Mengungkap Penipuan Tanda Tangan Permit2 Uniswap: Cukup Tanda Tangan dan Anda Akan Dicuri
Hacker selalu menjadi sosok yang menakutkan dalam ekosistem Web3. Bagi pengembang proyek, sifat kode yang open source membuat mereka merasa seperti berjalan di atas es tipis, takut satu kesalahan kode dapat menyebabkan celah keamanan. Bagi pengguna individu, jika mereka tidak memahami makna dari operasi yang sedang dilakukan, setiap interaksi atau tanda tangan di blockchain dapat berpotensi mengakibatkan pencurian aset. Oleh karena itu, masalah keamanan selalu menjadi salah satu tantangan tersulit di dunia kripto. Karena karakteristik blockchain, sekali aset dicuri hampir tidak mungkin untuk dipulihkan, sehingga sangat penting untuk menguasai pengetahuan keamanan di dunia kripto.
Baru-baru ini, ditemukan metode phishing baru yang mulai aktif dalam dua bulan terakhir, yang hanya memerlukan tanda tangan untuk dicuri, metode ini sangat tersembunyi dan sulit untuk dicegah. Selain itu, alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan menjelaskan metode phishing tanda tangan ini, untuk mencoba menghindari lebih banyak orang mengalami kerugian aset.
kronologi kejadian
Baru-baru ini, seorang teman ( yang kita sebut sebagai A) kehilangan aset dompetnya. Berbeda dengan cara pencurian yang umum, A tidak membocorkan kunci privatnya, dan juga tidak berinteraksi dengan kontrak situs phishing.
Melalui penjelajah blockchain, dapat dilihat bahwa USDT yang dicuri dari dompet A kecil dipindahkan melalui fungsi Transfer From. Ini berarti bahwa aset yang dicuri ini dipindahkan oleh alamat lain, bukan karena kebocoran kunci pribadi dompet.
Mencari rincian transaksi menemukan beberapa petunjuk kunci:
Alamat dengan akhiran fd51 telah memindahkan aset kecil A ke alamat dengan akhiran a0c8
Operasi ini berinteraksi dengan kontrak Permit2 dari Uniswap
Jadi muncul pertanyaan, bagaimana alamat dengan akhiran fd51 mendapatkan izin untuk aset ini? Mengapa hal ini terkait dengan Uniswap?
Pertama-tama, perlu diketahui bahwa untuk berhasil memanggil fungsi Transfer From, syaratnya adalah pihak yang memanggil perlu memiliki izin kuota untuk Token tersebut, yaitu approve. Ketika kita menggunakan beberapa Dapp, selama melibatkan perpindahan aset, kita perlu terlebih dahulu melakukan operasi izin (approve), sehingga kontrak Dapp memiliki izin untuk memindahkan aset kita.
Jawabannya ada dalam catatan interaksi alamat dengan akhiran fd51. Sebelum melakukan Transfer From untuk memindahkan aset kecil A di alamat tersebut, juga dilakukan operasi Permit, dan kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari Uniswap.
Kontrak Uniswap Permit2 adalah kontrak pintar baru yang diluncurkan oleh Uniswap pada akhir tahun 2022. Menurut pernyataan resmi, ini adalah kontrak persetujuan token yang memungkinkan berbagi dan pengelolaan otorisasi token di berbagai aplikasi, bertujuan untuk menciptakan pengalaman pengguna yang lebih terintegrasi, lebih hemat biaya, dan lebih aman.
Dengan semakin banyak proyek yang terintegrasi dengan Permit2, ini dapat mewujudkan persetujuan Token yang distandarisasi di semua aplikasi. Permit2 akan meningkatkan pengalaman pengguna dengan mengurangi biaya transaksi, sambil meningkatkan keamanan kontrak pintar.
Peluncuran Permit2 dapat mengubah aturan permainan di seluruh ekosistem Dapp. Secara sederhana, metode tradisional mengharuskan otorisasi setiap kali melakukan interaksi transfer aset dengan Dapp, sedangkan Permit2 dapat menghilangkan langkah ini, secara efektif mengurangi biaya interaksi pengguna dan memberikan pengalaman pengguna yang lebih baik.
Permit2 sebagai perantara antara pengguna dan Dapp, pengguna hanya perlu memberikan izin Token kepada kontrak Permit2, semua Dapp yang mengintegrasikan kontrak Permit2 dapat berbagi batasan izin ini. Bagi pengguna, ini mengurangi biaya interaksi dan meningkatkan pengalaman; bagi Dapp, peningkatan pengalaman pengguna membawa lebih banyak pengguna dan dana, ini adalah situasi win-win. Namun, ini juga bisa menjadi pedang bermata dua, masalah terletak pada cara interaksi dengan Permit2.
Dalam cara interaksi tradisional, baik itu otorisasi atau transfer dana, bagi pengguna yang melakukan operasi, itu adalah interaksi di blockchain. Namun, Permit2 mengubah operasi pengguna menjadi tanda tangan di luar blockchain, semua operasi di blockchain dilakukan oleh peran perantara ( seperti kontrak Permit2 dan pihak proyek yang mengintegrasikan Permit2, dan lain-lain ). Manfaat dari solusi ini adalah, karena peran interaksi di blockchain beralih dari pengguna ke peran perantara, bahkan jika dompet pengguna tidak memiliki ETH, mereka masih dapat menggunakan Token lain untuk membayar biaya Gas atau sepenuhnya diganti oleh peran perantara, tergantung pada pilihan peran perantara tersebut.
Meskipun kemunculan Permit2 dapat mengubah aturan permainan Dapp di masa depan, ini adalah pedang bermata dua yang sangat kuat. Bagi pengguna, tanda tangan di luar rantai adalah tahap yang paling mudah untuk menjadi lengah. Misalnya, ketika kita masuk ke Dapp tertentu menggunakan dompet, kita perlu menandatangani sambungan, kebanyakan orang tidak akan memeriksa dengan cermat isi tanda tangan atau memahami artinya, inilah yang paling berbahaya.
Setelah memahami kontrak Permit2, kembali ke kejadian kecil A, kita bisa mengerti mengapa pencurian aset selalu berhubungan dengan interaksi kontrak Permit2. Untuk mereproduksi teknik phishing tanda tangan Permit2 ini, pertama-tama syarat kuncinya adalah dompet yang menjadi korban phishing harus memberikan otorisasi Token kepada kontrak Permit2 Uniswap. Saat ini, setiap kali melakukan Swap di Dapp yang terintegrasi dengan Permit2 atau Uniswap, otorisasi perlu diberikan kepada kontrak Permit2.
Poin lain yang mengkhawatirkan adalah, terlepas dari berapa banyak jumlah yang ingin di-Swap, kontrak Permit2 Uniswap secara default akan mengizinkan pengguna untuk memberikan otorisasi untuk seluruh saldo Token tersebut. Meskipun MetaMask memungkinkan input jumlah yang disesuaikan, sebagian besar orang mungkin langsung mengklik nilai maksimum atau default, dan nilai default Permit2 adalah batasan yang tidak terbatas.
Ini berarti, selama Anda telah berinteraksi dengan Uniswap setelah tahun 2023 dan memberikan otorisasi jumlah kepada kontrak Permit2, Anda mungkin terpapar pada risiko penipuan ini.
Kuncinya terletak pada fungsi Permit yang berinteraksi dengan kontrak Permit2 di alamat dengan nomor akhir fd51. Singkatnya, fungsi ini menggunakan dompet Anda untuk mentransfer batas Token yang Anda berikan kepada kontrak Permit2 ke alamat lain. Artinya, selama mereka mendapatkan tanda tangan Anda, hacker dapat memperoleh izin atas Token di dompet Anda dan memindahkan aset Anda.
analisis rinci peristiwa
fungsi permit:
Fungsi permit mirip dengan menandatangani kontrak secara online. Ini memungkinkan Anda untuk (PermitSingle) menandatangani sebuah "kontrak" sebelumnya, yang memungkinkan orang lain (spender) menggunakan beberapa token Anda di masa depan.
Anda juga perlu menyediakan tanda tangan (signature), seperti tanda tangan pada kontrak kertas, untuk membuktikan bahwa "kontrak" ini benar-benar Anda yang menandatangani.
Alur kerja fungsi:
Periksa apakah waktu saat ini telah melewati batas waktu tanda tangan (sigDeadline). Jika telah melewati batas waktu, program akan langsung berhenti.
Periksa keaslian tanda tangan. Gunakan metode khusus (signature.verify) untuk memeriksa tanda tangan, pastikan tidak dipalsukan.
Jika semua pemeriksaan berhasil, catatan pembaruan program, catat bahwa Anda telah mengizinkan orang lain menggunakan sebagian token Anda.
Fokus utama ada di fungsi verify dan fungsi _updateApproval.
fungsi verify:
Fungsi verify mengambil tiga data v, r, s dari parameter informasi tanda tangan. v, r, s adalah nilai tanda tangan transaksi yang dapat digunakan untuk memulihkan alamat tanda tangan transaksi. Setelah kontrak memulihkan alamat tanda tangan transaksi, alamat pemilik token yang dimasukkan dibandingkan; jika sama, maka verifikasi berhasil, dan fungsi _updateApproval dilanjutkan; jika berbeda, maka transaksi dibatalkan.
_fungsi updateApproval:
Setelah verifikasi tanda tangan, panggil fungsi _updateApproval untuk memperbarui nilai otorisasi, yang berarti hak akses Anda telah dialihkan. Pada saat ini, pihak yang diberi otorisasi dapat memanggil fungsi transferfrom untuk mentransfer token ke alamat yang ditentukan.
Melihat rincian transaksi nyata di blockchain dapat ditemukan:
owner adalah alamat dompet kecil A ( dengan akhiran 308a)
Detail dapat dilihat alamat kontrak Token yang diotorisasi (USDT) dan informasi seperti jumlahnya
Spender adalah alamat hacker dengan nomor akhir fd51
sigDeadline adalah waktu berlaku tanda tangan, signature adalah informasi tanda tangan dari A.
Mereview catatan interaksi Xiaoa, ditemukan bahwa Xiaoa sebelumnya menggunakan Uniswap dan mengklik batas otorisasi default, yaitu hampir tidak terbatas.
Rekap sederhana: A sebelumnya memberikan izin kepada Uniswap Permit2 untuk jumlah USDT yang tidak terbatas saat menggunakan Uniswap. Saat melakukan operasi di dompet, A secara tidak sengaja terjebak dalam jebakan phishing tanda tangan Permit2 yang dirancang oleh peretas. Setelah mendapatkan tanda tangan A, peretas melakukan dua operasi Permit dan Transfer From dalam kontrak Permit2, mentransfer aset A. Saat ini, telah diamati bahwa kontrak Permit2 Uniswap telah menjadi surga phishing, dan jenis phishing tanda tangan Permit2 ini tampaknya mulai aktif sekitar dua bulan yang lalu.
Dalam catatan interaksi dapat dilihat, sebagian besar adalah alamat phishing yang ditandai (Fake_Phishing), banyak orang terus tertipu.
bagaimana cara mencegah?
Menggconsiderasikan bahwa kontrak Uniswap Permit2 mungkin menjadi lebih umum di masa depan, lebih banyak proyek akan mengintegrasikan kontrak Permit2 untuk berbagi otorisasi, langkah-langkah pencegahan yang efektif termasuk:
1. Memahami dan mengenali konten tanda tangan:
Format tanda tangan Permit biasanya mencakup format kunci seperti Owner, Spender, value, nonce, dan deadline. Jika Anda ingin menikmati kenyamanan dan biaya rendah yang ditawarkan oleh Permit2, Anda harus belajar mengenali format tanda tangan ini. ( Mengunduh plugin keamanan adalah pilihan yang bagus ).
2. Memisahkan penyimpanan aset dan dompet interaksi:
Jika memiliki banyak aset, disarankan untuk menyimpan aset dalam dompet dingin, dompet yang digunakan untuk interaksi di blockchain hanya menyimpan sejumlah kecil dana, ini dapat secara signifikan mengurangi kerugian saat menghadapi penipuan eyewash.
3. Batasi jumlah yang diberikan kepada kontrak Permit2 atau batalkan otorisasi:
Saat melakukan Swap di Uniswap, hanya otorisasi jumlah yang diperlukan untuk interaksi. Meskipun setiap interaksi yang memerlukan otorisasi ulang akan menambah beberapa biaya interaksi, tetapi dapat menghindari penipuan tanda tangan Permit2. Jika sudah mengotorisasi batas, Anda dapat menggunakan plugin keamanan yang sesuai untuk membatalkan otorisasi.
4. Kenali sifat token, pahami apakah mendukung fungsi permit:
Di masa depan, mungkin akan ada semakin banyak token ERC20 yang menggunakan protokol ekstensi ini untuk mengimplementasikan fungsi permit. Anda perlu memperhatikan apakah token yang Anda miliki mendukung fungsi ini; jika mendukung, Anda harus sangat berhati-hati dalam transaksi atau operasi token tersebut, dan secara ketat memeriksa setiap tanda tangan yang tidak dikenal apakah merupakan tanda tangan untuk fungsi permit.
5. Setelah tertipu, jika ada token yang ada di platform lain, perlu untuk merancang rencana penyelamatan yang komprehensif:
Jika Anda menemukan bahwa Anda telah menjadi korban penipuan dan token telah dipindahkan oleh hacker, jika masih ada token yang ada di platform lain melalui staking atau cara lainnya, Anda perlu menarik dan memindahkannya ke alamat yang aman. Perlu diingat bahwa hacker mungkin memantau saldo token alamat Anda kapan saja. Karena mereka memiliki tanda tangan Anda, selama ada token yang muncul di alamat yang dicuri, hacker dapat langsung memindahkannya. Pada saat ini, perlu untuk merumuskan proses penyelamatan token yang lengkap, di mana proses menarik token dan memindahkan token perlu dilakukan bersamaan, agar hacker tidak bisa memasukkan transaksi. Anda dapat menggunakan MEV transfer, yang memerlukan pengetahuan tentang blockchain dan kemampuan pemrograman, atau juga dapat meminta bantuan dari perusahaan keamanan profesional untuk menggunakan skrip pengambilan transaksi untuk mencapainya.
Di masa depan, pemancingan berbasis Permit2 mungkin akan semakin meningkat, metode pemancingan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah. Dengan diperluasnya jangkauan aplikasi Permit2, alamat yang terpapar risiko juga akan semakin banyak. Semoga setelah membaca artikel ini, bisa disebarluaskan kepada lebih banyak orang, agar lebih banyak orang terhindar dari kerugian.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
4
Bagikan
Komentar
0/400
MetaLord420
· 07-31 15:37
Kena curi lagi, saya panik setengah mati.
Lihat AsliBalas0
CodeAuditQueen
· 07-31 15:37
Hanya bisa bilang bahwa kontrak sama seperti peluru yang tidak punya mata, sekali tidak hati-hati, aset turun ke nol.
Lihat AsliBalas0
MoonlightGamer
· 07-31 15:29
Blok besar blockchain sudah hilang, masih mau bermain apa?
Skema penipuan phishing tanda tangan Uniswap Permit2: aset dicuri hanya dengan satu tanda tangan
Mengungkap Penipuan Tanda Tangan Permit2 Uniswap: Cukup Tanda Tangan dan Anda Akan Dicuri
Hacker selalu menjadi sosok yang menakutkan dalam ekosistem Web3. Bagi pengembang proyek, sifat kode yang open source membuat mereka merasa seperti berjalan di atas es tipis, takut satu kesalahan kode dapat menyebabkan celah keamanan. Bagi pengguna individu, jika mereka tidak memahami makna dari operasi yang sedang dilakukan, setiap interaksi atau tanda tangan di blockchain dapat berpotensi mengakibatkan pencurian aset. Oleh karena itu, masalah keamanan selalu menjadi salah satu tantangan tersulit di dunia kripto. Karena karakteristik blockchain, sekali aset dicuri hampir tidak mungkin untuk dipulihkan, sehingga sangat penting untuk menguasai pengetahuan keamanan di dunia kripto.
Baru-baru ini, ditemukan metode phishing baru yang mulai aktif dalam dua bulan terakhir, yang hanya memerlukan tanda tangan untuk dicuri, metode ini sangat tersembunyi dan sulit untuk dicegah. Selain itu, alamat yang pernah berinteraksi dengan Uniswap mungkin menghadapi risiko. Artikel ini akan menjelaskan metode phishing tanda tangan ini, untuk mencoba menghindari lebih banyak orang mengalami kerugian aset.
kronologi kejadian
Baru-baru ini, seorang teman ( yang kita sebut sebagai A) kehilangan aset dompetnya. Berbeda dengan cara pencurian yang umum, A tidak membocorkan kunci privatnya, dan juga tidak berinteraksi dengan kontrak situs phishing.
Melalui penjelajah blockchain, dapat dilihat bahwa USDT yang dicuri dari dompet A kecil dipindahkan melalui fungsi Transfer From. Ini berarti bahwa aset yang dicuri ini dipindahkan oleh alamat lain, bukan karena kebocoran kunci pribadi dompet.
Mencari rincian transaksi menemukan beberapa petunjuk kunci:
Jadi muncul pertanyaan, bagaimana alamat dengan akhiran fd51 mendapatkan izin untuk aset ini? Mengapa hal ini terkait dengan Uniswap?
Pertama-tama, perlu diketahui bahwa untuk berhasil memanggil fungsi Transfer From, syaratnya adalah pihak yang memanggil perlu memiliki izin kuota untuk Token tersebut, yaitu approve. Ketika kita menggunakan beberapa Dapp, selama melibatkan perpindahan aset, kita perlu terlebih dahulu melakukan operasi izin (approve), sehingga kontrak Dapp memiliki izin untuk memindahkan aset kita.
Jawabannya ada dalam catatan interaksi alamat dengan akhiran fd51. Sebelum melakukan Transfer From untuk memindahkan aset kecil A di alamat tersebut, juga dilakukan operasi Permit, dan kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari Uniswap.
Kontrak Uniswap Permit2 adalah kontrak pintar baru yang diluncurkan oleh Uniswap pada akhir tahun 2022. Menurut pernyataan resmi, ini adalah kontrak persetujuan token yang memungkinkan berbagi dan pengelolaan otorisasi token di berbagai aplikasi, bertujuan untuk menciptakan pengalaman pengguna yang lebih terintegrasi, lebih hemat biaya, dan lebih aman.
Dengan semakin banyak proyek yang terintegrasi dengan Permit2, ini dapat mewujudkan persetujuan Token yang distandarisasi di semua aplikasi. Permit2 akan meningkatkan pengalaman pengguna dengan mengurangi biaya transaksi, sambil meningkatkan keamanan kontrak pintar.
Peluncuran Permit2 dapat mengubah aturan permainan di seluruh ekosistem Dapp. Secara sederhana, metode tradisional mengharuskan otorisasi setiap kali melakukan interaksi transfer aset dengan Dapp, sedangkan Permit2 dapat menghilangkan langkah ini, secara efektif mengurangi biaya interaksi pengguna dan memberikan pengalaman pengguna yang lebih baik.
Permit2 sebagai perantara antara pengguna dan Dapp, pengguna hanya perlu memberikan izin Token kepada kontrak Permit2, semua Dapp yang mengintegrasikan kontrak Permit2 dapat berbagi batasan izin ini. Bagi pengguna, ini mengurangi biaya interaksi dan meningkatkan pengalaman; bagi Dapp, peningkatan pengalaman pengguna membawa lebih banyak pengguna dan dana, ini adalah situasi win-win. Namun, ini juga bisa menjadi pedang bermata dua, masalah terletak pada cara interaksi dengan Permit2.
Dalam cara interaksi tradisional, baik itu otorisasi atau transfer dana, bagi pengguna yang melakukan operasi, itu adalah interaksi di blockchain. Namun, Permit2 mengubah operasi pengguna menjadi tanda tangan di luar blockchain, semua operasi di blockchain dilakukan oleh peran perantara ( seperti kontrak Permit2 dan pihak proyek yang mengintegrasikan Permit2, dan lain-lain ). Manfaat dari solusi ini adalah, karena peran interaksi di blockchain beralih dari pengguna ke peran perantara, bahkan jika dompet pengguna tidak memiliki ETH, mereka masih dapat menggunakan Token lain untuk membayar biaya Gas atau sepenuhnya diganti oleh peran perantara, tergantung pada pilihan peran perantara tersebut.
Meskipun kemunculan Permit2 dapat mengubah aturan permainan Dapp di masa depan, ini adalah pedang bermata dua yang sangat kuat. Bagi pengguna, tanda tangan di luar rantai adalah tahap yang paling mudah untuk menjadi lengah. Misalnya, ketika kita masuk ke Dapp tertentu menggunakan dompet, kita perlu menandatangani sambungan, kebanyakan orang tidak akan memeriksa dengan cermat isi tanda tangan atau memahami artinya, inilah yang paling berbahaya.
Setelah memahami kontrak Permit2, kembali ke kejadian kecil A, kita bisa mengerti mengapa pencurian aset selalu berhubungan dengan interaksi kontrak Permit2. Untuk mereproduksi teknik phishing tanda tangan Permit2 ini, pertama-tama syarat kuncinya adalah dompet yang menjadi korban phishing harus memberikan otorisasi Token kepada kontrak Permit2 Uniswap. Saat ini, setiap kali melakukan Swap di Dapp yang terintegrasi dengan Permit2 atau Uniswap, otorisasi perlu diberikan kepada kontrak Permit2.
Poin lain yang mengkhawatirkan adalah, terlepas dari berapa banyak jumlah yang ingin di-Swap, kontrak Permit2 Uniswap secara default akan mengizinkan pengguna untuk memberikan otorisasi untuk seluruh saldo Token tersebut. Meskipun MetaMask memungkinkan input jumlah yang disesuaikan, sebagian besar orang mungkin langsung mengklik nilai maksimum atau default, dan nilai default Permit2 adalah batasan yang tidak terbatas.
Ini berarti, selama Anda telah berinteraksi dengan Uniswap setelah tahun 2023 dan memberikan otorisasi jumlah kepada kontrak Permit2, Anda mungkin terpapar pada risiko penipuan ini.
Kuncinya terletak pada fungsi Permit yang berinteraksi dengan kontrak Permit2 di alamat dengan nomor akhir fd51. Singkatnya, fungsi ini menggunakan dompet Anda untuk mentransfer batas Token yang Anda berikan kepada kontrak Permit2 ke alamat lain. Artinya, selama mereka mendapatkan tanda tangan Anda, hacker dapat memperoleh izin atas Token di dompet Anda dan memindahkan aset Anda.
analisis rinci peristiwa
fungsi permit:
Fungsi permit mirip dengan menandatangani kontrak secara online. Ini memungkinkan Anda untuk (PermitSingle) menandatangani sebuah "kontrak" sebelumnya, yang memungkinkan orang lain (spender) menggunakan beberapa token Anda di masa depan.
Anda juga perlu menyediakan tanda tangan (signature), seperti tanda tangan pada kontrak kertas, untuk membuktikan bahwa "kontrak" ini benar-benar Anda yang menandatangani.
Alur kerja fungsi:
Fokus utama ada di fungsi verify dan fungsi _updateApproval.
fungsi verify:
Fungsi verify mengambil tiga data v, r, s dari parameter informasi tanda tangan. v, r, s adalah nilai tanda tangan transaksi yang dapat digunakan untuk memulihkan alamat tanda tangan transaksi. Setelah kontrak memulihkan alamat tanda tangan transaksi, alamat pemilik token yang dimasukkan dibandingkan; jika sama, maka verifikasi berhasil, dan fungsi _updateApproval dilanjutkan; jika berbeda, maka transaksi dibatalkan.
_fungsi updateApproval:
Setelah verifikasi tanda tangan, panggil fungsi _updateApproval untuk memperbarui nilai otorisasi, yang berarti hak akses Anda telah dialihkan. Pada saat ini, pihak yang diberi otorisasi dapat memanggil fungsi transferfrom untuk mentransfer token ke alamat yang ditentukan.
Melihat rincian transaksi nyata di blockchain dapat ditemukan:
Mereview catatan interaksi Xiaoa, ditemukan bahwa Xiaoa sebelumnya menggunakan Uniswap dan mengklik batas otorisasi default, yaitu hampir tidak terbatas.
Rekap sederhana: A sebelumnya memberikan izin kepada Uniswap Permit2 untuk jumlah USDT yang tidak terbatas saat menggunakan Uniswap. Saat melakukan operasi di dompet, A secara tidak sengaja terjebak dalam jebakan phishing tanda tangan Permit2 yang dirancang oleh peretas. Setelah mendapatkan tanda tangan A, peretas melakukan dua operasi Permit dan Transfer From dalam kontrak Permit2, mentransfer aset A. Saat ini, telah diamati bahwa kontrak Permit2 Uniswap telah menjadi surga phishing, dan jenis phishing tanda tangan Permit2 ini tampaknya mulai aktif sekitar dua bulan yang lalu.
Dalam catatan interaksi dapat dilihat, sebagian besar adalah alamat phishing yang ditandai (Fake_Phishing), banyak orang terus tertipu.
bagaimana cara mencegah?
Menggconsiderasikan bahwa kontrak Uniswap Permit2 mungkin menjadi lebih umum di masa depan, lebih banyak proyek akan mengintegrasikan kontrak Permit2 untuk berbagi otorisasi, langkah-langkah pencegahan yang efektif termasuk:
1. Memahami dan mengenali konten tanda tangan:
Format tanda tangan Permit biasanya mencakup format kunci seperti Owner, Spender, value, nonce, dan deadline. Jika Anda ingin menikmati kenyamanan dan biaya rendah yang ditawarkan oleh Permit2, Anda harus belajar mengenali format tanda tangan ini. ( Mengunduh plugin keamanan adalah pilihan yang bagus ).
2. Memisahkan penyimpanan aset dan dompet interaksi:
Jika memiliki banyak aset, disarankan untuk menyimpan aset dalam dompet dingin, dompet yang digunakan untuk interaksi di blockchain hanya menyimpan sejumlah kecil dana, ini dapat secara signifikan mengurangi kerugian saat menghadapi penipuan eyewash.
3. Batasi jumlah yang diberikan kepada kontrak Permit2 atau batalkan otorisasi:
Saat melakukan Swap di Uniswap, hanya otorisasi jumlah yang diperlukan untuk interaksi. Meskipun setiap interaksi yang memerlukan otorisasi ulang akan menambah beberapa biaya interaksi, tetapi dapat menghindari penipuan tanda tangan Permit2. Jika sudah mengotorisasi batas, Anda dapat menggunakan plugin keamanan yang sesuai untuk membatalkan otorisasi.
4. Kenali sifat token, pahami apakah mendukung fungsi permit:
Di masa depan, mungkin akan ada semakin banyak token ERC20 yang menggunakan protokol ekstensi ini untuk mengimplementasikan fungsi permit. Anda perlu memperhatikan apakah token yang Anda miliki mendukung fungsi ini; jika mendukung, Anda harus sangat berhati-hati dalam transaksi atau operasi token tersebut, dan secara ketat memeriksa setiap tanda tangan yang tidak dikenal apakah merupakan tanda tangan untuk fungsi permit.
5. Setelah tertipu, jika ada token yang ada di platform lain, perlu untuk merancang rencana penyelamatan yang komprehensif:
Jika Anda menemukan bahwa Anda telah menjadi korban penipuan dan token telah dipindahkan oleh hacker, jika masih ada token yang ada di platform lain melalui staking atau cara lainnya, Anda perlu menarik dan memindahkannya ke alamat yang aman. Perlu diingat bahwa hacker mungkin memantau saldo token alamat Anda kapan saja. Karena mereka memiliki tanda tangan Anda, selama ada token yang muncul di alamat yang dicuri, hacker dapat langsung memindahkannya. Pada saat ini, perlu untuk merumuskan proses penyelamatan token yang lengkap, di mana proses menarik token dan memindahkan token perlu dilakukan bersamaan, agar hacker tidak bisa memasukkan transaksi. Anda dapat menggunakan MEV transfer, yang memerlukan pengetahuan tentang blockchain dan kemampuan pemrograman, atau juga dapat meminta bantuan dari perusahaan keamanan profesional untuk menggunakan skrip pengambilan transaksi untuk mencapainya.
Di masa depan, pemancingan berbasis Permit2 mungkin akan semakin meningkat, metode pemancingan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah. Dengan diperluasnya jangkauan aplikasi Permit2, alamat yang terpapar risiko juga akan semakin banyak. Semoga setelah membaca artikel ini, bisa disebarluaskan kepada lebih banyak orang, agar lebih banyak orang terhindar dari kerugian.