Mengungkap Penipuan Phishing Tanda Tangan Uniswap Permit2
Hacker adalah keberadaan yang menakutkan di ekosistem Web3. Bagi proyek, kode sumber membuat mereka cemas, takut satu baris kode yang salah akan meninggalkan celah. Bagi pengguna individu, setiap interaksi atau tanda tangan di blockchain dapat menyebabkan aset dicuri. Oleh karena itu, masalah keamanan selalu menjadi salah satu titik sakit di dunia kripto. Karena karakteristik blockchain, aset yang dicuri hampir tidak dapat dipulihkan, sehingga memiliki pengetahuan tentang keamanan menjadi sangat penting.
Baru-baru ini, seorang peneliti menemukan metode phishing baru, yang hanya membutuhkan tanda tangan dan dapat menyebabkan pencurian aset. Metode ini sangat tersembunyi dan sulit untuk dicegah, dan alamat yang pernah berinteraksi dengan platform perdagangan tertentu mungkin menghadapi risiko. Artikel ini akan menjelaskan metode phishing tanda tangan ini untuk menghindari lebih banyak kerugian aset.
Kronologi kejadian
Baru-baru ini, seorang teman ( Xiao A ) kehilangan aset dompetnya. Berbeda dengan cara pencurian yang umum, Xiao A tidak membocorkan kunci privatnya dan juga tidak berinteraksi dengan kontrak situs phishing.
Penjelajah blockchain menunjukkan bahwa USDT di dompet A kecil dipindahkan melalui fungsi Transfer From. Ini berarti alamat lain yang melakukan operasi untuk memindahkan Token, bukan kebocoran kunci pribadi dompet.
Rincian transaksi mengungkapkan petunjuk kunci:
Sebuah alamat akan memindahkan aset kecil A ke alamat lain
Operasi ini berinteraksi dengan kontrak Permit2 dari suatu platform perdagangan.
Masalahnya adalah, bagaimana alamat ini mendapatkan hak atas aset? Mengapa terkait dengan platform perdagangan tertentu?
Untuk memanggil fungsi Transfer From, syaratnya adalah pihak yang memanggil perlu memiliki batasan izin Token (approve). Sebelum aset kecil A dipindahkan dari alamat tersebut, juga dilakukan operasi Permit, kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari suatu platform trading.
Permit2 adalah kontrak baru yang diluncurkan oleh suatu platform perdagangan pada akhir 2022, yang memungkinkan token untuk memberikan otorisasi berbagi manajemen antar aplikasi, bertujuan untuk menciptakan pengalaman pengguna yang lebih terintegrasi, lebih efisien biaya, dan lebih aman. Dengan lebih banyak proyek yang terintegrasi, Permit2 diharapkan dapat mewujudkan standarisasi persetujuan Token di semua aplikasi, mengurangi biaya transaksi dan meningkatkan keamanan kontrak pintar.
Peluncuran Permit2 dapat mengubah aturan ekosistem Dapp. Dengan cara tradisional, pengguna harus memberikan otorisasi setiap kali berinteraksi dengan Dapp, sedangkan Permit2 dapat menghilangkan langkah ini, secara efektif mengurangi biaya interaksi pengguna. Permit2 bertindak sebagai perantara antara pengguna dan Dapp, pengguna hanya perlu memberikan otorisasi kepada kontrak Permit2, semua Dapp yang mengintegrasikan kontrak tersebut dapat berbagi batas otorisasi.
Namun, ini juga merupakan pedang bermata dua. Permit2 mengubah operasi pengguna menjadi tanda tangan di luar rantai, semua operasi di rantai dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk membayar biaya Gas menggunakan Token lain bahkan jika dompet pengguna tidak memiliki ETH, atau biaya tersebut dapat diimbangi oleh peran perantara. Namun, tanda tangan di luar rantai juga merupakan langkah yang paling mudah diabaikan oleh pengguna, dan sebagian besar orang tidak akan memeriksa dengan cermat konten tanda tangan.
Untuk menggunakan metode phishing ini, syarat kuncinya adalah dompet yang dipancing harus sudah memberikan wewenang Token kepada kontrak Permit2. Saat ini, setiap kali melakukan Swap di Dapp yang telah mengintegrasikan Permit2 atau di platform perdagangan tertentu, perlu memberikan wewenang kepada kontrak Permit2.
Lebih menakutkan lagi, berapa pun jumlah Swap, kontrak Permit2 akan secara default mengizinkan pengguna untuk memberikan otorisasi untuk seluruh saldo Token tersebut. Meskipun dompet akan memberi tahu untuk memasukkan jumlah secara kustom, tetapi kebanyakan orang mungkin langsung memilih nilai maksimum atau nilai default, dan nilai default Permit2 adalah batas tak terbatas.
Ini berarti, selama Anda telah berinteraksi dengan suatu platform perdagangan setelah tahun 2023 dan memberikan izin kepada kontrak Permit2, Anda mungkin menghadapi risiko penipuan ini.
Intinya adalah fungsi Permit, yang dapat mentransfer kuota Token yang diizinkan pengguna ke alamat lain melalui kontrak Permit2. Hacker hanya perlu mendapatkan tanda tangan pengguna untuk memperoleh hak Token di dompet pengguna dan mentransfer aset.
analisis detail kejadian
Fungsi Permit memungkinkan pengguna untuk menandatangani "kontrak" sebelumnya, yang memungkinkan orang lain (spender) untuk menggunakan sejumlah token tertentu di masa depan. Pengguna harus memberikan tanda tangan sebagai bukti keaslian "kontrak".
Alur kerja fungsi:
Periksa apakah waktu saat ini telah melewati masa berlaku tanda tangan
Verifikasi keaslian tanda tangan
Jika pemeriksaan berhasil, perbarui catatan untuk mengizinkan orang lain menggunakan token
Fokusnya adalah pada fungsi verify dan fungsi _updateApproval.
fungsi verify mengambil tiga data v, r, s dari informasi tanda tangan, yang digunakan untuk memulihkan alamat tanda tangan transaksi. Kontrak akan membandingkan alamat yang dipulihkan dengan alamat pemilik token yang diberikan, jika sama maka validasi berhasil.
Fungsi _updateApproval memperbarui nilai otorisasi setelah verifikasi tanda tangan, yang berarti hak akses telah berpindah. Pada saat ini, pihak yang diberi otorisasi dapat memanggil fungsi transferfrom untuk mentransfer token ke alamat yang ditentukan.
Transaksi nyata di blockchain menunjukkan:
owner adalah alamat dompet A kecil
Rincian mencakup alamat kontrak Token yang diberikan dan informasi jumlah lainnya.
Spender adalah alamat peretas
sigDeadline adalah waktu valid tanda tangan, signature adalah informasi tanda tangan dari A.
Melihat catatan interaksi Xiao A, ditemukan bahwa saat menggunakan platform perdagangan tertentu sebelumnya, ia mengklik batas otorisasi default, yaitu hampir tanpa batas.
Tinjauan Singkat: A sebelumnya memberikan otorisasi kepada Permit2 untuk batas USDT tanpa batas, tetapi kemudian secara tidak sengaja terjebak dalam jebakan phishing tanda tangan yang dirancang oleh hacker. Setelah mendapatkan tanda tangan, hacker melakukan operasi Permit dan Transfer From di kontrak Permit2, memindahkan aset A. Saat ini, kontrak Permit2 tampaknya telah menjadi surga phishing, metode phishing ini mulai aktif sekitar dua bulan yang lalu.
bagaimana cara mencegah?
Mengingat bahwa kontrak Permit2 mungkin akan lebih umum di masa depan, lebih banyak proyek atau integrasi untuk berbagi otorisasi, langkah-langkah pencegahan yang efektif meliputi:
Memahami dan mengenali isi tanda tangan:
Format tanda tangan Permit biasanya mencakup informasi penting seperti Owner, Spender, value, nonce, dan deadline. Jika ingin menikmati kemudahan Permit2, Anda harus belajar mengenali format tanda tangan semacam ini. Menggunakan plugin keamanan adalah pilihan yang baik.
Pemisahan dompet aset dan dompet interaksi:
Disarankan untuk menyimpan aset dalam jumlah besar di dompet dingin, dan hanya menyimpan sejumlah kecil dana di dompet interaksi di blockchain, yang dapat secara signifikan mengurangi kerugian saat menghadapi penipuan.
Membatasi jumlah otorisasi atau membatalkan otorisasi:
Saat Swap di platform perdagangan tertentu, hanya otorisasi jumlah yang diperlukan untuk interaksi. Meskipun setiap interaksi memerlukan otorisasi ulang yang akan meningkatkan biaya, tetapi dapat menghindari risiko phishing tanda tangan Permit2. Pengguna yang telah memberikan otorisasi dapat membatalkan otorisasi melalui plugin keamanan.
Kenali sifat token, perhatikan apakah mendukung fitur permit:
Di masa depan mungkin akan ada lebih banyak token ERC20 yang mengimplementasikan fungsi permit. Perlu memperhatikan apakah token yang dimiliki mendukungnya, jika mendukung maka operasi perdagangan harus dilakukan dengan sangat hati-hati, dan memeriksa setiap tanda tangan yang tidak dikenal secara ketat.
Jika tertipu dan memiliki token yang disimpan di platform lain, perlu menyusun rencana penyelamatan yang lengkap:
Jika Anda menemukan bahwa Anda telah menjadi korban penipuan tetapi masih memiliki token yang ada di platform lain melalui staking atau cara lain, perlu berhati-hati saat menarik atau memindahkannya. Hacker mungkin memantau saldo alamat kapan saja, dan begitu token muncul, mereka mungkin akan memindahkannya. Harus ada proses penyelamatan yang lengkap, penarikan dan pemindahan harus dilakukan secara bersamaan, dapat menggunakan pemindahan MEV atau mencari bantuan dari tim keamanan profesional.
Di masa depan, kemungkinan penipuan berbasis Permit2 akan meningkat, cara ini sangat tersembunyi dan sulit untuk dicegah. Dengan meluasnya penggunaan Permit2, alamat yang terpapar risiko juga akan meningkat. Kami berharap pembaca yang melihat artikel ini dapat menyebarkannya kepada lebih banyak orang, untuk menghindari lebih banyak orang mengalami kerugian.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Suka
Hadiah
9
7
Bagikan
Komentar
0/400
InfraVibes
· 10jam yang lalu
Lihat sebentar sebelum tanda tangan, mengerti?
Lihat AsliBalas0
MetaverseMigrant
· 10jam yang lalu
Sekali lagi menciptakan hal baru, hacker ini benar-benar berbakat.
Lihat AsliBalas0
RektButAlive
· 10jam yang lalu
Hari-hari saya selalu mengikuti celah terbaru~
Lihat AsliBalas0
StablecoinEnjoyer
· 10jam yang lalu
Sekali lagi ada jebakan baru, pemula hati-hati saat menandatangani
Lihat AsliBalas0
NftBankruptcyClub
· 10jam yang lalu
Berapa banyak yang terjebak lagi
Lihat AsliBalas0
P2ENotWorking
· 10jam yang lalu
Ada lagi suckers yang dipermainkan.
Lihat AsliBalas0
ValidatorViking
· 10jam yang lalu
sial, noobs tidak pernah belajar untuk memverifikasi tanda tangan... kembali ke dasar sialan
Metode Phishing Tanda Tangan Permit2 untuk Pemula, risiko keamanan aset perlu diwaspadai
Mengungkap Penipuan Phishing Tanda Tangan Uniswap Permit2
Hacker adalah keberadaan yang menakutkan di ekosistem Web3. Bagi proyek, kode sumber membuat mereka cemas, takut satu baris kode yang salah akan meninggalkan celah. Bagi pengguna individu, setiap interaksi atau tanda tangan di blockchain dapat menyebabkan aset dicuri. Oleh karena itu, masalah keamanan selalu menjadi salah satu titik sakit di dunia kripto. Karena karakteristik blockchain, aset yang dicuri hampir tidak dapat dipulihkan, sehingga memiliki pengetahuan tentang keamanan menjadi sangat penting.
Baru-baru ini, seorang peneliti menemukan metode phishing baru, yang hanya membutuhkan tanda tangan dan dapat menyebabkan pencurian aset. Metode ini sangat tersembunyi dan sulit untuk dicegah, dan alamat yang pernah berinteraksi dengan platform perdagangan tertentu mungkin menghadapi risiko. Artikel ini akan menjelaskan metode phishing tanda tangan ini untuk menghindari lebih banyak kerugian aset.
Kronologi kejadian
Baru-baru ini, seorang teman ( Xiao A ) kehilangan aset dompetnya. Berbeda dengan cara pencurian yang umum, Xiao A tidak membocorkan kunci privatnya dan juga tidak berinteraksi dengan kontrak situs phishing.
Penjelajah blockchain menunjukkan bahwa USDT di dompet A kecil dipindahkan melalui fungsi Transfer From. Ini berarti alamat lain yang melakukan operasi untuk memindahkan Token, bukan kebocoran kunci pribadi dompet.
Rincian transaksi mengungkapkan petunjuk kunci:
Masalahnya adalah, bagaimana alamat ini mendapatkan hak atas aset? Mengapa terkait dengan platform perdagangan tertentu?
Untuk memanggil fungsi Transfer From, syaratnya adalah pihak yang memanggil perlu memiliki batasan izin Token (approve). Sebelum aset kecil A dipindahkan dari alamat tersebut, juga dilakukan operasi Permit, kedua operasi tersebut berinteraksi dengan kontrak Permit2 dari suatu platform trading.
Permit2 adalah kontrak baru yang diluncurkan oleh suatu platform perdagangan pada akhir 2022, yang memungkinkan token untuk memberikan otorisasi berbagi manajemen antar aplikasi, bertujuan untuk menciptakan pengalaman pengguna yang lebih terintegrasi, lebih efisien biaya, dan lebih aman. Dengan lebih banyak proyek yang terintegrasi, Permit2 diharapkan dapat mewujudkan standarisasi persetujuan Token di semua aplikasi, mengurangi biaya transaksi dan meningkatkan keamanan kontrak pintar.
Peluncuran Permit2 dapat mengubah aturan ekosistem Dapp. Dengan cara tradisional, pengguna harus memberikan otorisasi setiap kali berinteraksi dengan Dapp, sedangkan Permit2 dapat menghilangkan langkah ini, secara efektif mengurangi biaya interaksi pengguna. Permit2 bertindak sebagai perantara antara pengguna dan Dapp, pengguna hanya perlu memberikan otorisasi kepada kontrak Permit2, semua Dapp yang mengintegrasikan kontrak tersebut dapat berbagi batas otorisasi.
Namun, ini juga merupakan pedang bermata dua. Permit2 mengubah operasi pengguna menjadi tanda tangan di luar rantai, semua operasi di rantai dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk membayar biaya Gas menggunakan Token lain bahkan jika dompet pengguna tidak memiliki ETH, atau biaya tersebut dapat diimbangi oleh peran perantara. Namun, tanda tangan di luar rantai juga merupakan langkah yang paling mudah diabaikan oleh pengguna, dan sebagian besar orang tidak akan memeriksa dengan cermat konten tanda tangan.
Untuk menggunakan metode phishing ini, syarat kuncinya adalah dompet yang dipancing harus sudah memberikan wewenang Token kepada kontrak Permit2. Saat ini, setiap kali melakukan Swap di Dapp yang telah mengintegrasikan Permit2 atau di platform perdagangan tertentu, perlu memberikan wewenang kepada kontrak Permit2.
Lebih menakutkan lagi, berapa pun jumlah Swap, kontrak Permit2 akan secara default mengizinkan pengguna untuk memberikan otorisasi untuk seluruh saldo Token tersebut. Meskipun dompet akan memberi tahu untuk memasukkan jumlah secara kustom, tetapi kebanyakan orang mungkin langsung memilih nilai maksimum atau nilai default, dan nilai default Permit2 adalah batas tak terbatas.
Ini berarti, selama Anda telah berinteraksi dengan suatu platform perdagangan setelah tahun 2023 dan memberikan izin kepada kontrak Permit2, Anda mungkin menghadapi risiko penipuan ini.
Intinya adalah fungsi Permit, yang dapat mentransfer kuota Token yang diizinkan pengguna ke alamat lain melalui kontrak Permit2. Hacker hanya perlu mendapatkan tanda tangan pengguna untuk memperoleh hak Token di dompet pengguna dan mentransfer aset.
analisis detail kejadian
Fungsi Permit memungkinkan pengguna untuk menandatangani "kontrak" sebelumnya, yang memungkinkan orang lain (spender) untuk menggunakan sejumlah token tertentu di masa depan. Pengguna harus memberikan tanda tangan sebagai bukti keaslian "kontrak".
Alur kerja fungsi:
Fokusnya adalah pada fungsi verify dan fungsi _updateApproval.
fungsi verify mengambil tiga data v, r, s dari informasi tanda tangan, yang digunakan untuk memulihkan alamat tanda tangan transaksi. Kontrak akan membandingkan alamat yang dipulihkan dengan alamat pemilik token yang diberikan, jika sama maka validasi berhasil.
Fungsi _updateApproval memperbarui nilai otorisasi setelah verifikasi tanda tangan, yang berarti hak akses telah berpindah. Pada saat ini, pihak yang diberi otorisasi dapat memanggil fungsi transferfrom untuk mentransfer token ke alamat yang ditentukan.
Transaksi nyata di blockchain menunjukkan:
Melihat catatan interaksi Xiao A, ditemukan bahwa saat menggunakan platform perdagangan tertentu sebelumnya, ia mengklik batas otorisasi default, yaitu hampir tanpa batas.
Tinjauan Singkat: A sebelumnya memberikan otorisasi kepada Permit2 untuk batas USDT tanpa batas, tetapi kemudian secara tidak sengaja terjebak dalam jebakan phishing tanda tangan yang dirancang oleh hacker. Setelah mendapatkan tanda tangan, hacker melakukan operasi Permit dan Transfer From di kontrak Permit2, memindahkan aset A. Saat ini, kontrak Permit2 tampaknya telah menjadi surga phishing, metode phishing ini mulai aktif sekitar dua bulan yang lalu.
bagaimana cara mencegah?
Mengingat bahwa kontrak Permit2 mungkin akan lebih umum di masa depan, lebih banyak proyek atau integrasi untuk berbagi otorisasi, langkah-langkah pencegahan yang efektif meliputi:
Pemisahan dompet aset dan dompet interaksi: Disarankan untuk menyimpan aset dalam jumlah besar di dompet dingin, dan hanya menyimpan sejumlah kecil dana di dompet interaksi di blockchain, yang dapat secara signifikan mengurangi kerugian saat menghadapi penipuan.
Membatasi jumlah otorisasi atau membatalkan otorisasi: Saat Swap di platform perdagangan tertentu, hanya otorisasi jumlah yang diperlukan untuk interaksi. Meskipun setiap interaksi memerlukan otorisasi ulang yang akan meningkatkan biaya, tetapi dapat menghindari risiko phishing tanda tangan Permit2. Pengguna yang telah memberikan otorisasi dapat membatalkan otorisasi melalui plugin keamanan.
Kenali sifat token, perhatikan apakah mendukung fitur permit: Di masa depan mungkin akan ada lebih banyak token ERC20 yang mengimplementasikan fungsi permit. Perlu memperhatikan apakah token yang dimiliki mendukungnya, jika mendukung maka operasi perdagangan harus dilakukan dengan sangat hati-hati, dan memeriksa setiap tanda tangan yang tidak dikenal secara ketat.
Jika tertipu dan memiliki token yang disimpan di platform lain, perlu menyusun rencana penyelamatan yang lengkap: Jika Anda menemukan bahwa Anda telah menjadi korban penipuan tetapi masih memiliki token yang ada di platform lain melalui staking atau cara lain, perlu berhati-hati saat menarik atau memindahkannya. Hacker mungkin memantau saldo alamat kapan saja, dan begitu token muncul, mereka mungkin akan memindahkannya. Harus ada proses penyelamatan yang lengkap, penarikan dan pemindahan harus dilakukan secara bersamaan, dapat menggunakan pemindahan MEV atau mencari bantuan dari tim keamanan profesional.
Di masa depan, kemungkinan penipuan berbasis Permit2 akan meningkat, cara ini sangat tersembunyi dan sulit untuk dicegah. Dengan meluasnya penggunaan Permit2, alamat yang terpapar risiko juga akan meningkat. Kami berharap pembaca yang melihat artikel ini dapat menyebarkannya kepada lebih banyak orang, untuk menghindari lebih banyak orang mengalami kerugian.