Hackler, Web3 ekosisteminde korkulan bir varlıktır. Proje sahipleri için, açık kaynak kodları onları tedirgin eder, bir hata kodu bırakıp bırakmadıklarından korkarlar. Bireysel kullanıcılar için, her zincir üzerindeki etkileşim veya imza, varlıkların çalınmasına neden olabilir. Bu nedenle, güvenlik sorunları her zaman kripto dünyasının en büyük acılarından biri olmuştur. Blok zincirinin özellikleri nedeniyle, çalınan varlıkların geri alınması neredeyse imkansızdır, bu yüzden güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda bir araştırmacı, yalnızca imza atarak varlıkların çalınmasına neden olabilecek yeni bir oltalama yöntemini keşfetti. Bu yöntem son derece gizli ve önlenmesi zor olup, daha önce bir ticaret platformuyla etkileşimde bulunmuş adresler risk altında olabilir. Bu makalede, bu imza oltalama yöntemini açıklayarak daha fazla varlık kaybını önlemeye çalışacağız.
olayın gelişimi
Son zamanlarda, bir arkadaşım ( küçük A ) cüzdan varlıkları çalındı. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A ne özel anahtarını sızdırdı ne de bir oltalama sitesi ile etkileşime girdi.
Blok zinciri tarayıcısı, küçük A cüzdanındaki USDT'nin Transfer From fonksiyonu aracılığıyla aktarıldığını gösteriyor. Bu, başka bir adresin Token'ı taşıdığı anlamına gelir, cüzdanın özel anahtarının sızdırıldığı değil.
İşlem detayları önemli ipuçlarını ortaya koyuyor:
Bir adres, küçük A'nın varlıklarını başka bir adrese aktarır.
Bu işlem, bir ticaret platformunun Permit2 sözleşmesiyle etkileşimde bulunmaktır.
Sorun şu ki, bu adres varlık yetkisini nasıl elde etti? Neden belirli bir ticaret platformuyla ilgili?
Transfer From fonksiyonunu çağırmak için, çağıranın Token'ın limit iznine sahip olması gerekmektedir (approve). Bu adresten küçük A varlıklarını transfer etmeden önce, ayrıca bir Permit işlemi gerçekleşti, her iki işlem de bir ticaret platformunun Permit2 sözleşmesi ile etkileşimde bulundu.
Permit2, belirli bir ticaret platformunun 2022 yılı sonunda piyasaya sürdüğü yeni bir akittir. Bu akit, token yetkilendirmesini farklı uygulamalar arasında paylaşmaya izin vererek daha birleşik, maliyet etkin ve güvenli bir kullanıcı deneyimi yaratmayı hedeflemektedir. Daha fazla projenin entegrasyonu ile Permit2, tüm uygulamalarda Token onay standartlaşmasını sağlama, işlem maliyetlerini azaltma ve akıllı sözleşme güvenliğini artırma potansiyeline sahiptir.
Permit2'nin piyasaya sürülmesi Dapp ekosistem kurallarını değiştirebilir. Geleneksel yöntemlerde kullanıcıların Dapp ile her etkileşimde bulunmadan önce yetki vermesi gerekiyor, ancak Permit2 bu adımı ortadan kaldırarak kullanıcı etkileşim maliyetlerini etkili bir şekilde azaltıyor. Permit2, kullanıcı ve Dapp arasında bir aracı olarak işlev görüyor; kullanıcı yalnızca Permit2 sözleşmesine yetki vermesi yeterli, bu sözleşmeyi entegre eden tüm Dapp'ler yetki limitini paylaşabiliyor.
Ancak bu da çift taraflı bir kılıçtır. Permit2, kullanıcı işlemlerini zincir dışı imzalara dönüştürür, tüm zincir üzerindeki işlemler ara birimler tarafından gerçekleştirilir. Bu, kullanıcı cüzdanında ETH olmasa bile diğer Token'larla Gas ücretini ödeyebilmesine veya ara birimler tarafından geri ödenebilmesine olanak tanır. Ancak zincir dışı imza, kullanıcıların en kolay göz ardı edebileceği aşama olup, çoğu insan imza içeriğini dikkatlice kontrol etmez.
Bu tür bir oltalama yöntemini kullanmak için, ana ön koşul, oltalama cüzdanının Permit2 sözleşmesine Token yetkilendirmiş olmasıdır. Şu anda, Permit2'yi entegre eden Dapp'lerde veya bazı ticaret platformlarında Swap işlemi yapmak için Permit2 sözleşmesine yetki vermek gerekmektedir.
Daha korkunç olanı, Swap tutarı ne olursa olsun, Permit2 sözleşmesinin kullanıcıya bu Token'ın tüm bakiye limitini yetkilendirmeyi varsayılan olarak kabul etmesidir. Cüzdan, özel bir giriş tutarı belirtme seçeneği sunsa da, çoğu kişi muhtemelen doğrudan maksimum veya varsayılan değeri seçecektir ve Permit2'nin varsayılan değeri sınırsız limitlerdir.
Bu, 2023'ten sonra herhangi bir ticaret platformuyla etkileşime geçip Permit2 sözleşmesine yetki verdiyseniz, bu oltalama eyewash riskiyle karşılaşabileceğiniz anlamına gelir.
Önemli olan Permit fonksiyonudur, bu fonksiyon kullanıcıların Permit2 sözleşmesine verdikleri Token limitlerini başka adreslere transfer etmelerini sağlar. Hackerlar kullanıcı imzasını aldıkları anda, kullanıcının cüzdanındaki Token yetkilerini elde edebilir ve varlıkları transfer edebilir.
olay detaylı analizi
Permit fonksiyonu, kullanıcının başkalarının (spender) belirli bir miktar token'i gelecekte kullanmasına izin veren bir "sözleşmeyi" önceden imzalamasına olanak tanır. Kullanıcı, "sözleşmenin" gerçekliğini kanıtlamak için imza sağlamalıdır.
Fonksiyon iş akışı:
Mevcut zamanın imza geçerlilik süresini aşıp aşmadığını kontrol et
İmza doğruluğunu doğrulama
Eğer kontrol geçerse, kaydı güncelleyerek diğerlerinin token kullanmasına izin verilir.
Önemli olan verify fonksiyonu ve _updateApproval fonksiyonudur.
verify fonksiyonu imza bilgilerinden v, r, s üç veriyi alır, işlem imza adresini geri kazanmak için kullanılır. Sözleşme, geri kazanılan adresi ile iletilen token sahibinin adresini karşılaştırır, eğer aynıysa doğrulama geçerli olur.
_updateApproval fonksiyonu imza doğrulaması yapıldıktan sonra yetki değerini günceller, bu da yetkinin devredildiği anlamına gelir. Bu durumda, yetkilendirilmiş taraf, belirli bir adrese token transfer etmek için transferfrom fonksiyonunu çağırabilir.
Zincir üzerindeki gerçek işlem gösterimi:
owner küçük A cüzdan adresidir
Detaylar, yetkilendirilmiş Token sözleşme adresi ve miktar gibi bilgileri içerir.
Spender bir hacker adresidir
sigDeadline, imza geçerlilik süresidir, signature küçük A'nın imza bilgilerini içerir.
Küçük A'nın etkileşim kayıtlarını gözden geçirdiğimizde, daha önce bir ticaret platformunu kullanırken varsayılan yetkilendirme limitine tıkladığını, yani neredeyse sınırsız bir limit olduğunu fark ettik.
Basit bir özet: Küçük A, daha önce Permit2'ye sınırsız USDT yetkisi vermişti, ancak daha sonra yanlışlıkla bir hacker tarafından tasarlanan imza phishing tuzağına düştü. Hacker, imzayı aldıktan sonra Permit2 sözleşmesinde Permit ve Transfer From işlemleri gerçekleştirerek Küçük A'nın varlıklarını transfer etti. Şu anda Permit2 sözleşmesi görünüşe göre bir phishing cenneti haline gelmiş, bu tür phishing yöntemleri yaklaşık iki ay önce aktif hale gelmeye başladı.
nasıl önlenir?
Permit2 sözleşmesinin gelecekte daha yaygın hale gelmesi, daha fazla projenin veya entegrasyonun yetkilendirme paylaşımı yapması göz önüne alındığında, etkili önleme yöntemleri şunları içerir:
İmza içeriğini anlama ve tanıma:
Permit imza formatı genellikle Owner, Spender, value, nonce ve deadline gibi anahtar bilgileri içerir. Permit2'nin sağladığı kolaylıklardan yararlanmak için bu tür imza formatlarını tanımayı öğrenmek gerekir. Güvenli bir eklenti kullanmak iyi bir seçenektir.
Varlık cüzdanı ile etkileşim cüzdanı ayrıldı:
Büyük miktarda varlığın soğuk cüzdanda saklanması önerilir, zincir üzerindeki etkileşim cüzdanında yalnızca az miktarda fon bulundurmak, oltalama durumunda kayıpları önemli ölçüde azaltabilir.
Yetki limitini kısıtlama veya yetkiyi iptal etme:
Bir ticaret platformunda Swap yaparken, yalnızca etkileşim için gerekli olan miktarı yetkilendirin. Her etkileşimde yeniden yetkilendirme yapılması maliyeti artırsa da, Permit2 imza phishing riskinden kaçınmanızı sağlar. Yetkilendirilmiş kullanıcılar, güvenli eklenti aracılığıyla yetkiyi iptal edebilir.
Tokenin niteliğini tanımlayın, permit işlevini destekleyip desteklemediğine dikkat edin:
Gelecekte daha fazla ERC20 token'ın permit fonksiyonunu gerçekleştirmesi mümkün. Sahip olunan token'ın desteğini kontrol etmek önemlidir; eğer destekliyorsa, işlem yaparken ekstra dikkatli olunmalı ve her bilinmeyen imza titizlikle kontrol edilmelidir.
Eğer diğer platformlarda token'leriniz varsa, etkili bir kurtarma planı oluşturmanız gerekir:
Eğer dolandırıldığınızı fark ederseniz ama başka platformlarda staking gibi yollarla hala token'larınız varsa, dikkatli bir şekilde çekim yapmalı ve transfer etmelisiniz. Hacker'lar adres bakiyesini her an izleyebilir, bir token göründüğünde transfer gerçekleştirebilirler. Kurtarma sürecini iyi bir şekilde planlamak gereklidir, çekim ve transferin eş zamanlı gerçekleştirilmesi önemlidir, MEV transferi kullanabilir veya profesyonel bir güvenlik ekibinden yardım alabilirsiniz.
Gelecekte Permit2 tabanlı dolandırıcılıkların artması muhtemel, bu yöntem son derece gizli ve önlenmesi zor. Permit2'nin uygulama alanı genişledikçe, maruz kalan adreslerin sayısı da artacak. Umarım okuyucular bu makaleyi gördükten sonra daha fazla kişiye yayar ve daha fazla insanın zarar görmesini önler.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
7
Share
Comment
0/400
InfraVibes
· 10h ago
Bir göz at, sonra imzala. Anladın mı?
View OriginalReply0
MetaverseMigrant
· 10h ago
Yine yeni numaralar yapmış. Bu hacker gerçekten bir yetenek.
View OriginalReply0
RektButAlive
· 10h ago
Günlük olarak en son açıkları takip etiyorum~
View OriginalReply0
StablecoinEnjoyer
· 11h ago
Yine yeni tuzak, acemi dikkat et!
View OriginalReply0
NftBankruptcyClub
· 11h ago
Yine tuzağa düşenlerin sayısı
View OriginalReply0
P2ENotWorking
· 11h ago
Yine yeni enayiler insanları enayi yerine koymak için bekliyor.
View OriginalReply0
ValidatorViking
· 11h ago
korkunç, acemiler asla imzaları doğrulamayı öğrenmiyor... temellere geri dön ffs
Permit2 imza sahtekarlığı Çaylak yöntemi varlık güvenliği riskine dikkat edilmeli
Uniswap Permit2 İmza Phishing Eyewash'ını Açığa Çıkarma
Hackler, Web3 ekosisteminde korkulan bir varlıktır. Proje sahipleri için, açık kaynak kodları onları tedirgin eder, bir hata kodu bırakıp bırakmadıklarından korkarlar. Bireysel kullanıcılar için, her zincir üzerindeki etkileşim veya imza, varlıkların çalınmasına neden olabilir. Bu nedenle, güvenlik sorunları her zaman kripto dünyasının en büyük acılarından biri olmuştur. Blok zincirinin özellikleri nedeniyle, çalınan varlıkların geri alınması neredeyse imkansızdır, bu yüzden güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda bir araştırmacı, yalnızca imza atarak varlıkların çalınmasına neden olabilecek yeni bir oltalama yöntemini keşfetti. Bu yöntem son derece gizli ve önlenmesi zor olup, daha önce bir ticaret platformuyla etkileşimde bulunmuş adresler risk altında olabilir. Bu makalede, bu imza oltalama yöntemini açıklayarak daha fazla varlık kaybını önlemeye çalışacağız.
olayın gelişimi
Son zamanlarda, bir arkadaşım ( küçük A ) cüzdan varlıkları çalındı. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A ne özel anahtarını sızdırdı ne de bir oltalama sitesi ile etkileşime girdi.
Blok zinciri tarayıcısı, küçük A cüzdanındaki USDT'nin Transfer From fonksiyonu aracılığıyla aktarıldığını gösteriyor. Bu, başka bir adresin Token'ı taşıdığı anlamına gelir, cüzdanın özel anahtarının sızdırıldığı değil.
İşlem detayları önemli ipuçlarını ortaya koyuyor:
Sorun şu ki, bu adres varlık yetkisini nasıl elde etti? Neden belirli bir ticaret platformuyla ilgili?
Transfer From fonksiyonunu çağırmak için, çağıranın Token'ın limit iznine sahip olması gerekmektedir (approve). Bu adresten küçük A varlıklarını transfer etmeden önce, ayrıca bir Permit işlemi gerçekleşti, her iki işlem de bir ticaret platformunun Permit2 sözleşmesi ile etkileşimde bulundu.
Permit2, belirli bir ticaret platformunun 2022 yılı sonunda piyasaya sürdüğü yeni bir akittir. Bu akit, token yetkilendirmesini farklı uygulamalar arasında paylaşmaya izin vererek daha birleşik, maliyet etkin ve güvenli bir kullanıcı deneyimi yaratmayı hedeflemektedir. Daha fazla projenin entegrasyonu ile Permit2, tüm uygulamalarda Token onay standartlaşmasını sağlama, işlem maliyetlerini azaltma ve akıllı sözleşme güvenliğini artırma potansiyeline sahiptir.
Permit2'nin piyasaya sürülmesi Dapp ekosistem kurallarını değiştirebilir. Geleneksel yöntemlerde kullanıcıların Dapp ile her etkileşimde bulunmadan önce yetki vermesi gerekiyor, ancak Permit2 bu adımı ortadan kaldırarak kullanıcı etkileşim maliyetlerini etkili bir şekilde azaltıyor. Permit2, kullanıcı ve Dapp arasında bir aracı olarak işlev görüyor; kullanıcı yalnızca Permit2 sözleşmesine yetki vermesi yeterli, bu sözleşmeyi entegre eden tüm Dapp'ler yetki limitini paylaşabiliyor.
Ancak bu da çift taraflı bir kılıçtır. Permit2, kullanıcı işlemlerini zincir dışı imzalara dönüştürür, tüm zincir üzerindeki işlemler ara birimler tarafından gerçekleştirilir. Bu, kullanıcı cüzdanında ETH olmasa bile diğer Token'larla Gas ücretini ödeyebilmesine veya ara birimler tarafından geri ödenebilmesine olanak tanır. Ancak zincir dışı imza, kullanıcıların en kolay göz ardı edebileceği aşama olup, çoğu insan imza içeriğini dikkatlice kontrol etmez.
Bu tür bir oltalama yöntemini kullanmak için, ana ön koşul, oltalama cüzdanının Permit2 sözleşmesine Token yetkilendirmiş olmasıdır. Şu anda, Permit2'yi entegre eden Dapp'lerde veya bazı ticaret platformlarında Swap işlemi yapmak için Permit2 sözleşmesine yetki vermek gerekmektedir.
Daha korkunç olanı, Swap tutarı ne olursa olsun, Permit2 sözleşmesinin kullanıcıya bu Token'ın tüm bakiye limitini yetkilendirmeyi varsayılan olarak kabul etmesidir. Cüzdan, özel bir giriş tutarı belirtme seçeneği sunsa da, çoğu kişi muhtemelen doğrudan maksimum veya varsayılan değeri seçecektir ve Permit2'nin varsayılan değeri sınırsız limitlerdir.
Bu, 2023'ten sonra herhangi bir ticaret platformuyla etkileşime geçip Permit2 sözleşmesine yetki verdiyseniz, bu oltalama eyewash riskiyle karşılaşabileceğiniz anlamına gelir.
Önemli olan Permit fonksiyonudur, bu fonksiyon kullanıcıların Permit2 sözleşmesine verdikleri Token limitlerini başka adreslere transfer etmelerini sağlar. Hackerlar kullanıcı imzasını aldıkları anda, kullanıcının cüzdanındaki Token yetkilerini elde edebilir ve varlıkları transfer edebilir.
olay detaylı analizi
Permit fonksiyonu, kullanıcının başkalarının (spender) belirli bir miktar token'i gelecekte kullanmasına izin veren bir "sözleşmeyi" önceden imzalamasına olanak tanır. Kullanıcı, "sözleşmenin" gerçekliğini kanıtlamak için imza sağlamalıdır.
Fonksiyon iş akışı:
Önemli olan verify fonksiyonu ve _updateApproval fonksiyonudur.
verify fonksiyonu imza bilgilerinden v, r, s üç veriyi alır, işlem imza adresini geri kazanmak için kullanılır. Sözleşme, geri kazanılan adresi ile iletilen token sahibinin adresini karşılaştırır, eğer aynıysa doğrulama geçerli olur.
_updateApproval fonksiyonu imza doğrulaması yapıldıktan sonra yetki değerini günceller, bu da yetkinin devredildiği anlamına gelir. Bu durumda, yetkilendirilmiş taraf, belirli bir adrese token transfer etmek için transferfrom fonksiyonunu çağırabilir.
Zincir üzerindeki gerçek işlem gösterimi:
Küçük A'nın etkileşim kayıtlarını gözden geçirdiğimizde, daha önce bir ticaret platformunu kullanırken varsayılan yetkilendirme limitine tıkladığını, yani neredeyse sınırsız bir limit olduğunu fark ettik.
Basit bir özet: Küçük A, daha önce Permit2'ye sınırsız USDT yetkisi vermişti, ancak daha sonra yanlışlıkla bir hacker tarafından tasarlanan imza phishing tuzağına düştü. Hacker, imzayı aldıktan sonra Permit2 sözleşmesinde Permit ve Transfer From işlemleri gerçekleştirerek Küçük A'nın varlıklarını transfer etti. Şu anda Permit2 sözleşmesi görünüşe göre bir phishing cenneti haline gelmiş, bu tür phishing yöntemleri yaklaşık iki ay önce aktif hale gelmeye başladı.
nasıl önlenir?
Permit2 sözleşmesinin gelecekte daha yaygın hale gelmesi, daha fazla projenin veya entegrasyonun yetkilendirme paylaşımı yapması göz önüne alındığında, etkili önleme yöntemleri şunları içerir:
Varlık cüzdanı ile etkileşim cüzdanı ayrıldı: Büyük miktarda varlığın soğuk cüzdanda saklanması önerilir, zincir üzerindeki etkileşim cüzdanında yalnızca az miktarda fon bulundurmak, oltalama durumunda kayıpları önemli ölçüde azaltabilir.
Yetki limitini kısıtlama veya yetkiyi iptal etme: Bir ticaret platformunda Swap yaparken, yalnızca etkileşim için gerekli olan miktarı yetkilendirin. Her etkileşimde yeniden yetkilendirme yapılması maliyeti artırsa da, Permit2 imza phishing riskinden kaçınmanızı sağlar. Yetkilendirilmiş kullanıcılar, güvenli eklenti aracılığıyla yetkiyi iptal edebilir.
Tokenin niteliğini tanımlayın, permit işlevini destekleyip desteklemediğine dikkat edin: Gelecekte daha fazla ERC20 token'ın permit fonksiyonunu gerçekleştirmesi mümkün. Sahip olunan token'ın desteğini kontrol etmek önemlidir; eğer destekliyorsa, işlem yaparken ekstra dikkatli olunmalı ve her bilinmeyen imza titizlikle kontrol edilmelidir.
Eğer diğer platformlarda token'leriniz varsa, etkili bir kurtarma planı oluşturmanız gerekir: Eğer dolandırıldığınızı fark ederseniz ama başka platformlarda staking gibi yollarla hala token'larınız varsa, dikkatli bir şekilde çekim yapmalı ve transfer etmelisiniz. Hacker'lar adres bakiyesini her an izleyebilir, bir token göründüğünde transfer gerçekleştirebilirler. Kurtarma sürecini iyi bir şekilde planlamak gereklidir, çekim ve transferin eş zamanlı gerçekleştirilmesi önemlidir, MEV transferi kullanabilir veya profesyonel bir güvenlik ekibinden yardım alabilirsiniz.
Gelecekte Permit2 tabanlı dolandırıcılıkların artması muhtemel, bu yöntem son derece gizli ve önlenmesi zor. Permit2'nin uygulama alanı genişledikçe, maruz kalan adreslerin sayısı da artacak. Umarım okuyucular bu makaleyi gördükten sonra daha fazla kişiye yayar ve daha fazla insanın zarar görmesini önler.