Uniswap Permit2 İmza Phishing Eyewash'ını Ortaya Çıkarmak: Sadece imza atarak çalınacaksınız
Korsanlar, Web3 ekosisteminde her zaman korkutucu bir varlık olmuştur. Proje sahipleri için, kodun açık kaynak olma özelliği, geliştirme sırasında ince bir ipte yürümek gibi bir durum yaratır; tek bir kod hatası bile bir güvenlik açığı bırakmaktan korkarlar. Bireysel kullanıcılar için, eğer yapılan işlemlerin anlamını anlamazlarsa, her blok zinciri etkileşimi veya imza, varlıkların çalınmasına yol açabilir. Bu nedenle, güvenlik sorunları kripto dünyasındaki en zorlu problemlerden biri olmaya devam etmektedir. Blok zincirinin özellikleri nedeniyle, bir varlık çalındığında geri alınması neredeyse imkansızdır, bu yüzden kripto dünyasında güvenlik bilgilerine sahip olmak son derece önemlidir.
Son zamanlarda, iki ay önce aktif hale gelen yeni bir oltalama yöntemi keşfedildi, sadece imza atarak çalınabiliyor, yöntem son derece gizli ve önlenmesi zor. Ayrıca, daha önce Uniswap ile etkileşimde bulunan adresler de risk altında olabilir. Bu makalede, bu imza oltalama yöntemini açıklayacağız, böylece daha fazla kişinin varlık kaybı yaşamasını önlemeye çalışacağız.
olay süreci
Son zamanlarda, bir arkadaşım ( kısaca A olarak adlandırılan cüzdan varlıklarının çalındığını bildirdi. Yaygın hırsızlık yöntemlerinden farklı olarak, A özel anahtarını ifşa etmedi ve bir phishing sitesinin sözleşmesi ile etkileşime girmedi.
Blockchain tarayıcısı aracılığıyla görülebilir ki, küçük A cüzdanının çalınan USDT'si Transfer From fonksiyonu ile transfer edilmiştir. Bu, çalınan varlıkların başka bir adres tarafından transfer edildiği, cüzdanın özel anahtarının sızdırılmadığı anlamına gelmektedir.
Ticaret detaylarını sorgularken bazı kritik ipuçları buldum:
Sonu fd51 olan adres, küçük A'nın varlıklarını sonu a0c8 olan adrese transfer etti.
Bu işlem Uniswap'ın Permit2 sözleşmesi ile etkileşimde bulunuyor.
![İmza ile mi çalındı? Uniswap Permit2 imza oltalama eyewash'ını ifşa et])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
O zaman sorun şu: fd51 son rakamına sahip adres bu varlığın yetkisini nasıl aldı? Neden Uniswap ile ilgili?
Öncelikle bilinmesi gereken, Transfer From fonksiyonunu başarıyla çağırmak için, çağıran tarafın bu Token'ın miktar yetkisine sahip olması gerektiğidir, yani approve. Bazı Dapp'leri kullanırken, varlık transferi söz konusu olduğunda önce )approve( işlemini gerçekleştirmek gerekir, böylece Dapp'in sözleşmesi varlıklarımızı transfer etme yetkisine sahip olur.
Cevap, fd51 numaralı adresin etkileşim kayıtlarında. Bu adreste Transfer From işlemi gerçekleştirilmeden önce, bir Permit işlemi de yapılmış; her iki işlemin etkileşim nesnesi de Uniswap'ın Permit2 sözleşmesi.
![İmza çalındı mı? Uniswap Permit2 imza oltalama eyewash'ını ortaya çıkarıyoruz])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Uniswap Permit2 akıllı sözleşmesi, Uniswap'ın 2022'nin sonunda tanıttığı yeni bir akıllı sözleşmedir. Resmi açıklamalara göre, bu bir token onay sözleşmesidir ve farklı uygulamalar arasında token yetkilerini paylaşmayı ve yönetmeyi sağlar. Daha birleşik, maliyet etkin ve güvenli bir kullanıcı deneyimi yaratmayı amaçlamaktadır.
Daha fazla projenin Permit2 ile entegre olmasıyla birlikte, tüm uygulamalarda standartlaştırılmış Token onaylarını gerçekleştirebilir. Permit2, işlem maliyetlerini düşürerek kullanıcı deneyimini iyileştirirken, akıllı sözleşmelerin güvenliğini artıracaktır.
Permit2'nin piyasaya sürülmesi, tüm Dapp ekosisteminin oyun kurallarını değiştirebilir. Kısacası, geleneksel yöntem, Dapp ile varlık transferi etkileşimi her seferinde yetkilendirme gerektirirken, Permit2 bu adımı ortadan kaldırarak kullanıcı etkileşim maliyetlerini etkili bir şekilde azaltır ve daha iyi bir kullanıcı deneyimi sunar.
Permit2, kullanıcılar ile Dapp arasında bir aracı olarak işlev görür. Kullanıcılar yalnızca Token yetkilerini Permit2 sözleşmesine devretmek zorundadır; Permit2 sözleşmesini entegre eden tüm Dapp'ler bu yetki miktarını paylaşabilir. Kullanıcılar için etkileşim maliyetleri azalır ve deneyim artar; Dapp'ler için ise kullanıcı deneyimindeki iyileşme daha fazla kullanıcı ve fon getirir, bu da her iki taraf için kazan-kazan durumu oluşturur. Ancak bu, aynı zamanda iki ucu keskin bir kılıç olabilir; sorun, Permit2 ile etkileşim biçiminde yatmaktadır.
Geleneksel etkileşim yöntemlerinde, ister yetkilendirme ister fon transferi olsun, işlem yapan kullanıcılar için bu zincir üzerindeki etkileşimdir. Ancak Permit2, kullanıcı işlemlerini zincir dışı imzaya dönüştürür, tüm zincir üzerindeki işlemler aracı rolündeki ) gibi Permit2 sözleşmesi ve Permit2'yi entegre eden proje sahipleri gibi ( tarafından tamamlanır. Bu tür bir çözümün avantajı, zincir üzerindeki etkileşim rolünün kullanıcıdan aracıya geçmesi nedeniyle, kullanıcı cüzdanında ETH olmasa bile diğer Token'larla Gas ücretini ödeyebilmesi ya da tamamen aracı tarafından geri ödenmesi seçeneğine bağlıdır.
Permit2'nin ortaya çıkması gelecekteki Dapp'lerin oyun kurallarını değiştirebilir, ancak bu güçlü bir iki ucu keskin bir kılıçtır. Kullanıcılar için, zincir dışı imza en kolay dikkatsiz olunabilecek aşamadır. Örneğin, bazı Dapp'lere cüzdan ile giriş yaptığımızda bağlantıyı imzalamamız gerekiyor, çoğu insan imza içeriğini dikkatlice kontrol etmez veya anlamını kavrayamaz, bu da en tehlikeli nokta.
Permit2 sözleşmesini anladıktan sonra, A'nın olayına döndüğümüzde varlıkların çalınmasının nedeninin her zaman Permit2 sözleşmesiyle etkileşimde bulunmak olduğunu anlamış olacağız. Bu Permit2 imza dolandırıcılığını yeniden oluşturmak için öncelikle dolandırıcılığa uğramış cüzdanın Uniswap'ın Permit2 sözleşmesine token yetkisi vermiş olması gerekiyor. Şu anda, Permit2 ile entegre Dapp'lerde veya Uniswap'ta Swap işlemi yaparken, her zaman Permit2 sözleşmesine yetki vermek gerekiyor.
![İmza çalındı mı? Uniswap Permit2 imza oltalama eyewash'ını açığa çıkarıyoruz])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Bir diğer endişe verici nokta, ne kadar Swap yapılacağına bakılmaksızın, Uniswap'ın Permit2 sözleşmesinin kullanıcıların bu Token'ın tüm bakiyesini yetkilendirmesini varsayılan olarak sağlamasıdır. MetaMask özel bir miktar girişi yapmaya izin verse de, çoğu kişi muhtemelen doğrudan maksimum veya varsayılan değere tıklayacaktır ve Permit2'nin varsayılan değeri sınırsız bir limittir.
Bu, 2023'ten sonra Uniswap ile etkileşiminiz olduysa ve Permit2 sözleşmesine yetki verdiyseniz, bu dolandırıcılık göz boyama riskiyle maruz kalabileceğiniz anlamına geliyor.
Anahtar, daha önce fd51 sonlu adresinde Permit2 sözleşmesi ile etkileşimde bulunan Permit fonksiyonudur. Kısacası, bu fonksiyon cüzdanınızı kullanarak, Permit2 sözleşmesine verdiğiniz Token limitini başka bir adrese aktarır. Yani, sadece imzanızı alarak, hacker cüzdanınızdaki Token'ların yetkisini alabilir ve varlıklarınızı transfer edebilir.
) olay detaylı analizi
izin fonksiyonu:
permit fonksiyonu çevrimiçi sözleşme imzalamaya benzerdir. Bu, senin ###PermitSingle( önceden bir "sözleşme" imzalamana izin verir, böylece başkalarının )spender( gelecekte bir zamanda senin bazı tokenlerini kullanmasına olanak tanır.
Senin ayrıca kağıt sözleşmede imza attığın gibi, bu "sözleşmenin" gerçekten senin imzaladığını kanıtlamak için imza )signature( sağlaman gerekiyor.
Fonksiyon iş akışı:
Geçerli zamanın )sigDeadline( imza süresini aşıp aşmadığını kontrol edin. Süre aşılmışsa, program doğrudan durur.
İmzanın gerçekliğini kontrol edin. Özel yöntemle )signature.verify( kullanarak imzayı kontrol edin, sahte olmadığından emin olun.
Tüm kontroller geçerse, program güncelleme kaydını yapın, başkalarının sizin belirli tokenlerinizi kullanmasına izin verdiğinizi not edin.
Ana odak, verify fonksiyonu ve _updateApproval fonksiyonundadır.
verify fonksiyonu:
verify fonksiyonu, imza bilgisi parametrelerinden v, r, s üç veriyi alır. v, r, s, işlem imzasının değerleridir ve işlem imza adresini geri almak için kullanılabilir. Sözleşme işlem imza adresini geri aldıktan sonra, verilen token sahibinin adresi ile karşılaştırır; eğer aynıysa doğrulama başarılı olur ve _updateApproval fonksiyonu çağrılmaya devam edilir; eğer farklıysa işlem geri alınır.
_updateApproval fonksiyonu:
İmza doğrulamasından sonra, _updateApproval fonksiyonu ile onay değerini güncellemek, yetkinizin devredildiği anlamına gelir. Bu durumda, yetkilendirilmiş taraf transferfrom fonksiyonunu çağırarak token'ı belirtilen adrese transfer edebilir.
Zincir üzerindeki gerçek işlem detaylarını incelemek mümkündür:
owner, küçük A'nın cüzdan adresi ) sonu 308a(
Detaylar bölümünde yetkilendirilmiş Token sözleşme adresi )USDT( ve miktar gibi bilgiler görülebilir.
Spender, fd51 son haneli bir hacker adresidir.
sigDeadline, imzanın geçerlilik süresidir, signature ise A'nın imza bilgileridir.
![İmza atmak hırsızlığa mı yol açıyor? Uniswap Permit2 imza phishing eyewash'ını açığa çıkarıyoruz])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Küçük A'nın etkileşim kayıtlarını incelediğimizde, Küçük A'nın daha önce Uniswap kullanırken varsayılan yetki miktarına tıkladığını, yani neredeyse sonsuz bir miktar olduğunu fark ettik.
![İmza ile mi çalındı? Uniswap Permit2 imza oltalama eyewash'ını ortaya çıkarıyoruz])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
Basit bir değerlendirme: Küçük A, daha önce Uniswap kullanırken Uniswap Permit2'ye sınırsız USDT limiti yetkisi vermişti. Küçük A, cüzdanında işlem yaparken, bir hacker tarafından tasarlanmış Permit2 imza sahtekarlığı tuzağına yanlışlıkla düştü. Hacker, Küçük A'nın imzasını aldıktan sonra, Permit2 sözleşmesinde Permit ve Transfer From işlemlerini gerçekleştirerek Küçük A'nın varlıklarını transfer etti. Şu anda Uniswap'ın Permit2 sözleşmesinin bir sahtekarlık cenneti haline geldiği gözlemleniyor; bu tür Permit2 imza sahtekarlığı, iki ay önce aktif hale gelmiş gibi görünüyor.
Etkileşim kayıtlarında görülebilir, çoğu işaretlenmiş oltalama adresi )Fake_Phishing(, sürekli olarak insanlar kandırılıyor.
Uniswap Permit2 sözleşmesinin gelecekte daha yaygın hale gelebileceği göz önüne alındığında, daha fazla projenin yetkilendirme paylaşımı için Permit2 sözleşmesini entegre etmesi beklenmektedir, etkili önleme yöntemleri şunları içermektedir:
1. İmza içeriğini anlama ve tanıma:
Permit'in imza formatı genellikle Owner, Spender, value, nonce ve deadline gibi önemli formatları içerir. Eğer Permit2'nin sağladığı kolaylıkları ve düşük maliyetleri yaşamak istiyorsanız, bu imza formatını tanımayı öğrenmelisiniz. ### güvenlik eklentisini indirmek iyi bir seçenek (
![İmza atınca mı çalındı? Uniswap Permit2 imza oltalama eyewash'ını keşfedin])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(
)# 2. Varlık depolama ve etkileşim cüzdanını ayırma:
Eğer büyük miktarda varlığınız varsa, varlıkları soğuk cüzdanda saklamanızı öneririm. Zincir üzerindeki etkileşim cüzdanında yalnızca az miktarda para bulundurmak, oltalama eyewash ile karşılaştığınızda kaybınızı önemli ölçüde azaltabilir.
3. Permit2 sözleşmesine yetki verilmiş miktarı sınırlama veya yetkileri iptal etme:
Uniswap üzerinde Swap yaparken, yalnızca etkileşim için gerekli miktarı yetkilendirin. Her etkileşimde yeniden yetkilendirme yapılması bazı etkileşim maliyetlerini artırsa da, Permit2'nin imza dolandırıcılığından kaçınmanızı sağlar. Eğer bir limit yetkilendirilmişse, ilgili güvenlik eklentisini kullanarak yetkiyi iptal edebilirsiniz.
![İmza ile mi çalındı? Uniswap Permit2 imza oltalama eyewash'ını ortaya çıkarıyor]###https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(
Gelecekte, daha fazla ERC20 tokeninin bu genişletme protokolünü kullanarak izin (permit) işlevini gerçekleştirmesi mümkün olabilir. Sahip olduğunuz tokenin bu işlevi destekleyip desteklemediğine dikkat etmeniz gerekiyor; eğer destekliyorsa, o tokenin işlemleri veya işlemleri konusunda özellikle dikkatli olmalısınız, her bilinmeyen imzanın izin (permit) fonksiyonuna ait olup olmadığını titizlikle kontrol etmelisiniz.
5. Dolandırıldıktan sonra, eğer başka platformlarda token varsa, kapsamlı bir kurtarma planı hazırlanmalıdır:
Sahtekarlıkla karşılaştığınızda, token'larınız hacker tarafından transfer edildikten sonra, eğer başka platformlarda staking gibi yöntemlerle hala token'lar varsa, bunları çekip güvenli bir adrese transfer etmeniz gerekir. Hacker'ın her an adresinizdeki token bakiyenizi izleyebileceğini bilmelisiniz. Çünkü o sizin imzanıza sahip, eğer çalınan adreste token'lar görünürse, hacker doğrudan transfer gerçekleştirebilir. Bu durumda token kurtarma sürecini iyi bir şekilde planlamak gerekir. Token çekme ve token transfer etme işlemlerinin birlikte yürütülmesi, hacker’ın işlemlere müdahale etmesini önlemek için önemlidir. MEV transferi kullanılabilir, bu biraz blockchain bilgisi ve programlama yeteneği gerektirir, ayrıca profesyonel güvenlik şirketlerinin yardımını da alabilir, işlem önceliklendirme script'leri kullanarak bu işlemi gerçekleştirebilirsiniz.
Gelecekte Permit2 tabanlı oltalama olayları artabilir; bu tür imza oltalaması son derece gizli ve önlenmesi zor bir yöntemdir. Permit2'nin uygulama alanı genişledikçe, risk altında olan adreslerin sayısı da artacaktır. Bu makaleyi gördükten sonra daha fazla kişiye ulaştırılmasını umuyoruz, böylece daha fazla kişinin kayba uğramasını önleyebiliriz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
4
Share
Comment
0/400
MetaLord420
· 07-31 15:37
Yine çalındım, çok panik oldum.
View OriginalReply0
CodeAuditQueen
· 07-31 15:37
Sadece sözleşmelerin mermiler gibi kör olduğunu söyleyebilirim, dikkatsiz olduğunuzda varlıklar sıfıra düşer.
Uniswap Permit2 imza oltacılığı yeni eyewash: tek bir imzayla varlık çalınıyor
Uniswap Permit2 İmza Phishing Eyewash'ını Ortaya Çıkarmak: Sadece imza atarak çalınacaksınız
Korsanlar, Web3 ekosisteminde her zaman korkutucu bir varlık olmuştur. Proje sahipleri için, kodun açık kaynak olma özelliği, geliştirme sırasında ince bir ipte yürümek gibi bir durum yaratır; tek bir kod hatası bile bir güvenlik açığı bırakmaktan korkarlar. Bireysel kullanıcılar için, eğer yapılan işlemlerin anlamını anlamazlarsa, her blok zinciri etkileşimi veya imza, varlıkların çalınmasına yol açabilir. Bu nedenle, güvenlik sorunları kripto dünyasındaki en zorlu problemlerden biri olmaya devam etmektedir. Blok zincirinin özellikleri nedeniyle, bir varlık çalındığında geri alınması neredeyse imkansızdır, bu yüzden kripto dünyasında güvenlik bilgilerine sahip olmak son derece önemlidir.
Son zamanlarda, iki ay önce aktif hale gelen yeni bir oltalama yöntemi keşfedildi, sadece imza atarak çalınabiliyor, yöntem son derece gizli ve önlenmesi zor. Ayrıca, daha önce Uniswap ile etkileşimde bulunan adresler de risk altında olabilir. Bu makalede, bu imza oltalama yöntemini açıklayacağız, böylece daha fazla kişinin varlık kaybı yaşamasını önlemeye çalışacağız.
olay süreci
Son zamanlarda, bir arkadaşım ( kısaca A olarak adlandırılan cüzdan varlıklarının çalındığını bildirdi. Yaygın hırsızlık yöntemlerinden farklı olarak, A özel anahtarını ifşa etmedi ve bir phishing sitesinin sözleşmesi ile etkileşime girmedi.
Blockchain tarayıcısı aracılığıyla görülebilir ki, küçük A cüzdanının çalınan USDT'si Transfer From fonksiyonu ile transfer edilmiştir. Bu, çalınan varlıkların başka bir adres tarafından transfer edildiği, cüzdanın özel anahtarının sızdırılmadığı anlamına gelmektedir.
Ticaret detaylarını sorgularken bazı kritik ipuçları buldum:
![İmza ile mi çalındı? Uniswap Permit2 imza oltalama eyewash'ını ifşa et])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
O zaman sorun şu: fd51 son rakamına sahip adres bu varlığın yetkisini nasıl aldı? Neden Uniswap ile ilgili?
Öncelikle bilinmesi gereken, Transfer From fonksiyonunu başarıyla çağırmak için, çağıran tarafın bu Token'ın miktar yetkisine sahip olması gerektiğidir, yani approve. Bazı Dapp'leri kullanırken, varlık transferi söz konusu olduğunda önce )approve( işlemini gerçekleştirmek gerekir, böylece Dapp'in sözleşmesi varlıklarımızı transfer etme yetkisine sahip olur.
Cevap, fd51 numaralı adresin etkileşim kayıtlarında. Bu adreste Transfer From işlemi gerçekleştirilmeden önce, bir Permit işlemi de yapılmış; her iki işlemin etkileşim nesnesi de Uniswap'ın Permit2 sözleşmesi.
![İmza çalındı mı? Uniswap Permit2 imza oltalama eyewash'ını ortaya çıkarıyoruz])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Uniswap Permit2 akıllı sözleşmesi, Uniswap'ın 2022'nin sonunda tanıttığı yeni bir akıllı sözleşmedir. Resmi açıklamalara göre, bu bir token onay sözleşmesidir ve farklı uygulamalar arasında token yetkilerini paylaşmayı ve yönetmeyi sağlar. Daha birleşik, maliyet etkin ve güvenli bir kullanıcı deneyimi yaratmayı amaçlamaktadır.
Daha fazla projenin Permit2 ile entegre olmasıyla birlikte, tüm uygulamalarda standartlaştırılmış Token onaylarını gerçekleştirebilir. Permit2, işlem maliyetlerini düşürerek kullanıcı deneyimini iyileştirirken, akıllı sözleşmelerin güvenliğini artıracaktır.
Permit2'nin piyasaya sürülmesi, tüm Dapp ekosisteminin oyun kurallarını değiştirebilir. Kısacası, geleneksel yöntem, Dapp ile varlık transferi etkileşimi her seferinde yetkilendirme gerektirirken, Permit2 bu adımı ortadan kaldırarak kullanıcı etkileşim maliyetlerini etkili bir şekilde azaltır ve daha iyi bir kullanıcı deneyimi sunar.
Permit2, kullanıcılar ile Dapp arasında bir aracı olarak işlev görür. Kullanıcılar yalnızca Token yetkilerini Permit2 sözleşmesine devretmek zorundadır; Permit2 sözleşmesini entegre eden tüm Dapp'ler bu yetki miktarını paylaşabilir. Kullanıcılar için etkileşim maliyetleri azalır ve deneyim artar; Dapp'ler için ise kullanıcı deneyimindeki iyileşme daha fazla kullanıcı ve fon getirir, bu da her iki taraf için kazan-kazan durumu oluşturur. Ancak bu, aynı zamanda iki ucu keskin bir kılıç olabilir; sorun, Permit2 ile etkileşim biçiminde yatmaktadır.
Geleneksel etkileşim yöntemlerinde, ister yetkilendirme ister fon transferi olsun, işlem yapan kullanıcılar için bu zincir üzerindeki etkileşimdir. Ancak Permit2, kullanıcı işlemlerini zincir dışı imzaya dönüştürür, tüm zincir üzerindeki işlemler aracı rolündeki ) gibi Permit2 sözleşmesi ve Permit2'yi entegre eden proje sahipleri gibi ( tarafından tamamlanır. Bu tür bir çözümün avantajı, zincir üzerindeki etkileşim rolünün kullanıcıdan aracıya geçmesi nedeniyle, kullanıcı cüzdanında ETH olmasa bile diğer Token'larla Gas ücretini ödeyebilmesi ya da tamamen aracı tarafından geri ödenmesi seçeneğine bağlıdır.
Permit2'nin ortaya çıkması gelecekteki Dapp'lerin oyun kurallarını değiştirebilir, ancak bu güçlü bir iki ucu keskin bir kılıçtır. Kullanıcılar için, zincir dışı imza en kolay dikkatsiz olunabilecek aşamadır. Örneğin, bazı Dapp'lere cüzdan ile giriş yaptığımızda bağlantıyı imzalamamız gerekiyor, çoğu insan imza içeriğini dikkatlice kontrol etmez veya anlamını kavrayamaz, bu da en tehlikeli nokta.
Permit2 sözleşmesini anladıktan sonra, A'nın olayına döndüğümüzde varlıkların çalınmasının nedeninin her zaman Permit2 sözleşmesiyle etkileşimde bulunmak olduğunu anlamış olacağız. Bu Permit2 imza dolandırıcılığını yeniden oluşturmak için öncelikle dolandırıcılığa uğramış cüzdanın Uniswap'ın Permit2 sözleşmesine token yetkisi vermiş olması gerekiyor. Şu anda, Permit2 ile entegre Dapp'lerde veya Uniswap'ta Swap işlemi yaparken, her zaman Permit2 sözleşmesine yetki vermek gerekiyor.
![İmza çalındı mı? Uniswap Permit2 imza oltalama eyewash'ını açığa çıkarıyoruz])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
Bir diğer endişe verici nokta, ne kadar Swap yapılacağına bakılmaksızın, Uniswap'ın Permit2 sözleşmesinin kullanıcıların bu Token'ın tüm bakiyesini yetkilendirmesini varsayılan olarak sağlamasıdır. MetaMask özel bir miktar girişi yapmaya izin verse de, çoğu kişi muhtemelen doğrudan maksimum veya varsayılan değere tıklayacaktır ve Permit2'nin varsayılan değeri sınırsız bir limittir.
Bu, 2023'ten sonra Uniswap ile etkileşiminiz olduysa ve Permit2 sözleşmesine yetki verdiyseniz, bu dolandırıcılık göz boyama riskiyle maruz kalabileceğiniz anlamına geliyor.
Anahtar, daha önce fd51 sonlu adresinde Permit2 sözleşmesi ile etkileşimde bulunan Permit fonksiyonudur. Kısacası, bu fonksiyon cüzdanınızı kullanarak, Permit2 sözleşmesine verdiğiniz Token limitini başka bir adrese aktarır. Yani, sadece imzanızı alarak, hacker cüzdanınızdaki Token'ların yetkisini alabilir ve varlıklarınızı transfer edebilir.
) olay detaylı analizi
izin fonksiyonu:
permit fonksiyonu çevrimiçi sözleşme imzalamaya benzerdir. Bu, senin ###PermitSingle( önceden bir "sözleşme" imzalamana izin verir, böylece başkalarının )spender( gelecekte bir zamanda senin bazı tokenlerini kullanmasına olanak tanır.
Senin ayrıca kağıt sözleşmede imza attığın gibi, bu "sözleşmenin" gerçekten senin imzaladığını kanıtlamak için imza )signature( sağlaman gerekiyor.
Fonksiyon iş akışı:
Ana odak, verify fonksiyonu ve _updateApproval fonksiyonundadır.
verify fonksiyonu:
verify fonksiyonu, imza bilgisi parametrelerinden v, r, s üç veriyi alır. v, r, s, işlem imzasının değerleridir ve işlem imza adresini geri almak için kullanılabilir. Sözleşme işlem imza adresini geri aldıktan sonra, verilen token sahibinin adresi ile karşılaştırır; eğer aynıysa doğrulama başarılı olur ve _updateApproval fonksiyonu çağrılmaya devam edilir; eğer farklıysa işlem geri alınır.
_updateApproval fonksiyonu:
İmza doğrulamasından sonra, _updateApproval fonksiyonu ile onay değerini güncellemek, yetkinizin devredildiği anlamına gelir. Bu durumda, yetkilendirilmiş taraf transferfrom fonksiyonunu çağırarak token'ı belirtilen adrese transfer edebilir.
Zincir üzerindeki gerçek işlem detaylarını incelemek mümkündür:
![İmza atmak hırsızlığa mı yol açıyor? Uniswap Permit2 imza phishing eyewash'ını açığa çıkarıyoruz])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Küçük A'nın etkileşim kayıtlarını incelediğimizde, Küçük A'nın daha önce Uniswap kullanırken varsayılan yetki miktarına tıkladığını, yani neredeyse sonsuz bir miktar olduğunu fark ettik.
![İmza ile mi çalındı? Uniswap Permit2 imza oltalama eyewash'ını ortaya çıkarıyoruz])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
Basit bir değerlendirme: Küçük A, daha önce Uniswap kullanırken Uniswap Permit2'ye sınırsız USDT limiti yetkisi vermişti. Küçük A, cüzdanında işlem yaparken, bir hacker tarafından tasarlanmış Permit2 imza sahtekarlığı tuzağına yanlışlıkla düştü. Hacker, Küçük A'nın imzasını aldıktan sonra, Permit2 sözleşmesinde Permit ve Transfer From işlemlerini gerçekleştirerek Küçük A'nın varlıklarını transfer etti. Şu anda Uniswap'ın Permit2 sözleşmesinin bir sahtekarlık cenneti haline geldiği gözlemleniyor; bu tür Permit2 imza sahtekarlığı, iki ay önce aktif hale gelmiş gibi görünüyor.
Etkileşim kayıtlarında görülebilir, çoğu işaretlenmiş oltalama adresi )Fake_Phishing(, sürekli olarak insanlar kandırılıyor.
![İmza atınca mı çalınıyor? Uniswap Permit2 imza oltalama eyewash'ını açığa çıkarıyoruz])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
) nasıl korunur?
Uniswap Permit2 sözleşmesinin gelecekte daha yaygın hale gelebileceği göz önüne alındığında, daha fazla projenin yetkilendirme paylaşımı için Permit2 sözleşmesini entegre etmesi beklenmektedir, etkili önleme yöntemleri şunları içermektedir:
1. İmza içeriğini anlama ve tanıma:
Permit'in imza formatı genellikle Owner, Spender, value, nonce ve deadline gibi önemli formatları içerir. Eğer Permit2'nin sağladığı kolaylıkları ve düşük maliyetleri yaşamak istiyorsanız, bu imza formatını tanımayı öğrenmelisiniz. ### güvenlik eklentisini indirmek iyi bir seçenek (
![İmza atınca mı çalındı? Uniswap Permit2 imza oltalama eyewash'ını keşfedin])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(
)# 2. Varlık depolama ve etkileşim cüzdanını ayırma:
Eğer büyük miktarda varlığınız varsa, varlıkları soğuk cüzdanda saklamanızı öneririm. Zincir üzerindeki etkileşim cüzdanında yalnızca az miktarda para bulundurmak, oltalama eyewash ile karşılaştığınızda kaybınızı önemli ölçüde azaltabilir.
3. Permit2 sözleşmesine yetki verilmiş miktarı sınırlama veya yetkileri iptal etme:
Uniswap üzerinde Swap yaparken, yalnızca etkileşim için gerekli miktarı yetkilendirin. Her etkileşimde yeniden yetkilendirme yapılması bazı etkileşim maliyetlerini artırsa da, Permit2'nin imza dolandırıcılığından kaçınmanızı sağlar. Eğer bir limit yetkilendirilmişse, ilgili güvenlik eklentisini kullanarak yetkiyi iptal edebilirsiniz.
![İmza ile mi çalındı? Uniswap Permit2 imza oltalama eyewash'ını ortaya çıkarıyor]###https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(
)# 4. Token türünü tanımlama, permit işlevini destekleyip desteklemediğini anlama:
Gelecekte, daha fazla ERC20 tokeninin bu genişletme protokolünü kullanarak izin (permit) işlevini gerçekleştirmesi mümkün olabilir. Sahip olduğunuz tokenin bu işlevi destekleyip desteklemediğine dikkat etmeniz gerekiyor; eğer destekliyorsa, o tokenin işlemleri veya işlemleri konusunda özellikle dikkatli olmalısınız, her bilinmeyen imzanın izin (permit) fonksiyonuna ait olup olmadığını titizlikle kontrol etmelisiniz.
5. Dolandırıldıktan sonra, eğer başka platformlarda token varsa, kapsamlı bir kurtarma planı hazırlanmalıdır:
Sahtekarlıkla karşılaştığınızda, token'larınız hacker tarafından transfer edildikten sonra, eğer başka platformlarda staking gibi yöntemlerle hala token'lar varsa, bunları çekip güvenli bir adrese transfer etmeniz gerekir. Hacker'ın her an adresinizdeki token bakiyenizi izleyebileceğini bilmelisiniz. Çünkü o sizin imzanıza sahip, eğer çalınan adreste token'lar görünürse, hacker doğrudan transfer gerçekleştirebilir. Bu durumda token kurtarma sürecini iyi bir şekilde planlamak gerekir. Token çekme ve token transfer etme işlemlerinin birlikte yürütülmesi, hacker’ın işlemlere müdahale etmesini önlemek için önemlidir. MEV transferi kullanılabilir, bu biraz blockchain bilgisi ve programlama yeteneği gerektirir, ayrıca profesyonel güvenlik şirketlerinin yardımını da alabilir, işlem önceliklendirme script'leri kullanarak bu işlemi gerçekleştirebilirsiniz.
Gelecekte Permit2 tabanlı oltalama olayları artabilir; bu tür imza oltalaması son derece gizli ve önlenmesi zor bir yöntemdir. Permit2'nin uygulama alanı genişledikçe, risk altında olan adreslerin sayısı da artacaktır. Bu makaleyi gördükten sonra daha fazla kişiye ulaştırılmasını umuyoruz, böylece daha fazla kişinin kayba uğramasını önleyebiliriz.