Раскрытие мошенничества с подпиской Uniswap Permit2: как только вы подпишите, вас украдут
Хакеры всегда были устрашающим фактором в экосистеме Web3. Для разработчиков открытость кода означает, что они вынуждены быть очень осторожными, опасаясь, что одна ошибка в коде может оставить уязвимость. Для пользователей, если они не понимают, что происходит, каждое взаимодействие с цепочкой или подпись может привести к краже активов. Поэтому проблемы безопасности всегда оставались одной из самых сложных задач в криптомире. Из-за особенностей блокчейна, если активы были украдены, их практически невозможно вернуть, поэтому особенно важно обладать знаниями о безопасности в криптомире.
Недавно было обнаружено новое активное мошенничество с фишингом, которое начало появляться в последние два месяца. Достаточно просто подписать, и ваши средства будут украдены. Этот метод чрезвычайно скрытен и трудно предотвратить. Более того, адреса, которые когда-либо взаимодействовали с Uniswap, могут также подвергаться риску. В данной статье будет объяснено, как работает этот метод фишинга с подписями, чтобы как можно больше людей смогли избежать потерь своих активов.
Ход событий
Недавно у одного друга (, условно называемого Малый А, были украдены активы из кошелька. В отличие от обычных способов кражи, Малый А не раскрыл свой приватный ключ и не взаимодействовал с контрактами на фишинговых сайтах.
С помощью блокчейн-браузера можно увидеть, что украденный USDT из кошелька Xiao A был переведен с помощью функции Transfer From. Это означает, что актив был перемещен другим адресом, а не из-за утечки приватного ключа кошелька.
Запросив детали сделки, были найдены некоторые ключевые подсказки:
Адрес, заканчивающийся на fd51, перевел активы маленького А на адрес, заканчивающийся на a0c8.
Эта операция взаимодействует с контрактом Permit2 Uniswap.
![Подпись была украдена? Раскрытие мошенничества с фишингом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Итак, возникает вопрос, как адрес с окончанием fd51 получил разрешение на эти активы? Почему это связано с Uniswap?
Во-первых, необходимо знать, что для успешного вызова функции Transfer From условием является то, что вызывающая сторона должна иметь разрешение на объем токенов, то есть approve. Когда мы используем некоторые Dapp, если речь идет о переводе активов, необходимо сначала выполнить операцию авторизации )approve(, только тогда контракт Dapp будет иметь право на перевод наших активов.
Ответ находится в записях взаимодействия по адресу с окончанием fd51. Перед тем как осуществить Transfer From для перевода активов маленького A по этому адресу, была выполнена операция Permit, при этом объектами взаимодействия для обеих операций является контракт Permit2 от Uniswap.
![Подписка приведет к краже? Раскрытие мошенничества с подпиской Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Контракт Uniswap Permit2 — это новый смарт-контракт, запущенный Uniswap в конце 2022 года. Согласно официальным данным, это контракт на одобрение токенов, который позволяет делиться и управлять разрешениями токенов в различных приложениях, с целью создания более унифицированного, более экономически эффективного и более безопасного пользовательского опыта.
С увеличением числа проектов, интегрирующихся с Permit2, он может обеспечить стандартизированное одобрение токенов во всех приложениях. Permit2 улучшит пользовательский опыт, снижая стоимость транзакций и одновременно повышая безопасность смарт-контрактов.
Запуск Permit2 может изменить правила игры во всей экосистеме Dapp. Проще говоря, традиционный метод требует авторизации каждый раз при взаимодействии с Dapp для передачи активов, в то время как Permit2 может исключить этот шаг, эффективно снижая затраты на взаимодействие пользователей и обеспечивая лучший пользовательский опыт.
Permit2 выступает в качестве посредника между пользователем и Dapp, пользователь просто должен предоставить разрешение на токены контракту Permit2, и все Dapp, интегрированные с контрактом Permit2, могут делить этот лимит разрешений. Для пользователя это снижает затраты на взаимодействие и улучшает опыт; для Dapp улучшение пользовательского опыта приводит к большему количеству пользователей и средств, что является взаимовыгодной ситуацией. Но это также может быть двусторонним мечом, проблема заключается в способе взаимодействия с Permit2.
В традиционных способах взаимодействия, будь то авторизация или перевод средств, для операционного пользователя это взаимодействие в цепочке. Однако Permit2 превращает действия пользователя в подписи вне цепочки, все действия в цепочке выполняются промежуточными ролями ), такими как контракт Permit2 и проекты, интегрирующие Permit2, и т.д. (. Преимущество этого решения заключается в том, что поскольку роль в цепочке переключается с пользователя на промежуточную роль, даже если в кошельке пользователя нет ETH, он может использовать другие токены для оплаты газа или полностью возмещаться промежуточной ролью, в зависимости от выбора промежуточной роли.
Хотя появление Permit2 может изменить правила игры для Dapp в будущем, это двусторонний меч. Для пользователей наименьшая бдительность наблюдается на этапе подписи вне цепи. Например, когда мы входим в некоторые Dapp с помощью кошелька, нам нужно подписать соединение, и большинство людей не проверяют содержание подписи и не понимают ее значения, что и является самым опасным моментом.
Поняв контракт Permit2, вернувшись к событию с маленьким А, становится ясно, почему кража активов всегда связана с взаимодействием с контрактом Permit2. Чтобы воспроизвести этот метод фишинга с подписью Permit2, первым важным условием является то, что кошелек, ставший жертвой фишинга, должен иметь токены, разрешенные для контракта Permit2 от Uniswap. В настоящее время, чтобы выполнить Swap на Dapp, интегрированном с Permit2, или на Uniswap, необходимо дать разрешение контракту Permit2.
![Подпись украдут? Раскрытие фишинга с подписью Uniswap Permit2 промывание глаз])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Еще одна тревожная точка заключается в том, что независимо от суммы, которую нужно обменять, контракт Permit2 в Uniswap по умолчанию позволяет пользователю авторизовать весь баланс токена. Хотя MetaMask позволяет вводить пользовательскую сумму, большинство людей могут просто нажимать на максимальную или значение по умолчанию, а значение по умолчанию для Permit2 - это неограниченный лимит.
Это означает, что если вы взаимодействовали с Uniswap и предоставили разрешение контракту Permit2 после 2023 года, вы можете подвергнуться риску этого промывания глаз.
Ключевым моментом является функция Permit, которая взаимодействует с контрактом Permit2 по адресу с окончанием fd51. Проще говоря, эта функция использует ваш кошелек для передачи разрешенных вами токенов контракту Permit2 на другие адреса. Другими словами, как только хакер получает вашу подпись, он может получить доступ к токенам в вашем кошельке и переместить ваши активы.
) Подробный анализ события
функция permit:
функция permit похожа на онлайн-подписание контракта. Она позволяет тебе ###PermitSingle( заранее подписать "контракт", разрешающий другим )spender( использовать некоторые из твоих токенов в будущем.
Вам также нужно предоставить подпись )signature(, как если бы вы подписывали бумажный контракт, чтобы подтвердить, что этот "контракт" действительно подписан вами.
Рабочий процесс функции:
Проверьте, истекло ли текущее время после срока действия подписи )sigDeadline(. Если срок действия истек, программа остановится.
Проверьте подлинность подписи. Используйте специальный метод )signature.verify( для проверки подписи, чтобы убедиться, что она не подделана.
Если все проверки пройдены, обновите записи программы, отметьте, что вы позволили другим использовать вашу часть токенов.
Основное внимание уделяется функциям verify и _updateApproval.
verify функция:
Функция verify получает значения v, r, s из параметра информации о подписи. v, r, s — это значения подписи транзакции, которые могут быть использованы для восстановления адреса подписи транзакции. После восстановления адреса подписи транзакции контракт сравнивает его с переданным адресом владельца токена: если они совпадают, проверка проходит, и вызывается функция _updateApproval; если разные, транзакция откатывается.
_updateApproval Функции:
После проверки подписи вызовите функцию _updateApproval для обновления значения авторизации, что означает, что ваши права были переданы. В этот момент уполномоченная сторона может вызвать функцию transferfrom для перевода токенов на указанный адрес.
Посмотреть реальные детали сделок в блокчейне можно следующим образом:
owner это адрес кошелька маленького А ) с окончанием 308a(
В деталях можно увидеть адрес контракта Token )USDT( и информацию о сумме и т.д.
Spender является адресом хакера с последними цифрами fd51
sigDeadline это время действия подписи, signature это информация о подписи маленького A
![Подпись украдут? Раскрываем мошенничество с подписанием Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Просматривая записи взаимодействия Xiao A, обнаружили, что Xiao A ранее использовал Uniswap и нажал на стандартный лимит авторизации, то есть почти неограниченный лимит.
![Подписали и украли? Раскрываем мошенничество с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
Простое резюме: маленький A ранее предоставил Uniswap разрешение на неограниченный лимит USDT с помощью Permit2. При работе с кошельком маленький A случайно попал в ловушку фишинга, разработанную хакером, связанной с подписями Permit2. Получив подпись маленького A, хакер выполнил две операции в контракте Permit2: Permit и Transfer From, и перевел активы маленького A. В настоящее время наблюдается, что контракт Permit2 Uniswap стал раем для фишинга, и этот фишинг с подписями Permit2, похоже, начал активность около двух месяцев назад.
В записях взаимодействий видно, что большая часть это отмеченные фишинговые адреса )Fake_Phishing(, и все еще кто-то попадается на этот промывание глаз.
![Подпись была украдена? Раскрытие мошенничества с фишингом через подпись Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
) Как предотвратить?
Учитывая, что контракт Uniswap Permit2 может стать более распространенным в будущем, больше проектов будут интегрировать контракт Permit2 для авторизации и обмена, эффективные меры предотвращения включают:
1. Понять и распознать содержание подписи:
Формат подписи Permit обычно включает такие ключевые элементы, как Owner, Spender, value, nonce и deadline. Если вы хотите воспользоваться преимуществами и низкими затратами, которые предлагает Permit2, обязательно научитесь распознавать этот формат подписи. ### Загрузить безопасное расширение — неплохой выбор (
![Подпись была украдена? Разоблачение фишинга на подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(
)# 2. Разделение хранения активов и интерактивного кошелька:
Если у вас есть большое количество активов, рекомендуется хранить активы в холодном кошельке, а в кошельке для взаимодействия с блокчейном оставлять лишь небольшую сумму, что может значительно снизить потери в случае столкновения с промыванием глаз.
3. Ограничьте право доступа к контракту Permit2 или отмените авторизацию:
При выполнении обмена на Uniswap следует авторизовать только ту сумму, которая необходима для взаимодействия. Хотя повторная авторизация для каждого взаимодействия увеличивает некоторые затраты на взаимодействие, это может предотвратить фишинг подписей Permit2. Если лимит уже был авторизован, вы можете использовать соответствующий безопасный плагин для отмены авторизации.
![Подписка и кража? Раскрытие мошенничества с подписанием Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(
)# 4. Определите природу токена, узнайте, поддерживает ли он функцию permit:
В будущем может быть все больше токенов ERC20, использующих этот расширенный протокол для реализации функции разрешения (permit). Необходимо следить за тем, поддерживает ли токен, которым вы владеете, эту функцию. Если поддерживает, будьте особенно осторожны при торговле или операциях с этим токеном, строго проверяя каждую неизвестную подпись на предмет того, является ли она подписью для функции permit.
5. Если после обмана токены существуют на других платформах, необходимо разработать полный план спасения:
Если вы обнаружили, что стали жертвой мошенничества и токены были переведены хакерами, и если у вас еще есть токены на других платформах, которые необходимо вывести и перевести на безопасный адрес, имейте в виду, что хакеры могут в любой момент отслеживать баланс токенов на вашем адресе. Поскольку у них есть ваша подпись, как только на украденном адресе появится токен, хакеры смогут напрямую перевести его. В этом случае необходимо разработать полный процесс спасения токенов, в котором нужно одновременно выполнять два процесса: вывод токенов и их перевод, чтобы не дать хакерам вставить свои сделки. Можно использовать MEV-переводы, для этого нужны определенные знания о блокчейне и навыки программирования, также можно обратиться за помощью к профессиональным компаниям безопасности, используя скрипты для опережающей торговли.
В будущем рыбалка на основе Permit2 может стать все более распространенной, этот способ подписания рыбалки крайне скрытный и труден для предотвращения. С расширением сферы применения Permit2 увеличится и количество адресов, подверженных риску. Надеюсь, что после прочтения этой статьи она будет распространена среди большего числа людей, чтобы избежать потерь у большего количества людей.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
4
Поделиться
комментарий
0/400
MetaLord420
· 07-31 15:37
Снова украли, я в панике.
Посмотреть ОригиналОтветить0
CodeAuditQueen
· 07-31 15:37
Можно сказать, что контракт, как и пуля, не знает пощады. Если не осторожен, активы падут до нуля.
Посмотреть ОригиналОтветить0
MoonlightGamer
· 07-31 15:29
Блокчейн, большие головы уже пропали, что еще играть?
Новая мошенническая схема фишинга с подписями Uniswap Permit2: активы украдены с одной подписи.
Раскрытие мошенничества с подпиской Uniswap Permit2: как только вы подпишите, вас украдут
Хакеры всегда были устрашающим фактором в экосистеме Web3. Для разработчиков открытость кода означает, что они вынуждены быть очень осторожными, опасаясь, что одна ошибка в коде может оставить уязвимость. Для пользователей, если они не понимают, что происходит, каждое взаимодействие с цепочкой или подпись может привести к краже активов. Поэтому проблемы безопасности всегда оставались одной из самых сложных задач в криптомире. Из-за особенностей блокчейна, если активы были украдены, их практически невозможно вернуть, поэтому особенно важно обладать знаниями о безопасности в криптомире.
Недавно было обнаружено новое активное мошенничество с фишингом, которое начало появляться в последние два месяца. Достаточно просто подписать, и ваши средства будут украдены. Этот метод чрезвычайно скрытен и трудно предотвратить. Более того, адреса, которые когда-либо взаимодействовали с Uniswap, могут также подвергаться риску. В данной статье будет объяснено, как работает этот метод фишинга с подписями, чтобы как можно больше людей смогли избежать потерь своих активов.
Ход событий
Недавно у одного друга (, условно называемого Малый А, были украдены активы из кошелька. В отличие от обычных способов кражи, Малый А не раскрыл свой приватный ключ и не взаимодействовал с контрактами на фишинговых сайтах.
С помощью блокчейн-браузера можно увидеть, что украденный USDT из кошелька Xiao A был переведен с помощью функции Transfer From. Это означает, что актив был перемещен другим адресом, а не из-за утечки приватного ключа кошелька.
Запросив детали сделки, были найдены некоторые ключевые подсказки:
![Подпись была украдена? Раскрытие мошенничества с фишингом Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Итак, возникает вопрос, как адрес с окончанием fd51 получил разрешение на эти активы? Почему это связано с Uniswap?
Во-первых, необходимо знать, что для успешного вызова функции Transfer From условием является то, что вызывающая сторона должна иметь разрешение на объем токенов, то есть approve. Когда мы используем некоторые Dapp, если речь идет о переводе активов, необходимо сначала выполнить операцию авторизации )approve(, только тогда контракт Dapp будет иметь право на перевод наших активов.
Ответ находится в записях взаимодействия по адресу с окончанием fd51. Перед тем как осуществить Transfer From для перевода активов маленького A по этому адресу, была выполнена операция Permit, при этом объектами взаимодействия для обеих операций является контракт Permit2 от Uniswap.
![Подписка приведет к краже? Раскрытие мошенничества с подпиской Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Контракт Uniswap Permit2 — это новый смарт-контракт, запущенный Uniswap в конце 2022 года. Согласно официальным данным, это контракт на одобрение токенов, который позволяет делиться и управлять разрешениями токенов в различных приложениях, с целью создания более унифицированного, более экономически эффективного и более безопасного пользовательского опыта.
С увеличением числа проектов, интегрирующихся с Permit2, он может обеспечить стандартизированное одобрение токенов во всех приложениях. Permit2 улучшит пользовательский опыт, снижая стоимость транзакций и одновременно повышая безопасность смарт-контрактов.
Запуск Permit2 может изменить правила игры во всей экосистеме Dapp. Проще говоря, традиционный метод требует авторизации каждый раз при взаимодействии с Dapp для передачи активов, в то время как Permit2 может исключить этот шаг, эффективно снижая затраты на взаимодействие пользователей и обеспечивая лучший пользовательский опыт.
Permit2 выступает в качестве посредника между пользователем и Dapp, пользователь просто должен предоставить разрешение на токены контракту Permit2, и все Dapp, интегрированные с контрактом Permit2, могут делить этот лимит разрешений. Для пользователя это снижает затраты на взаимодействие и улучшает опыт; для Dapp улучшение пользовательского опыта приводит к большему количеству пользователей и средств, что является взаимовыгодной ситуацией. Но это также может быть двусторонним мечом, проблема заключается в способе взаимодействия с Permit2.
В традиционных способах взаимодействия, будь то авторизация или перевод средств, для операционного пользователя это взаимодействие в цепочке. Однако Permit2 превращает действия пользователя в подписи вне цепочки, все действия в цепочке выполняются промежуточными ролями ), такими как контракт Permit2 и проекты, интегрирующие Permit2, и т.д. (. Преимущество этого решения заключается в том, что поскольку роль в цепочке переключается с пользователя на промежуточную роль, даже если в кошельке пользователя нет ETH, он может использовать другие токены для оплаты газа или полностью возмещаться промежуточной ролью, в зависимости от выбора промежуточной роли.
Хотя появление Permit2 может изменить правила игры для Dapp в будущем, это двусторонний меч. Для пользователей наименьшая бдительность наблюдается на этапе подписи вне цепи. Например, когда мы входим в некоторые Dapp с помощью кошелька, нам нужно подписать соединение, и большинство людей не проверяют содержание подписи и не понимают ее значения, что и является самым опасным моментом.
Поняв контракт Permit2, вернувшись к событию с маленьким А, становится ясно, почему кража активов всегда связана с взаимодействием с контрактом Permit2. Чтобы воспроизвести этот метод фишинга с подписью Permit2, первым важным условием является то, что кошелек, ставший жертвой фишинга, должен иметь токены, разрешенные для контракта Permit2 от Uniswap. В настоящее время, чтобы выполнить Swap на Dapp, интегрированном с Permit2, или на Uniswap, необходимо дать разрешение контракту Permit2.
![Подпись украдут? Раскрытие фишинга с подписью Uniswap Permit2 промывание глаз])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Еще одна тревожная точка заключается в том, что независимо от суммы, которую нужно обменять, контракт Permit2 в Uniswap по умолчанию позволяет пользователю авторизовать весь баланс токена. Хотя MetaMask позволяет вводить пользовательскую сумму, большинство людей могут просто нажимать на максимальную или значение по умолчанию, а значение по умолчанию для Permit2 - это неограниченный лимит.
Это означает, что если вы взаимодействовали с Uniswap и предоставили разрешение контракту Permit2 после 2023 года, вы можете подвергнуться риску этого промывания глаз.
Ключевым моментом является функция Permit, которая взаимодействует с контрактом Permit2 по адресу с окончанием fd51. Проще говоря, эта функция использует ваш кошелек для передачи разрешенных вами токенов контракту Permit2 на другие адреса. Другими словами, как только хакер получает вашу подпись, он может получить доступ к токенам в вашем кошельке и переместить ваши активы.
) Подробный анализ события
функция permit:
функция permit похожа на онлайн-подписание контракта. Она позволяет тебе ###PermitSingle( заранее подписать "контракт", разрешающий другим )spender( использовать некоторые из твоих токенов в будущем.
Вам также нужно предоставить подпись )signature(, как если бы вы подписывали бумажный контракт, чтобы подтвердить, что этот "контракт" действительно подписан вами.
Рабочий процесс функции:
Основное внимание уделяется функциям verify и _updateApproval.
verify функция:
Функция verify получает значения v, r, s из параметра информации о подписи. v, r, s — это значения подписи транзакции, которые могут быть использованы для восстановления адреса подписи транзакции. После восстановления адреса подписи транзакции контракт сравнивает его с переданным адресом владельца токена: если они совпадают, проверка проходит, и вызывается функция _updateApproval; если разные, транзакция откатывается.
_updateApproval Функции:
После проверки подписи вызовите функцию _updateApproval для обновления значения авторизации, что означает, что ваши права были переданы. В этот момент уполномоченная сторона может вызвать функцию transferfrom для перевода токенов на указанный адрес.
Посмотреть реальные детали сделок в блокчейне можно следующим образом:
![Подпись украдут? Раскрываем мошенничество с подписанием Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Просматривая записи взаимодействия Xiao A, обнаружили, что Xiao A ранее использовал Uniswap и нажал на стандартный лимит авторизации, то есть почти неограниченный лимит.
![Подписали и украли? Раскрываем мошенничество с подписями Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
Простое резюме: маленький A ранее предоставил Uniswap разрешение на неограниченный лимит USDT с помощью Permit2. При работе с кошельком маленький A случайно попал в ловушку фишинга, разработанную хакером, связанной с подписями Permit2. Получив подпись маленького A, хакер выполнил две операции в контракте Permit2: Permit и Transfer From, и перевел активы маленького A. В настоящее время наблюдается, что контракт Permit2 Uniswap стал раем для фишинга, и этот фишинг с подписями Permit2, похоже, начал активность около двух месяцев назад.
В записях взаимодействий видно, что большая часть это отмеченные фишинговые адреса )Fake_Phishing(, и все еще кто-то попадается на этот промывание глаз.
![Подпись была украдена? Раскрытие мошенничества с фишингом через подпись Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
) Как предотвратить?
Учитывая, что контракт Uniswap Permit2 может стать более распространенным в будущем, больше проектов будут интегрировать контракт Permit2 для авторизации и обмена, эффективные меры предотвращения включают:
1. Понять и распознать содержание подписи:
Формат подписи Permit обычно включает такие ключевые элементы, как Owner, Spender, value, nonce и deadline. Если вы хотите воспользоваться преимуществами и низкими затратами, которые предлагает Permit2, обязательно научитесь распознавать этот формат подписи. ### Загрузить безопасное расширение — неплохой выбор (
![Подпись была украдена? Разоблачение фишинга на подписи Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(
)# 2. Разделение хранения активов и интерактивного кошелька:
Если у вас есть большое количество активов, рекомендуется хранить активы в холодном кошельке, а в кошельке для взаимодействия с блокчейном оставлять лишь небольшую сумму, что может значительно снизить потери в случае столкновения с промыванием глаз.
3. Ограничьте право доступа к контракту Permit2 или отмените авторизацию:
При выполнении обмена на Uniswap следует авторизовать только ту сумму, которая необходима для взаимодействия. Хотя повторная авторизация для каждого взаимодействия увеличивает некоторые затраты на взаимодействие, это может предотвратить фишинг подписей Permit2. Если лимит уже был авторизован, вы можете использовать соответствующий безопасный плагин для отмены авторизации.
![Подписка и кража? Раскрытие мошенничества с подписанием Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(
)# 4. Определите природу токена, узнайте, поддерживает ли он функцию permit:
В будущем может быть все больше токенов ERC20, использующих этот расширенный протокол для реализации функции разрешения (permit). Необходимо следить за тем, поддерживает ли токен, которым вы владеете, эту функцию. Если поддерживает, будьте особенно осторожны при торговле или операциях с этим токеном, строго проверяя каждую неизвестную подпись на предмет того, является ли она подписью для функции permit.
5. Если после обмана токены существуют на других платформах, необходимо разработать полный план спасения:
Если вы обнаружили, что стали жертвой мошенничества и токены были переведены хакерами, и если у вас еще есть токены на других платформах, которые необходимо вывести и перевести на безопасный адрес, имейте в виду, что хакеры могут в любой момент отслеживать баланс токенов на вашем адресе. Поскольку у них есть ваша подпись, как только на украденном адресе появится токен, хакеры смогут напрямую перевести его. В этом случае необходимо разработать полный процесс спасения токенов, в котором нужно одновременно выполнять два процесса: вывод токенов и их перевод, чтобы не дать хакерам вставить свои сделки. Можно использовать MEV-переводы, для этого нужны определенные знания о блокчейне и навыки программирования, также можно обратиться за помощью к профессиональным компаниям безопасности, используя скрипты для опережающей торговли.
В будущем рыбалка на основе Permit2 может стать все более распространенной, этот способ подписания рыбалки крайне скрытный и труден для предотвращения. С расширением сферы применения Permit2 увеличится и количество адресов, подверженных риску. Надеюсь, что после прочтения этой статьи она будет распространена среди большего числа людей, чтобы избежать потерь у большего количества людей.