الهاكرز هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمشاريع، يجعل الكود مفتوح المصدرهم في حالة من القلق، خوفًا من أن يترك خطأ بسيط ثغرة. بالنسبة للمستخدمين الفرديين، فإن كل تفاعل أو توقيع على السلسلة يمكن أن يؤدي إلى سرقة الأصول. لذلك، كانت مشكلة الأمان دائمًا واحدة من النقاط المؤلمة في عالم التشفير. نظرًا لخصائص blockchain، فإن الأصول المسروقة تكاد تكون مستحيلة الاسترداد، لذا فإن امتلاك المعرفة الأمنية أمر بالغ الأهمية.
مؤخراً، اكتشف أحد الباحثين طريقة جديدة للاحتيال، حيث يمكن أن تؤدي مجرد التوقيع إلى سرقة الأصول. هذه الطريقة خفية للغاية ومن الصعب الوقاية منها، وأي عنوان تفاعل مع منصة تداول معينة قد يواجه خطرًا. ستقوم هذه المقالة بتوعية حول هذه الطريقة للاحتيال بالتوقيع، لتجنب المزيد من خسائر الأصول.
تفاصيل الحدث
مؤخراً، تمت سرقة أصول محفظة صديقي ( الصغير A ). وعلى عكس طرق السرقة الشائعة، لم يقم الصغير A بكشف مفتاحه الخاص ولم يتفاعل مع عقود مواقع التصيد.
يعرض مستعرض البلوكشين أن USDT في محفظة A الصغيرة تم نقلها من خلال دالة Transfer From. وهذا يعني أن عنوانًا آخر قام بعملية نقل الرموز، وليس تسريب مفتاح المحفظة الخاصة.
تكشف تفاصيل الصفقة عن أدلة رئيسية:
عنوان ينقل أصول الصغيرة A إلى عنوان آخر
هذا الإجراء يتفاعل مع عقد Permit2 لمنصة تداول معينة
المشكلة هي، كيف حصلت هذه العنوان على صلاحيات الأصول؟ ولماذا يتعلق الأمر بمنصة تداول معينة؟
للاستدعاء دالة النقل من، يجب أن يمتلك المستدعي إذن كمية الرموز (approve). قبل نقل أصول A الصغيرة من هذا العنوان، تم إجراء عملية تصريح واحدة، حيث تتفاعل العمليتان مع عقد Permit2 الخاص بمنصة تداول معينة.
Permit2 هو عقد جديد تم إطلاقه في نهاية عام 2022 على منصة تداول معينة، ويتيح تفويض الرموز لمشاركة الإدارة بين تطبيقات مختلفة، بهدف خلق تجربة مستخدم أكثر توحيدًا وفعالية من حيث التكلفة وأكثر أمانًا. مع تكامل المزيد من المشاريع، من المتوقع أن يحقق Permit2 معيار تفويض الرموز في جميع التطبيقات، مما يقلل من تكاليف التداول ويعزز أمان العقود الذكية.
قد يؤثر إطلاق Permit2 على قواعد بيئة Dapp. في الطريقة التقليدية، يحتاج المستخدم إلى تفويض في كل مرة يتفاعل فيها مع Dapp، بينما يمكن لـ Permit2 تجنب هذه الخطوة، مما يقلل بشكل فعال من تكلفة تفاعل المستخدم. يعمل Permit2 كوسيط بين المستخدم وDapp، حيث يحتاج المستخدم فقط إلى التفويض لعقد Permit2، ويمكن لجميع Dapp المتكاملة مع هذا العقد مشاركة سعة التفويض.
ومع ذلك، هذه أيضًا سيف ذو حدين. يحول Permit2 عمليات المستخدم إلى توقيع خارج السلسلة، وتتم جميع العمليات على السلسلة بواسطة جهة وسيطة. وهذا يعني أنه حتى إذا لم يكن لدى محفظة المستخدم ETH، يمكن استخدام رموز أخرى لدفع رسوم الغاز أو يتم تعويضها من قبل الجهة الوسيطة. ولكن توقيع خارج السلسلة هو أيضًا المرحلة التي يسهل على المستخدم تجاهلها، حيث أن معظم الناس لن يقوموا بفحص محتوى التوقيع بعناية.
لاستخدام هذه الطريقة الاحتيالية، الشرط الأساسي هو أن يكون المحفظة المستهدفة قد منحت الإذن بـ Token لعقد Permit2. حالياً، يجب دائماً منح الإذن لعقد Permit2 عند إجراء Swap على Dapp أو منصة تداول تتضمن Permit2.
الأكثر رعبًا هو أنه بغض النظر عن مقدار Swap، سيقوم عقد Permit2 بتمكين المستخدم من تفويض رصيد هذا التوكن بالكامل بشكل افتراضي. على الرغم من أن المحفظة ستنبه المستخدم بإدخال المبلغ المخصص، إلا أن معظم الناس قد يختارون مباشرةً القيمة القصوى أو القيمة الافتراضية، والقيمة الافتراضية لـ Permit2 هي حد غير محدود.
هذا يعني أنه طالما تم التفاعل مع منصة تداول معينة بعد عام 2023 ومنح الإذن لعقد Permit2، فقد تواجه خطر هذا التضليل.
النقطة الأساسية هي دالة Permit، التي يمكن أن تنقل حد توكنات المستخدم المصرح بها لعقد Permit2 إلى عناوين أخرى. ما على القراصنة سوى الحصول على توقيع المستخدم، ليتمكنوا من الحصول على صلاحيات توكنات المستخدم في المحفظة ونقل الأصول.
تحليل تفصيلي للحدث
تسمح دالة Permit للمستخدم بتوقيع "عقد" مسبقًا، مما يسمح للآخرين (spender) باستخدام عدد معين من الرموز في المستقبل. يجب على المستخدم تقديم توقيع لإثبات صحة "العقد".
سير العمل في الدالة:
تحقق مما إذا كانت الوقت الحالي تجاوز فترة صلاحية التوقيع
التحقق من صحة التوقيع
إذا تم اجتياز الفحص، يتم تحديث السجل للسماح للآخرين باستخدام الرموز.
النقطة الأساسية هي دالة verify ودالة _updateApproval.
تقوم دالة verify باستخراج البيانات الثلاثة v و r و s من معلومات التوقيع، لاستخدامها في استعادة عنوان توقيع المعاملة. ستقوم العقدة بمقارنة العنوان المستعاد مع عنوان مالك الرموز المدخلة، وإذا كانا متطابقين، فإن التحقق يتم بنجاح.
تقوم دالة _updateApproval بتحديث قيمة التفويض بعد التحقق من التوقيع، مما يعني حدوث انتقال للحقوق. في هذه الحالة، يمكن للطرف المخول استخدام دالة transferfrom لنقل الرموز إلى العنوان المحدد.
مراجعة بسيطة: منح A سابقًا تفويضًا غير محدود لـ USDT إلى Permit2، ثم وقع عن غير قصد في فخ تصيد توقيع صممه هاكر. بعد أن حصل الهاكر على التوقيع، قام بإجراء عمليات تفويض وتحويل من خلال عقد Permit2، مما أدى إلى نقل أصول A. يبدو أن عقد Permit2 قد تحول الآن إلى جنة للتصيد، وقد بدأت هذه الطريقة في التصيد في النشاط قبل حوالي شهرين.
كيف يمكن الحماية منه؟
نظرًا لأن عقد Permit2 قد يصبح أكثر شيوعًا في المستقبل، فإن المزيد من المشاريع أو التكاملات قد تتجه إلى المشاركة المصرح بها، تشمل وسائل الحماية الفعالة ما يلي:
فهم وتحديد محتوى التوقيع:
عادةً ما يتضمن تنسيق توقيع Permit معلومات أساسية مثل Owner و Spender و value و nonce و deadline. إذا كنت ترغب في الاستفادة من سهولة Permit2، يجب عليك تعلم كيفية التعرف على هذا النوع من تنسيقات التوقيع. يعد استخدام المكونات الإضافية الآمنة خيارًا جيدًا.
فصل محفظة الأصول عن محفظة التفاعل:
من المستحسن تخزين الأصول الكبيرة في محفظة باردة، وترك كمية صغيرة من الأموال في محفظة التفاعل على السلسلة، مما يمكن أن يقلل بشكل كبير من الخسائر عند مواجهة تضليل.
تحديد حدود التفويض أو إلغاء التفويض:
عند التبادل على منصة تداول معينة، قم بتفويض المبلغ المطلوب للتفاعل فقط. على الرغم من أن الحاجة إلى إعادة التفويض في كل تفاعل ستزيد من التكاليف، إلا أنها ستجنب مخاطر تصيد توقيع Permit2. يمكن للمستخدمين المصرح لهم إلغاء التفويض من خلال ملحق الأمان.
التعرف على طبيعة الرمز، والتركيز على ما إذا كان يدعم وظيفة الإذن:
من المحتمل أن يكون هناك المزيد من رموز ERC20 التي تحقق وظيفة التصريح في المستقبل. يجب الانتباه إلى ما إذا كانت الرموز التي تمتلكها تدعم ذلك، وإذا كانت تدعم، فإن عمليات التداول يجب أن تكون أكثر حذراً، والتحقق بدقة من كل توقيع غير معروف.
بعد الخداع إذا كان لديك رموز مخزنة على منصات أخرى، يجب وضع خطة إنقاذ كاملة:
إذا تم اكتشاف الاحتيال ولكن لا يزال هناك رموز موجودة من خلال الرهن أو طرق أخرى على منصات أخرى، يجب توخي الحذر عند سحبها أو نقلها. قد يقوم القراصنة بمراقبة رصيد العناوين في أي وقت، وبمجرد ظهور الرموز، قد يتم نقلها. ينبغي وضع عملية إنقاذ شاملة، ويجب تنفيذ السحب والنقل بشكل متزامن، يمكن استخدام نقل MEV أو طلب المساعدة من فريق أمان محترف.
من المحتمل أن تزداد عمليات الاحتيال القائمة على Permit2 في المستقبل، حيث أن هذه الطريقة خفية للغاية وصعبة الحماية. مع توسيع نطاق تطبيق Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المقالة لمزيد من الأشخاص، لتجنب معاناة المزيد من الأشخاص من الخسائر.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
تسجيلات الإعجاب 9
أعجبني
9
7
مشاركة
تعليق
0/400
InfraVibes
· منذ 10 س
انظر مرة أخرى قبل التوقيع، فهمت؟
شاهد النسخة الأصليةرد0
MetaverseMigrant
· منذ 10 س
مرة أخرى ابتكرت أسلوبًا جديدًا، هذا الهاكر حقًا موهبة.
شاهد النسخة الأصليةرد0
RektButAlive
· منذ 10 س
日常都在 متابعة最新漏洞~
شاهد النسخة الأصليةرد0
StablecoinEnjoyer
· منذ 11 س
又来新 فخ ، مبتدئ慎签
شاهد النسخة الأصليةرد0
NftBankruptcyClub
· منذ 11 س
كم عدد الذين وقعوا في الفخ مرة أخرى
شاهد النسخة الأصليةرد0
P2ENotWorking
· منذ 11 س
又有新حمقى等خداع الناس لتحقيق الربح了
شاهد النسخة الأصليةرد0
ValidatorViking
· منذ 11 س
جحيم دموي، المبتدئين لا يتعلمون أبداً التحقق من التوقيعات... عد إلى الأساسيات من أجل الجحيم
أسلوب صيد التوقيع Permit2 للمبتدئين يجب الحذر من مخاطر أمان الأصول
كشف خدعة توقيع Uniswap Permit2
الهاكرز هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمشاريع، يجعل الكود مفتوح المصدرهم في حالة من القلق، خوفًا من أن يترك خطأ بسيط ثغرة. بالنسبة للمستخدمين الفرديين، فإن كل تفاعل أو توقيع على السلسلة يمكن أن يؤدي إلى سرقة الأصول. لذلك، كانت مشكلة الأمان دائمًا واحدة من النقاط المؤلمة في عالم التشفير. نظرًا لخصائص blockchain، فإن الأصول المسروقة تكاد تكون مستحيلة الاسترداد، لذا فإن امتلاك المعرفة الأمنية أمر بالغ الأهمية.
مؤخراً، اكتشف أحد الباحثين طريقة جديدة للاحتيال، حيث يمكن أن تؤدي مجرد التوقيع إلى سرقة الأصول. هذه الطريقة خفية للغاية ومن الصعب الوقاية منها، وأي عنوان تفاعل مع منصة تداول معينة قد يواجه خطرًا. ستقوم هذه المقالة بتوعية حول هذه الطريقة للاحتيال بالتوقيع، لتجنب المزيد من خسائر الأصول.
تفاصيل الحدث
مؤخراً، تمت سرقة أصول محفظة صديقي ( الصغير A ). وعلى عكس طرق السرقة الشائعة، لم يقم الصغير A بكشف مفتاحه الخاص ولم يتفاعل مع عقود مواقع التصيد.
يعرض مستعرض البلوكشين أن USDT في محفظة A الصغيرة تم نقلها من خلال دالة Transfer From. وهذا يعني أن عنوانًا آخر قام بعملية نقل الرموز، وليس تسريب مفتاح المحفظة الخاصة.
تكشف تفاصيل الصفقة عن أدلة رئيسية:
المشكلة هي، كيف حصلت هذه العنوان على صلاحيات الأصول؟ ولماذا يتعلق الأمر بمنصة تداول معينة؟
للاستدعاء دالة النقل من، يجب أن يمتلك المستدعي إذن كمية الرموز (approve). قبل نقل أصول A الصغيرة من هذا العنوان، تم إجراء عملية تصريح واحدة، حيث تتفاعل العمليتان مع عقد Permit2 الخاص بمنصة تداول معينة.
Permit2 هو عقد جديد تم إطلاقه في نهاية عام 2022 على منصة تداول معينة، ويتيح تفويض الرموز لمشاركة الإدارة بين تطبيقات مختلفة، بهدف خلق تجربة مستخدم أكثر توحيدًا وفعالية من حيث التكلفة وأكثر أمانًا. مع تكامل المزيد من المشاريع، من المتوقع أن يحقق Permit2 معيار تفويض الرموز في جميع التطبيقات، مما يقلل من تكاليف التداول ويعزز أمان العقود الذكية.
قد يؤثر إطلاق Permit2 على قواعد بيئة Dapp. في الطريقة التقليدية، يحتاج المستخدم إلى تفويض في كل مرة يتفاعل فيها مع Dapp، بينما يمكن لـ Permit2 تجنب هذه الخطوة، مما يقلل بشكل فعال من تكلفة تفاعل المستخدم. يعمل Permit2 كوسيط بين المستخدم وDapp، حيث يحتاج المستخدم فقط إلى التفويض لعقد Permit2، ويمكن لجميع Dapp المتكاملة مع هذا العقد مشاركة سعة التفويض.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp)
ومع ذلك، هذه أيضًا سيف ذو حدين. يحول Permit2 عمليات المستخدم إلى توقيع خارج السلسلة، وتتم جميع العمليات على السلسلة بواسطة جهة وسيطة. وهذا يعني أنه حتى إذا لم يكن لدى محفظة المستخدم ETH، يمكن استخدام رموز أخرى لدفع رسوم الغاز أو يتم تعويضها من قبل الجهة الوسيطة. ولكن توقيع خارج السلسلة هو أيضًا المرحلة التي يسهل على المستخدم تجاهلها، حيث أن معظم الناس لن يقوموا بفحص محتوى التوقيع بعناية.
لاستخدام هذه الطريقة الاحتيالية، الشرط الأساسي هو أن يكون المحفظة المستهدفة قد منحت الإذن بـ Token لعقد Permit2. حالياً، يجب دائماً منح الإذن لعقد Permit2 عند إجراء Swap على Dapp أو منصة تداول تتضمن Permit2.
الأكثر رعبًا هو أنه بغض النظر عن مقدار Swap، سيقوم عقد Permit2 بتمكين المستخدم من تفويض رصيد هذا التوكن بالكامل بشكل افتراضي. على الرغم من أن المحفظة ستنبه المستخدم بإدخال المبلغ المخصص، إلا أن معظم الناس قد يختارون مباشرةً القيمة القصوى أو القيمة الافتراضية، والقيمة الافتراضية لـ Permit2 هي حد غير محدود.
هذا يعني أنه طالما تم التفاعل مع منصة تداول معينة بعد عام 2023 ومنح الإذن لعقد Permit2، فقد تواجه خطر هذا التضليل.
النقطة الأساسية هي دالة Permit، التي يمكن أن تنقل حد توكنات المستخدم المصرح بها لعقد Permit2 إلى عناوين أخرى. ما على القراصنة سوى الحصول على توقيع المستخدم، ليتمكنوا من الحصول على صلاحيات توكنات المستخدم في المحفظة ونقل الأصول.
تحليل تفصيلي للحدث
تسمح دالة Permit للمستخدم بتوقيع "عقد" مسبقًا، مما يسمح للآخرين (spender) باستخدام عدد معين من الرموز في المستقبل. يجب على المستخدم تقديم توقيع لإثبات صحة "العقد".
سير العمل في الدالة:
النقطة الأساسية هي دالة verify ودالة _updateApproval.
تقوم دالة verify باستخراج البيانات الثلاثة v و r و s من معلومات التوقيع، لاستخدامها في استعادة عنوان توقيع المعاملة. ستقوم العقدة بمقارنة العنوان المستعاد مع عنوان مالك الرموز المدخلة، وإذا كانا متطابقين، فإن التحقق يتم بنجاح.
! [التوقيع مسروق؟] إزالة الغموض عن Uniswap Permit2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp)
تقوم دالة _updateApproval بتحديث قيمة التفويض بعد التحقق من التوقيع، مما يعني حدوث انتقال للحقوق. في هذه الحالة، يمكن للطرف المخول استخدام دالة transferfrom لنقل الرموز إلى العنوان المحدد.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp)
معاملات حقيقية على السلسلة تظهر:
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp)
عند مراجعة سجل التفاعل لـ小A، تم اكتشاف أنه عند استخدام منصة تداول معينة، تم النقر على الحد المسموح به افتراضيًا، وهو تقريبًا حد غير محدود.
! [التوقيع مسروق؟] إزالة الغموض عن Uniswap Permit2 Signature Phishing Scam](https://img-cdn.gateio.im/webp-social/moments-c2d0bc61729aaca413737ac667eaf7d5.webp)
مراجعة بسيطة: منح A سابقًا تفويضًا غير محدود لـ USDT إلى Permit2، ثم وقع عن غير قصد في فخ تصيد توقيع صممه هاكر. بعد أن حصل الهاكر على التوقيع، قام بإجراء عمليات تفويض وتحويل من خلال عقد Permit2، مما أدى إلى نقل أصول A. يبدو أن عقد Permit2 قد تحول الآن إلى جنة للتصيد، وقد بدأت هذه الطريقة في التصيد في النشاط قبل حوالي شهرين.
كيف يمكن الحماية منه؟
نظرًا لأن عقد Permit2 قد يصبح أكثر شيوعًا في المستقبل، فإن المزيد من المشاريع أو التكاملات قد تتجه إلى المشاركة المصرح بها، تشمل وسائل الحماية الفعالة ما يلي:
فصل محفظة الأصول عن محفظة التفاعل: من المستحسن تخزين الأصول الكبيرة في محفظة باردة، وترك كمية صغيرة من الأموال في محفظة التفاعل على السلسلة، مما يمكن أن يقلل بشكل كبير من الخسائر عند مواجهة تضليل.
تحديد حدود التفويض أو إلغاء التفويض: عند التبادل على منصة تداول معينة، قم بتفويض المبلغ المطلوب للتفاعل فقط. على الرغم من أن الحاجة إلى إعادة التفويض في كل تفاعل ستزيد من التكاليف، إلا أنها ستجنب مخاطر تصيد توقيع Permit2. يمكن للمستخدمين المصرح لهم إلغاء التفويض من خلال ملحق الأمان.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-4fdf03afb062f8f5d531cca3cd6330cc.webp)
التعرف على طبيعة الرمز، والتركيز على ما إذا كان يدعم وظيفة الإذن: من المحتمل أن يكون هناك المزيد من رموز ERC20 التي تحقق وظيفة التصريح في المستقبل. يجب الانتباه إلى ما إذا كانت الرموز التي تمتلكها تدعم ذلك، وإذا كانت تدعم، فإن عمليات التداول يجب أن تكون أكثر حذراً، والتحقق بدقة من كل توقيع غير معروف.
بعد الخداع إذا كان لديك رموز مخزنة على منصات أخرى، يجب وضع خطة إنقاذ كاملة: إذا تم اكتشاف الاحتيال ولكن لا يزال هناك رموز موجودة من خلال الرهن أو طرق أخرى على منصات أخرى، يجب توخي الحذر عند سحبها أو نقلها. قد يقوم القراصنة بمراقبة رصيد العناوين في أي وقت، وبمجرد ظهور الرموز، قد يتم نقلها. ينبغي وضع عملية إنقاذ شاملة، ويجب تنفيذ السحب والنقل بشكل متزامن، يمكن استخدام نقل MEV أو طلب المساعدة من فريق أمان محترف.
من المحتمل أن تزداد عمليات الاحتيال القائمة على Permit2 في المستقبل، حيث أن هذه الطريقة خفية للغاية وصعبة الحماية. مع توسيع نطاق تطبيق Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المقالة لمزيد من الأشخاص، لتجنب معاناة المزيد من الأشخاص من الخسائر.