- Chủ đề
25k Phổ biến
56k Phổ biến
6k Phổ biến
16k Phổ biến
30k Phổ biến
2k Phổ biến
112k Phổ biến
27k Phổ biến
26k Phổ biến
7k Phổ biến
- Ghim
25k Phổ biến
56k Phổ biến
6k Phổ biến
16k Phổ biến
30k Phổ biến
2k Phổ biến
112k Phổ biến
27k Phổ biến
26k Phổ biến
7k Phổ biến
Hợp đồng Uniswap Permit2 gây ra mối đe dọa lừa đảo chữ ký mới, cần cảnh giác về bảo mật tài sản.
Kỹ thuật lừa đảo ký tên cho người mới: Các rủi ro bảo mật do hợp đồng Uniswap Permit2 gây ra
Gần đây, một phương thức lừa đảo chữ ký mới sử dụng hợp đồng Uniswap Permit2 đã bắt đầu hoạt động, với tính ẩn danh và mức độ nguy hiểm cao. Cuộc tấn công này chỉ cần nạn nhân thực hiện một chữ ký có thể dẫn đến việc tài sản bị đánh cắp, và các địa chỉ từng tương tác với Uniswap đều có nguy cơ.
Phân tích trường hợp
Gần đây, một người dùng ( nhỏ A ) đã bị đánh cắp tài sản ví, nhưng anh ta không tiết lộ khóa riêng tư hoặc tương tác với hợp đồng khả nghi. Cuộc điều tra phát hiện rằng số USDT bị đánh cắp này đã được chuyển qua hàm Transfer From, cho thấy tài sản đã được một địa chỉ bên thứ ba thao tác chuyển đi.
Phân tích chi tiết giao dịch hơn nữa cho thấy:
Điều quan trọng là địa chỉ trung gian này đã thực hiện một thao tác Permit trước khi chuyển tài sản, đối tượng tương tác cũng là hợp đồng Permit2 của Uniswap.
Giới thiệu hợp đồng Permit2
Uniswap Permit2 là một hợp đồng phê duyệt token, cho phép cấp quyền cho token được chia sẻ và quản lý giữa các ứng dụng khác nhau, có thể giảm chi phí giao dịch và cải thiện trải nghiệm người dùng. Tuy nhiên, nó cũng mang lại rủi ro bảo mật mới.
Khi sử dụng Permit2, thao tác của người dùng trở thành chữ ký ngoài chuỗi, thao tác trên chuỗi được thực hiện bởi một vai trò trung gian. Cách này mặc dù tiện lợi, nhưng cũng dễ khiến người dùng lơ là cảnh giác khi ký.
Khôi phục kỹ thuật câu cá
Nạn nhân cần phải ủy quyền Token cho hợp đồng Permit2 của Uniswap ( thường là ủy quyền toàn bộ )
Hacker dụ dỗ người dùng thực hiện một chữ ký có vẻ vô hại.
Hacker đã sử dụng chữ ký này để gọi hàm permit của hợp đồng Permit2, nhận quyền sử dụng Token của người dùng.
Hacker gọi lại hàm transferFrom để chuyển Token đi
Điều này có nghĩa là chỉ cần bạn đã tương tác với Uniswap sau năm 2023, bạn có thể đối mặt với rủi ro này.
Đề xuất phòng ngừa
Học cách nhận diện định dạng chữ ký Permit, bao gồm các trường Owner, Spender, value, nonce và deadline.
Tài sản và ví tương tác được sử dụng tách biệt
Khi ủy quyền hợp đồng Permit2, chỉ ủy quyền số tiền cần thiết hoặc hủy bỏ ủy quyền thừa.
Tìm hiểu xem các token bạn nắm giữ có hỗ trợ chức năng permit hay không
Nếu bị đánh cắp mà còn tài sản trên nền tảng khác, cần xây dựng một kế hoạch rút tiền hoàn chỉnh.
Trong tương lai, các cuộc lừa đảo dựa trên Permit2 có thể ngày càng nhiều, phương pháp này cực kỳ kín đáo và khó phòng ngừa, hy vọng mọi người nâng cao cảnh giác và ký tên cẩn thận.