Dévoiler l'escroquerie de phishing par signature Permit2 d'Uniswap : il suffit de signer pour se faire voler
Les hackers ont toujours été une présence redoutable dans l'écosystème Web3. Pour les équipes de projet, la nature open-source du code les rend très prudents pendant le développement, de peur qu'une seule ligne de code incorrecte ne laisse une vulnérabilité. Pour les utilisateurs individuels, si l'on ne comprend pas la signification des opérations en cours, chaque interaction ou signature sur la chaîne peut entraîner le vol d'actifs. Ainsi, les problèmes de sécurité sont l'un des défis les plus difficiles du monde des cryptomonnaies. En raison des caractéristiques de la blockchain, une fois qu'un actif est volé, il est presque impossible de le récupérer, il est donc particulièrement important de maîtriser les connaissances en sécurité dans le monde des cryptomonnaies.
Récemment, une nouvelle méthode de phishing a été découverte, active depuis environ deux mois, qui permet de se faire voler simplement en signant, avec une technique extrêmement discrète et difficile à prévenir. De plus, toutes les adresses ayant déjà interagi avec Uniswap pourraient être exposées à des risques. Cet article a pour but de sensibiliser à cette méthode de phishing par signature afin d'éviter que d'autres subissent des pertes d'actifs.
déroulement des événements
Récemment, un ami ( surnommé petit A ) a vu les actifs de son portefeuille volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée et n'a pas interagi avec un contrat de phishing.
Il est possible de voir via le navigateur blockchain que les USDT volés du portefeuille de Xiao A ont été transférés par la fonction Transfer From. Cela signifie que cet actif volé a été transféré par une autre adresse, et non par une fuite de la clé privée du portefeuille.
La recherche des détails de la transaction a révélé des indices clés :
L'adresse se terminant par fd51 a transféré les actifs de Xiao A à l'adresse se terminant par a0c8.
Cette opération interagit avec le contrat Permit2 d'Uniswap.
Alors la question se pose, comment l'adresse se terminant par fd51 a-t-elle obtenu les droits sur cet actif ? Pourquoi cela serait-il lié à Uniswap ?
Tout d'abord, il est nécessaire de savoir que pour appeler avec succès la fonction Transfer From, la condition préalable est que l'appelant doit avoir l'autorisation de montant de ce Token, c'est-à-dire approve. Lorsque nous utilisons certaines Dapp, dès qu'il s'agit de transfert d'actifs, il est nécessaire d'effectuer d'abord l'opération d'autorisation (approve), ainsi le contrat de la Dapp aura le droit de transférer nos actifs.
La réponse se trouve dans les enregistrements d'interaction de l'adresse se terminant par fd51. Avant de transférer les actifs de A depuis cette adresse, une opération de Permission a également été effectuée, et les deux opérations ont pour objet d'interaction le contrat Permit2 de Uniswap.
Le contrat Uniswap Permit2 est un nouveau contrat intelligent lancé par Uniswap à la fin de 2022. Selon les déclarations officielles, il s'agit d'un contrat d'approbation de jetons, permettant de partager et de gérer les autorisations de jetons entre différentes applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée.
Avec de plus en plus de projets intégrant Permit2, il peut standardiser l'approbation des tokens dans toutes les applications. Permit2 améliorera l'expérience utilisateur en réduisant les coûts de transaction tout en augmentant la sécurité des contrats intelligents.
Le lancement de Permit2 pourrait changer les règles du jeu pour l'ensemble de l'écosystème Dapp. En termes simples, la méthode traditionnelle nécessite une autorisation à chaque interaction pour le transfert d'actifs avec Dapp, tandis que Permit2 peut omettre cette étape, réduisant ainsi efficacement le coût d'interaction pour l'utilisateur et offrant une meilleure expérience utilisateur.
Permit2 agit comme un intermédiaire entre l'utilisateur et le Dapp, l'utilisateur n'a qu'à accorder les droits de Token au contrat Permit2, tous les Dapp intégrant le contrat Permit2 peuvent partager ce quota d'autorisation. Pour l'utilisateur, cela réduit le coût d'interaction et améliore l'expérience ; pour le Dapp, l'amélioration de l'expérience utilisateur attire plus d'utilisateurs et de fonds, ce qui est en théorie une situation gagnant-gagnant. Mais cela peut aussi être une arme à double tranchant, le problème réside dans la manière d'interagir avec Permit2.
Dans les méthodes d'interaction traditionnelles, que ce soit pour l'autorisation ou le transfert de fonds, pour l'utilisateur opérant, il s'agit d'une interaction sur la chaîne. Cependant, Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations sur la chaîne étant réalisées par des rôles intermédiaires comme le contrat Permit2 et les projets intégrant Permit2, etc. (. L'avantage de cette solution est que, puisque le rôle d'interaction sur la chaîne passe de l'utilisateur à un rôle intermédiaire, même si le portefeuille de l'utilisateur ne contient pas d'ETH, il peut payer les frais de Gas avec d'autres Tokens ou entièrement remboursé par le rôle intermédiaire, selon le choix de ce dernier.
Bien que l'apparition de Permit2 puisse changer les règles du jeu des Dapp à l'avenir, c'est une épée à double tranchant. Pour les utilisateurs, la signature hors chaîne est le moment le plus propice à la négligence. Par exemple, lorsque nous nous connectons à certaines Dapp avec un portefeuille, nous devons signer la connexion, la plupart des gens ne vérifient pas soigneusement le contenu de la signature et ne comprennent pas sa signification, c'est justement là le danger.
Après avoir compris le contrat Permit2, il devient clair dans l'événement de Xiao A pourquoi les actifs volés sont tous liés à l'interaction avec le contrat Permit2. Pour reproduire cette méthode de phishing par signature Permit2, un préalable clé est que le portefeuille ciblé par le phishing doit avoir autorisé des tokens au contrat Permit2 de Uniswap. Actuellement, il suffit de réaliser un échange sur une Dapp intégrée à Permit2 ou sur Uniswap pour autoriser le contrat Permit2.
![Signature volée ? Dévoilement de l'eyewash de phishing de la signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Un autre point préoccupant est que, quel que soit le montant à échanger, le contrat Permit2 d'Uniswap autorisera par défaut l'utilisateur à autoriser le montant total de ce Token. Bien que MetaMask permette d'entrer un montant personnalisé, la plupart des gens cliqueront probablement directement sur le maximum ou la valeur par défaut, et la valeur par défaut de Permit2 est une limite illimitée.
Cela signifie que tant que vous avez interagi avec Uniswap après 2023 et autorisé un montant au contrat Permit2, vous pourriez être exposé au risque de ce eyewash.
La clé réside dans la fonction Permit qui interagit avec le contrat Permit2 à l'adresse se terminant par fd51. En d'autres termes, cette fonction utilise votre portefeuille pour transférer le montant de Token que vous avez autorisé au contrat Permit2 vers d'autres adresses. Cela signifie que si un hacker obtient votre signature, il peut obtenir les droits sur les Tokens dans votre portefeuille et transférer vos actifs.
) analyse détaillée de l'événement
fonction permit :
La fonction permit est similaire à la signature de contrats en ligne. Elle vous permet de ###PermitSingle( signer à l'avance un "contrat", permettant à d'autres )spender( d'utiliser certains de vos tokens à un moment donné dans le futur.
Vous devez également fournir la signature )signature(, tout comme vous le feriez en signant un contrat papier, pour prouver que ce "contrat" a bien été signé par vous.
Flux de travail de la fonction :
Vérifiez si l'heure actuelle dépasse la période de validité de la signature )sigDeadline(. Si la période de validité est dépassée, le programme s'arrête directement.
Vérifiez l'authenticité de la signature. Utilisez la méthode spéciale )signature.verify( pour vérifier la signature et assurez-vous qu'elle n'a pas été falsifiée.
Si tous les contrôles sont réussis, enregistrez la mise à jour du programme et notez que vous avez autorisé d'autres personnes à utiliser une partie de vos jetons.
L'accent est principalement mis sur la fonction verify et la fonction _updateApproval.
fonction verify:
La fonction verify récupère les trois données v, r, s à partir des paramètres d'information de signature. v, r, s sont les valeurs de la signature de la transaction, pouvant être utilisées pour restaurer l'adresse de la signature de la transaction. Une fois que le contrat a restauré l'adresse de la signature de la transaction, elle la compare à l'adresse du propriétaire du jeton passée en paramètre. Si elles sont identiques, la validation est réussie et la fonction _updateApproval est appelée ; si elles sont différentes, la transaction est annulée.
_fonction updateApproval:
Après la vérification de la signature, l'appel à la fonction _updateApproval pour mettre à jour la valeur d'autorisation signifie que vos droits ont été transférés. À ce moment-là, la partie autorisée peut appeler la fonction transferfrom pour transférer des jetons à l'adresse spécifiée.
Voir les détails réels des transactions sur la chaîne montre :
owner est l'adresse du portefeuille de Xiao A ) se terminant par 308a(
Les détails montrent l'adresse du contrat Token autorisé )USDT( et des informations telles que le montant.
Spender est l'adresse de hacker se terminant par fd51
sigDeadline est la durée de validité de la signature, signature est l'information de signature de Xiao A
![La signature a été volée ? Découvrez le piège à signature d'Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
En examinant l'historique d'interaction de Xiao A, il a été constaté que Xiao A avait précédemment cliqué sur le montant d'autorisation par défaut lors de l'utilisation d'Uniswap, à savoir un montant presque illimité.
![Signature volée ? Dévoilement de l'eyewash de phishing de signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
Récapitulatif simple : A précédemment accordé à Uniswap une limite illimitée en USDT via Uniswap Permit2. En manipulant son portefeuille, A est malheureusement tombé dans un piège de phishing conçu par des hackers utilisant la signature Permit2. Après avoir obtenu la signature d'A, les hackers ont réalisé deux opérations dans le contrat Permit2 : Permit et Transfer From, transférant ainsi les actifs de A. Actuellement, il a été observé que le contrat Permit2 d'Uniswap est devenu un paradis pour les phishing, et ce type de phishing par signature Permit2 semble avoir commencé à être actif il y a deux mois.
Dans les enregistrements d'interaction, on peut voir que la plupart sont des adresses de phishing marquées )Fake_Phishing(, et de plus en plus de personnes se laissent prendre.
![Signature volée ? Dévoilement de l'eyewash de phishing par signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
) Comment se protéger?
Considérant que le contrat Uniswap Permit2 pourrait devenir plus répandu à l'avenir, davantage de projets intégreront le contrat Permit2 pour le partage d'autorisation. Les mesures préventives efficaces comprennent :
1. Comprendre et identifier le contenu de la signature:
Le format de signature de Permit contient généralement des éléments clés tels que Owner, Spender, value, nonce et deadline. Si vous souhaitez profiter des avantages et des faibles coûts offerts par Permit2, il est essentiel d'apprendre à reconnaître ce format de signature. ### Télécharger le plugin de sécurité est un bon choix (.
![Signature volée ? Dévoilement de l'eyewash de phishing de signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(
)# 2. Séparer le stockage des actifs et le portefeuille d'interaction :
Si vous possédez une grande quantité d'actifs, il est conseillé de les stocker dans un portefeuille froid, tandis que le portefeuille pour les interactions sur la chaîne ne devrait conserver qu'une petite somme d'argent, ce qui peut réduire considérablement les pertes en cas de rencontre avec un eyewash.
3. Limiter le montant autorisé au contrat Permit2 ou annuler l'autorisation :
Lors d'un Swap sur Uniswap, n'autorisez que le montant nécessaire pour l'interaction. Bien que le fait de devoir réautoriser à chaque interaction augmente légèrement le coût des interactions, cela permet d'éviter d'être victime de phishing par signature Permit2. Si le montant a déjà été autorisé, vous pouvez utiliser le plugin de sécurité correspondant pour annuler l'autorisation.
![Signature volée ? Dévoilement de l'eyewash de phishing de signature Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(
)# 4. Identifier la nature du jeton, comprendre s'il prend en charge la fonction permit :
À l'avenir, il pourrait y avoir de plus en plus de jetons ERC20 utilisant ce protocole d'extension pour implémenter la fonction de permission. Il est nécessaire de prêter attention à savoir si les jetons que vous détenez prennent en charge cette fonction ; si c'est le cas, soyez particulièrement prudent lors des transactions ou opérations avec ces jetons, et vérifiez rigoureusement si chaque signature inconnue est une signature de la fonction de permission.
5. Si des jetons existent sur d'autres plateformes après avoir été victime d'un piège, un plan de sauvetage complet doit être élaboré:
Si vous découvrez que vous avez été victime d'un eyewash et que vos jetons ont été transférés par un hacker, si vous avez encore des jetons sur d'autres plateformes par le biais de staking ou d'autres moyens, vous devez les retirer et les transférer vers une adresse sécurisée. Sachez que le hacker peut surveiller à tout moment le solde de vos jetons sur votre adresse. Comme il possède votre signature, dès qu'il y a des jetons sur l'adresse volée, il peut les transférer directement. À ce moment-là, il est nécessaire de mettre en place un processus complet de sauvetage des jetons, en exécutant simultanément les deux étapes de retrait et de transfert des jetons, afin d'empêcher le hacker d'intervenir dans la transaction. Vous pouvez utiliser le transfert MEV, ce qui nécessite certaines connaissances en blockchain et des compétences en programmation, ou vous pouvez demander l'aide d'une entreprise de sécurité professionnelle pour réaliser cela à l'aide de scripts de front-running.
À l'avenir, les tentatives de phishing basées sur Permit2 pourraient devenir de plus en plus nombreuses. Ce type de phishing par signature est extrêmement discret et difficile à prévenir. Avec l'élargissement de l'application de Permit2, les adresses exposées aux risques vont également augmenter. J'espère que cet article pourra être partagé avec un plus grand nombre de personnes afin d'éviter que d'autres ne subissent des pertes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
4
Partager
Commentaire
0/400
MetaLord420
· 07-31 15:37
Encore volé, je suis dans tous mes états.
Voir l'originalRépondre0
CodeAuditQueen
· 07-31 15:37
On ne peut dire que les contrats sont comme des balles, ils ne regardent pas où ils vont. Un petit moment d'inattention et les actifs chutent à zéro.
Voir l'originalRépondre0
MoonlightGamer
· 07-31 15:29
Il n'y a plus de gros bonnets dans la Blockchain, à quoi bon jouer ?
Nouvelle arnaque de phishing par signature Uniswap Permit2 : un seul signe et les actifs sont volés.
Dévoiler l'escroquerie de phishing par signature Permit2 d'Uniswap : il suffit de signer pour se faire voler
Les hackers ont toujours été une présence redoutable dans l'écosystème Web3. Pour les équipes de projet, la nature open-source du code les rend très prudents pendant le développement, de peur qu'une seule ligne de code incorrecte ne laisse une vulnérabilité. Pour les utilisateurs individuels, si l'on ne comprend pas la signification des opérations en cours, chaque interaction ou signature sur la chaîne peut entraîner le vol d'actifs. Ainsi, les problèmes de sécurité sont l'un des défis les plus difficiles du monde des cryptomonnaies. En raison des caractéristiques de la blockchain, une fois qu'un actif est volé, il est presque impossible de le récupérer, il est donc particulièrement important de maîtriser les connaissances en sécurité dans le monde des cryptomonnaies.
Récemment, une nouvelle méthode de phishing a été découverte, active depuis environ deux mois, qui permet de se faire voler simplement en signant, avec une technique extrêmement discrète et difficile à prévenir. De plus, toutes les adresses ayant déjà interagi avec Uniswap pourraient être exposées à des risques. Cet article a pour but de sensibiliser à cette méthode de phishing par signature afin d'éviter que d'autres subissent des pertes d'actifs.
déroulement des événements
Récemment, un ami ( surnommé petit A ) a vu les actifs de son portefeuille volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée et n'a pas interagi avec un contrat de phishing.
Il est possible de voir via le navigateur blockchain que les USDT volés du portefeuille de Xiao A ont été transférés par la fonction Transfer From. Cela signifie que cet actif volé a été transféré par une autre adresse, et non par une fuite de la clé privée du portefeuille.
La recherche des détails de la transaction a révélé des indices clés :
Alors la question se pose, comment l'adresse se terminant par fd51 a-t-elle obtenu les droits sur cet actif ? Pourquoi cela serait-il lié à Uniswap ?
Tout d'abord, il est nécessaire de savoir que pour appeler avec succès la fonction Transfer From, la condition préalable est que l'appelant doit avoir l'autorisation de montant de ce Token, c'est-à-dire approve. Lorsque nous utilisons certaines Dapp, dès qu'il s'agit de transfert d'actifs, il est nécessaire d'effectuer d'abord l'opération d'autorisation (approve), ainsi le contrat de la Dapp aura le droit de transférer nos actifs.
La réponse se trouve dans les enregistrements d'interaction de l'adresse se terminant par fd51. Avant de transférer les actifs de A depuis cette adresse, une opération de Permission a également été effectuée, et les deux opérations ont pour objet d'interaction le contrat Permit2 de Uniswap.
Le contrat Uniswap Permit2 est un nouveau contrat intelligent lancé par Uniswap à la fin de 2022. Selon les déclarations officielles, il s'agit d'un contrat d'approbation de jetons, permettant de partager et de gérer les autorisations de jetons entre différentes applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée.
Avec de plus en plus de projets intégrant Permit2, il peut standardiser l'approbation des tokens dans toutes les applications. Permit2 améliorera l'expérience utilisateur en réduisant les coûts de transaction tout en augmentant la sécurité des contrats intelligents.
Le lancement de Permit2 pourrait changer les règles du jeu pour l'ensemble de l'écosystème Dapp. En termes simples, la méthode traditionnelle nécessite une autorisation à chaque interaction pour le transfert d'actifs avec Dapp, tandis que Permit2 peut omettre cette étape, réduisant ainsi efficacement le coût d'interaction pour l'utilisateur et offrant une meilleure expérience utilisateur.
Permit2 agit comme un intermédiaire entre l'utilisateur et le Dapp, l'utilisateur n'a qu'à accorder les droits de Token au contrat Permit2, tous les Dapp intégrant le contrat Permit2 peuvent partager ce quota d'autorisation. Pour l'utilisateur, cela réduit le coût d'interaction et améliore l'expérience ; pour le Dapp, l'amélioration de l'expérience utilisateur attire plus d'utilisateurs et de fonds, ce qui est en théorie une situation gagnant-gagnant. Mais cela peut aussi être une arme à double tranchant, le problème réside dans la manière d'interagir avec Permit2.
Dans les méthodes d'interaction traditionnelles, que ce soit pour l'autorisation ou le transfert de fonds, pour l'utilisateur opérant, il s'agit d'une interaction sur la chaîne. Cependant, Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations sur la chaîne étant réalisées par des rôles intermédiaires comme le contrat Permit2 et les projets intégrant Permit2, etc. (. L'avantage de cette solution est que, puisque le rôle d'interaction sur la chaîne passe de l'utilisateur à un rôle intermédiaire, même si le portefeuille de l'utilisateur ne contient pas d'ETH, il peut payer les frais de Gas avec d'autres Tokens ou entièrement remboursé par le rôle intermédiaire, selon le choix de ce dernier.
Bien que l'apparition de Permit2 puisse changer les règles du jeu des Dapp à l'avenir, c'est une épée à double tranchant. Pour les utilisateurs, la signature hors chaîne est le moment le plus propice à la négligence. Par exemple, lorsque nous nous connectons à certaines Dapp avec un portefeuille, nous devons signer la connexion, la plupart des gens ne vérifient pas soigneusement le contenu de la signature et ne comprennent pas sa signification, c'est justement là le danger.
Après avoir compris le contrat Permit2, il devient clair dans l'événement de Xiao A pourquoi les actifs volés sont tous liés à l'interaction avec le contrat Permit2. Pour reproduire cette méthode de phishing par signature Permit2, un préalable clé est que le portefeuille ciblé par le phishing doit avoir autorisé des tokens au contrat Permit2 de Uniswap. Actuellement, il suffit de réaliser un échange sur une Dapp intégrée à Permit2 ou sur Uniswap pour autoriser le contrat Permit2.
![Signature volée ? Dévoilement de l'eyewash de phishing de la signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Un autre point préoccupant est que, quel que soit le montant à échanger, le contrat Permit2 d'Uniswap autorisera par défaut l'utilisateur à autoriser le montant total de ce Token. Bien que MetaMask permette d'entrer un montant personnalisé, la plupart des gens cliqueront probablement directement sur le maximum ou la valeur par défaut, et la valeur par défaut de Permit2 est une limite illimitée.
Cela signifie que tant que vous avez interagi avec Uniswap après 2023 et autorisé un montant au contrat Permit2, vous pourriez être exposé au risque de ce eyewash.
La clé réside dans la fonction Permit qui interagit avec le contrat Permit2 à l'adresse se terminant par fd51. En d'autres termes, cette fonction utilise votre portefeuille pour transférer le montant de Token que vous avez autorisé au contrat Permit2 vers d'autres adresses. Cela signifie que si un hacker obtient votre signature, il peut obtenir les droits sur les Tokens dans votre portefeuille et transférer vos actifs.
) analyse détaillée de l'événement
fonction permit :
La fonction permit est similaire à la signature de contrats en ligne. Elle vous permet de ###PermitSingle( signer à l'avance un "contrat", permettant à d'autres )spender( d'utiliser certains de vos tokens à un moment donné dans le futur.
Vous devez également fournir la signature )signature(, tout comme vous le feriez en signant un contrat papier, pour prouver que ce "contrat" a bien été signé par vous.
Flux de travail de la fonction :
L'accent est principalement mis sur la fonction verify et la fonction _updateApproval.
fonction verify:
La fonction verify récupère les trois données v, r, s à partir des paramètres d'information de signature. v, r, s sont les valeurs de la signature de la transaction, pouvant être utilisées pour restaurer l'adresse de la signature de la transaction. Une fois que le contrat a restauré l'adresse de la signature de la transaction, elle la compare à l'adresse du propriétaire du jeton passée en paramètre. Si elles sont identiques, la validation est réussie et la fonction _updateApproval est appelée ; si elles sont différentes, la transaction est annulée.
_fonction updateApproval:
Après la vérification de la signature, l'appel à la fonction _updateApproval pour mettre à jour la valeur d'autorisation signifie que vos droits ont été transférés. À ce moment-là, la partie autorisée peut appeler la fonction transferfrom pour transférer des jetons à l'adresse spécifiée.
Voir les détails réels des transactions sur la chaîne montre :
![La signature a été volée ? Découvrez le piège à signature d'Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
En examinant l'historique d'interaction de Xiao A, il a été constaté que Xiao A avait précédemment cliqué sur le montant d'autorisation par défaut lors de l'utilisation d'Uniswap, à savoir un montant presque illimité.
![Signature volée ? Dévoilement de l'eyewash de phishing de signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
Récapitulatif simple : A précédemment accordé à Uniswap une limite illimitée en USDT via Uniswap Permit2. En manipulant son portefeuille, A est malheureusement tombé dans un piège de phishing conçu par des hackers utilisant la signature Permit2. Après avoir obtenu la signature d'A, les hackers ont réalisé deux opérations dans le contrat Permit2 : Permit et Transfer From, transférant ainsi les actifs de A. Actuellement, il a été observé que le contrat Permit2 d'Uniswap est devenu un paradis pour les phishing, et ce type de phishing par signature Permit2 semble avoir commencé à être actif il y a deux mois.
Dans les enregistrements d'interaction, on peut voir que la plupart sont des adresses de phishing marquées )Fake_Phishing(, et de plus en plus de personnes se laissent prendre.
![Signature volée ? Dévoilement de l'eyewash de phishing par signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
) Comment se protéger?
Considérant que le contrat Uniswap Permit2 pourrait devenir plus répandu à l'avenir, davantage de projets intégreront le contrat Permit2 pour le partage d'autorisation. Les mesures préventives efficaces comprennent :
1. Comprendre et identifier le contenu de la signature:
Le format de signature de Permit contient généralement des éléments clés tels que Owner, Spender, value, nonce et deadline. Si vous souhaitez profiter des avantages et des faibles coûts offerts par Permit2, il est essentiel d'apprendre à reconnaître ce format de signature. ### Télécharger le plugin de sécurité est un bon choix (.
![Signature volée ? Dévoilement de l'eyewash de phishing de signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(
)# 2. Séparer le stockage des actifs et le portefeuille d'interaction :
Si vous possédez une grande quantité d'actifs, il est conseillé de les stocker dans un portefeuille froid, tandis que le portefeuille pour les interactions sur la chaîne ne devrait conserver qu'une petite somme d'argent, ce qui peut réduire considérablement les pertes en cas de rencontre avec un eyewash.
3. Limiter le montant autorisé au contrat Permit2 ou annuler l'autorisation :
Lors d'un Swap sur Uniswap, n'autorisez que le montant nécessaire pour l'interaction. Bien que le fait de devoir réautoriser à chaque interaction augmente légèrement le coût des interactions, cela permet d'éviter d'être victime de phishing par signature Permit2. Si le montant a déjà été autorisé, vous pouvez utiliser le plugin de sécurité correspondant pour annuler l'autorisation.
![Signature volée ? Dévoilement de l'eyewash de phishing de signature Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(
)# 4. Identifier la nature du jeton, comprendre s'il prend en charge la fonction permit :
À l'avenir, il pourrait y avoir de plus en plus de jetons ERC20 utilisant ce protocole d'extension pour implémenter la fonction de permission. Il est nécessaire de prêter attention à savoir si les jetons que vous détenez prennent en charge cette fonction ; si c'est le cas, soyez particulièrement prudent lors des transactions ou opérations avec ces jetons, et vérifiez rigoureusement si chaque signature inconnue est une signature de la fonction de permission.
5. Si des jetons existent sur d'autres plateformes après avoir été victime d'un piège, un plan de sauvetage complet doit être élaboré:
Si vous découvrez que vous avez été victime d'un eyewash et que vos jetons ont été transférés par un hacker, si vous avez encore des jetons sur d'autres plateformes par le biais de staking ou d'autres moyens, vous devez les retirer et les transférer vers une adresse sécurisée. Sachez que le hacker peut surveiller à tout moment le solde de vos jetons sur votre adresse. Comme il possède votre signature, dès qu'il y a des jetons sur l'adresse volée, il peut les transférer directement. À ce moment-là, il est nécessaire de mettre en place un processus complet de sauvetage des jetons, en exécutant simultanément les deux étapes de retrait et de transfert des jetons, afin d'empêcher le hacker d'intervenir dans la transaction. Vous pouvez utiliser le transfert MEV, ce qui nécessite certaines connaissances en blockchain et des compétences en programmation, ou vous pouvez demander l'aide d'une entreprise de sécurité professionnelle pour réaliser cela à l'aide de scripts de front-running.
À l'avenir, les tentatives de phishing basées sur Permit2 pourraient devenir de plus en plus nombreuses. Ce type de phishing par signature est extrêmement discret et difficile à prévenir. Avec l'élargissement de l'application de Permit2, les adresses exposées aux risques vont également augmenter. J'espère que cet article pourra être partagé avec un plus grand nombre de personnes afin d'éviter que d'autres ne subissent des pertes.