agit en tant qu'intermédiaire entre l'utilisateur et le Dapp, l'utilisateur n'ayant qu'à autoriser le contrat Permit2, tous les Dapp intégrant ce contrat pouvant partager le quota d'autorisation.
Cependant, c'est également une arme à double tranchant. Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations sur la chaîne étant effectuées par un intermédiaire. Cela signifie que même si le portefeuille de l'utilisateur n'a pas d'ETH, il peut utiliser d'autres tokens pour payer les frais de gas ou être remboursé par un intermédiaire. Mais la signature hors chaîne est également l'étape que les utilisateurs ont le plus tendance à négliger, la plupart des gens ne vérifiant pas attentivement le contenu de la signature.
Pour utiliser cette méthode de phishing, la condition clé est que le portefeuille ciblé doit avoir autorisé le Token au contrat Permit2. Actuellement, il suffit de réaliser un échange sur une Dapp intégrant Permit2 ou sur une plateforme d'échange, ce qui nécessite d'autoriser le contrat Permit2.
Ce qui est encore plus effrayant, c'est que peu importe le montant du Swap, le contrat Permit2 autorisera par défaut l'utilisateur à autoriser l'intégralité du solde de ce Token. Bien que le portefeuille propose une saisie personnalisée du montant, la plupart des gens choisiront probablement directement la valeur maximale ou par défaut, et la valeur par défaut de Permit2 est un montant illimité.
Cela signifie que, tant qu'il y a eu une interaction avec une plateforme de trading après 2023 et que vous avez autorisé le contrat Permit2, vous pourriez être confronté à ce risque de eyewash.
L'accent est mis sur la fonction Permit, qui permet de transférer le quota de jetons autorisé par l'utilisateur au contrat Permit2 vers d'autres adresses. Un hacker peut obtenir la signature de l'utilisateur et ainsi obtenir les droits sur les jetons dans le portefeuille de l'utilisateur et transférer des actifs.
Analyse détaillée des événements
La fonction Permit permet aux utilisateurs de signer à l'avance un "contrat", autorisant un autre (spender) à utiliser une certaine quantité de jetons à l'avenir. L'utilisateur doit fournir une preuve de signature de l'authenticité du "contrat".
Flux de travail de la fonction:
Vérifiez si l'heure actuelle a dépassé la période de validité de la signature
Vérifier l'authenticité de la signature
Si l'inspection est réussie, mettre à jour l'enregistrement pour permettre à d'autres d'utiliser les jetons
L'accent est mis sur la fonction verify et la fonction _updateApproval.
La fonction verify récupère les trois données v, r, s à partir des informations de signature, utilisées pour restaurer l'adresse de signature de la transaction. Le contrat compare l'adresse restaurée avec l'adresse du propriétaire du jeton passée en paramètre ; si elles sont identiques, la vérification est réussie.
La fonction _updateApproval met à jour la valeur d'autorisation après vérification de la signature, ce qui signifie qu'il y a un transfert de droits. À ce moment-là, la partie autorisée peut appeler la fonction transferfrom pour transférer des jetons à l'adresse spécifiée.
Transactions réelles sur la chaîne :
owner est l'adresse du portefeuille de petit A
Les détails contiennent des informations telles que l'adresse du contrat de token autorisé et le montant.
Spender est l'adresse du hacker
sigDeadline est la durée de validité de la signature, signature est l'information de signature de Xiao A
En examinant l'enregistrement d'interaction de Xiao A, il a été constaté qu'il avait précédemment cliqué sur le montant d'autorisation par défaut sur une certaine plateforme de trading, c'est-à-dire un montant presque illimité.
Récapitulatif simple : Le petit A avait auparavant autorisé un montant illimité de USDT à Permit2, puis est malheureusement tombé dans un piège de phishing par signature conçu par des hackers. Après avoir obtenu la signature, les hackers ont effectué des opérations de Permit et de Transfer From dans le contrat Permit2, transférant ainsi les actifs du petit A. Actuellement, le contrat Permit2 semble être devenu un paradis pour les pêcheurs, ce type de phishing ayant commencé à être actif il y a environ deux mois.
Comment se prémunir?
Considérant que le contrat Permit2 pourrait devenir plus courant à l'avenir, davantage de projets ou d'intégrations procéderont à des partages d'autorisation, les moyens de prévention efficaces incluent :
Comprendre et identifier le contenu de la signature :
Le format de signature Permit contient généralement des informations clés telles que Owner, Spender, value, nonce et deadline. Pour profiter de la commodité de Permit2, il est essentiel d'apprendre à reconnaître ce type de format de signature. L'utilisation de plugins de sécurité est un bon choix.
Séparation du portefeuille d'actifs et du portefeuille d'interaction:
Il est conseillé de stocker une grande quantité d'actifs dans un portefeuille froid, tandis que le portefeuille d'interaction sur la chaîne ne doit conserver qu'une petite quantité de fonds, ce qui peut réduire considérablement les pertes en cas de phishing.
Limiter le montant d'autorisation ou annuler l'autorisation :
Lors de l'échange sur une plateforme de trading, n'autorisez que le montant nécessaire à l'interaction. Bien que le fait de devoir réautoriser à chaque interaction augmente les coûts, cela permet d'éviter le risque de phishing des signatures Permit2. Les utilisateurs autorisés peuvent annuler l'autorisation via un plugin de sécurité.
Identifier la nature des jetons, prêter attention à la prise en charge de la fonction permit :
À l'avenir, il pourrait y avoir plus de jetons ERC20 qui réalisent la fonction permit. Il est nécessaire de prêter attention à savoir si les jetons détenus sont pris en charge; s'ils le sont, les opérations de transaction doivent être particulièrement prudentes et chaque signature inconnue doit être vérifiée avec soin.
En cas de被骗, si des jetons sont stockés sur d'autres plateformes, il est nécessaire d'élaborer un plan de sauvetage complet :
Si vous découvrez que vous avez été victime d'un骗局 mais que vous avez encore des jetons qui existent sur d'autres plateformes via le staking, vous devez être prudent lors de leur extraction et de leur transfert. Les hackers peuvent surveiller le solde de l'adresse à tout moment, et dès qu'un jeton apparaît, il pourrait être transféré. Un processus de sauvetage complet doit être établi, et l'extraction et le transfert doivent être exécutés simultanément. Vous pouvez utiliser le transfert MEV ou demander l'aide d'une équipe de sécurité professionnelle.
L'augmentation des phishing basés sur Permit2 pourrait devenir plus fréquente à l'avenir, cette méthode étant extrêmement discrète et difficile à prévenir. Avec l'expansion de l'application de Permit2, le nombre d'adresses exposées au risque augmentera également. J'espère que les lecteurs diffuseront cet article afin que davantage de personnes puissent éviter de subir des pertes.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 J'aime
Récompense
9
7
Partager
Commentaire
0/400
InfraVibes
· Il y a 10h
Regarde avant de signer, compris ?
Voir l'originalRépondre0
MetaverseMigrant
· Il y a 10h
Encore une nouvelle astuce, ce hacker est vraiment un talent.
Voir l'originalRépondre0
RektButAlive
· Il y a 10h
Je suis toujours en train de suivre les dernières vulnérabilités~
Voir l'originalRépondre0
StablecoinEnjoyer
· Il y a 10h
Encore une nouvelle piège, débutant fais attention à la signature
Voir l'originalRépondre0
NftBankruptcyClub
· Il y a 10h
Combien de fois sommes-nous tombés dans le piège
Voir l'originalRépondre0
P2ENotWorking
· Il y a 10h
Encore de nouveaux pigeons à prendre les gens pour des idiots.
Voir l'originalRépondre0
ValidatorViking
· Il y a 10h
putain, les noobs n'apprennent jamais à vérifier les signatures... retour aux bases ffs
Méthode de phishing par signature Permit2 pour les Débutants, attention aux risques de sécurité des actifs.
Dévoiler le piège de phishing de signature Permit2 d'Uniswap
Les hackers sont une présence redoutée dans l'écosystème Web3. Pour les équipes de projet, le code source ouvert les rend nerveux, craignant qu'une ligne de code erronée n'ouvre une faille. Pour les utilisateurs individuels, chaque interaction ou signature sur la chaîne peut entraîner le vol d'actifs. Par conséquent, les problèmes de sécurité ont toujours été l'un des points sensibles du monde des cryptomonnaies. En raison des caractéristiques de la blockchain, il est presque impossible de récupérer des actifs volés, il est donc particulièrement important de posséder des connaissances en matière de sécurité.
Récemment, un chercheur a découvert une nouvelle technique de phishing qui peut entraîner le vol d'actifs simplement en signant. Cette méthode est extrêmement discrète et difficile à prévenir, et toutes les adresses ayant interagi avec une certaine plateforme de trading peuvent être exposées à des risques. Cet article vise à sensibiliser sur cette technique de phishing par signature afin de minimiser les pertes d'actifs.
déroulement de l'événement
Récemment, un ami ( Xiao A ) a eu ses actifs de portefeuille volés. Contrairement aux méthodes de vol courantes, Xiao A n'a pas divulgué de clé privée et n'a pas interagi avec un contrat de site de phishing.
Le navigateur de blockchain montre que les USDT dans le portefeuille de Xiao A ont été transférés par la fonction Transfer From. Cela signifie qu'une autre adresse a opéré le transfert du Token, et non que la clé privée du portefeuille a été compromise.
Les détails de la transaction révèlent des indices clés :
Le problème est de savoir comment cette adresse a obtenu des droits d'actifs ? Pourquoi est-elle liée à une certaine plateforme de trading ?
Pour appeler la fonction Transfer From, le prérequis est que l'appelant doit avoir l'autorisation de montant de Token (approve). Avant de transférer les actifs de A, une opération Permit a également été effectuée, les deux opérations interagissant avec le contrat Permit2 d'une certaine plateforme de trading.
Permit2 est un nouveau contrat lancé par une plateforme de trading à la fin de 2022, permettant l'autorisation de tokens pour le partage de la gestion entre différentes applications, dans le but de créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée. Avec l'intégration de plus de projets, Permit2 devrait permettre la normalisation des approbations de tokens dans toutes les applications, réduisant ainsi les coûts de transaction et améliorant la sécurité des contrats intelligents.
Le lancement de Permit2 pourrait changer les règles de l'écosystème Dapp. Avec la méthode traditionnelle, les utilisateurs doivent autoriser chaque interaction avec le Dapp, tandis que Permit2 permet de sauter cette étape, réduisant ainsi efficacement le coût des interactions pour les utilisateurs. Permit2 agit en tant qu'intermédiaire entre l'utilisateur et le Dapp, l'utilisateur n'ayant qu'à autoriser le contrat Permit2, tous les Dapp intégrant ce contrat pouvant partager le quota d'autorisation.
Cependant, c'est également une arme à double tranchant. Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations sur la chaîne étant effectuées par un intermédiaire. Cela signifie que même si le portefeuille de l'utilisateur n'a pas d'ETH, il peut utiliser d'autres tokens pour payer les frais de gas ou être remboursé par un intermédiaire. Mais la signature hors chaîne est également l'étape que les utilisateurs ont le plus tendance à négliger, la plupart des gens ne vérifiant pas attentivement le contenu de la signature.
Pour utiliser cette méthode de phishing, la condition clé est que le portefeuille ciblé doit avoir autorisé le Token au contrat Permit2. Actuellement, il suffit de réaliser un échange sur une Dapp intégrant Permit2 ou sur une plateforme d'échange, ce qui nécessite d'autoriser le contrat Permit2.
Ce qui est encore plus effrayant, c'est que peu importe le montant du Swap, le contrat Permit2 autorisera par défaut l'utilisateur à autoriser l'intégralité du solde de ce Token. Bien que le portefeuille propose une saisie personnalisée du montant, la plupart des gens choisiront probablement directement la valeur maximale ou par défaut, et la valeur par défaut de Permit2 est un montant illimité.
Cela signifie que, tant qu'il y a eu une interaction avec une plateforme de trading après 2023 et que vous avez autorisé le contrat Permit2, vous pourriez être confronté à ce risque de eyewash.
L'accent est mis sur la fonction Permit, qui permet de transférer le quota de jetons autorisé par l'utilisateur au contrat Permit2 vers d'autres adresses. Un hacker peut obtenir la signature de l'utilisateur et ainsi obtenir les droits sur les jetons dans le portefeuille de l'utilisateur et transférer des actifs.
Analyse détaillée des événements
La fonction Permit permet aux utilisateurs de signer à l'avance un "contrat", autorisant un autre (spender) à utiliser une certaine quantité de jetons à l'avenir. L'utilisateur doit fournir une preuve de signature de l'authenticité du "contrat".
Flux de travail de la fonction:
L'accent est mis sur la fonction verify et la fonction _updateApproval.
La fonction verify récupère les trois données v, r, s à partir des informations de signature, utilisées pour restaurer l'adresse de signature de la transaction. Le contrat compare l'adresse restaurée avec l'adresse du propriétaire du jeton passée en paramètre ; si elles sont identiques, la vérification est réussie.
La fonction _updateApproval met à jour la valeur d'autorisation après vérification de la signature, ce qui signifie qu'il y a un transfert de droits. À ce moment-là, la partie autorisée peut appeler la fonction transferfrom pour transférer des jetons à l'adresse spécifiée.
Transactions réelles sur la chaîne :
En examinant l'enregistrement d'interaction de Xiao A, il a été constaté qu'il avait précédemment cliqué sur le montant d'autorisation par défaut sur une certaine plateforme de trading, c'est-à-dire un montant presque illimité.
Récapitulatif simple : Le petit A avait auparavant autorisé un montant illimité de USDT à Permit2, puis est malheureusement tombé dans un piège de phishing par signature conçu par des hackers. Après avoir obtenu la signature, les hackers ont effectué des opérations de Permit et de Transfer From dans le contrat Permit2, transférant ainsi les actifs du petit A. Actuellement, le contrat Permit2 semble être devenu un paradis pour les pêcheurs, ce type de phishing ayant commencé à être actif il y a environ deux mois.
Comment se prémunir?
Considérant que le contrat Permit2 pourrait devenir plus courant à l'avenir, davantage de projets ou d'intégrations procéderont à des partages d'autorisation, les moyens de prévention efficaces incluent :
Séparation du portefeuille d'actifs et du portefeuille d'interaction: Il est conseillé de stocker une grande quantité d'actifs dans un portefeuille froid, tandis que le portefeuille d'interaction sur la chaîne ne doit conserver qu'une petite quantité de fonds, ce qui peut réduire considérablement les pertes en cas de phishing.
Limiter le montant d'autorisation ou annuler l'autorisation : Lors de l'échange sur une plateforme de trading, n'autorisez que le montant nécessaire à l'interaction. Bien que le fait de devoir réautoriser à chaque interaction augmente les coûts, cela permet d'éviter le risque de phishing des signatures Permit2. Les utilisateurs autorisés peuvent annuler l'autorisation via un plugin de sécurité.
Identifier la nature des jetons, prêter attention à la prise en charge de la fonction permit : À l'avenir, il pourrait y avoir plus de jetons ERC20 qui réalisent la fonction permit. Il est nécessaire de prêter attention à savoir si les jetons détenus sont pris en charge; s'ils le sont, les opérations de transaction doivent être particulièrement prudentes et chaque signature inconnue doit être vérifiée avec soin.
En cas de被骗, si des jetons sont stockés sur d'autres plateformes, il est nécessaire d'élaborer un plan de sauvetage complet : Si vous découvrez que vous avez été victime d'un骗局 mais que vous avez encore des jetons qui existent sur d'autres plateformes via le staking, vous devez être prudent lors de leur extraction et de leur transfert. Les hackers peuvent surveiller le solde de l'adresse à tout moment, et dès qu'un jeton apparaît, il pourrait être transféré. Un processus de sauvetage complet doit être établi, et l'extraction et le transfert doivent être exécutés simultanément. Vous pouvez utiliser le transfert MEV ou demander l'aide d'une équipe de sécurité professionnelle.
L'augmentation des phishing basés sur Permit2 pourrait devenir plus fréquente à l'avenir, cette méthode étant extrêmement discrète et difficile à prévenir. Avec l'expansion de l'application de Permit2, le nombre d'adresses exposées au risque augmentera également. J'espère que les lecteurs diffuseront cet article afin que davantage de personnes puissent éviter de subir des pertes.