**Artikel ini ditulis oleh; Beosin; peneliti independen yang diundang secara khusus Bayam Bayam! (twitter@wzxznl) Tulisan bersama dengan; Beosin; peneliti keamanan; Sivan; *
Peretas, ini adalah keberadaan yang membuat takut semua orang di ekosistem Web3. Untuk sisi proyek, ketika peretas di seluruh dunia mungkin menatap Anda, sifat kode sumber terbuka membuat pihak proyek takut menulis baris kode yang salah saat Berkembang Meninggalkan celah, begitu insiden keamanan terjadi, konsekuensinya akan sulit ditanggung.
**Untuk individu, jika Anda tidak memahami apa yang Anda lakukan, setiap interaksi on-chain atau tanda tangan yang Anda buat berpotensi membuat aset Anda dicuri. ** Oleh karena itu, masalah keamanan selalu menjadi salah satu masalah paling menyusahkan di dunia enkripsi, dan karena karakteristik blockchain, begitu aset dicuri, hampir tidak ada cara untuk memulihkannya, jadi sangat penting untuk memilikinya pengetahuan keamanan di dunia enkripsi.
Baru-baru ini, teman baik **Beosin;, Spinach, menemukan metode phishing baru yang telah aktif dalam dua bulan terakhir, selama tanda tangannya dicuri, metode ini sangat tersembunyi dan sulit dicegah, dan used;Uniswap; Semua alamat interaktif dapat terkena risiko. Artikel ini; Beosin; dan peneliti independen Pincai bersama-sama melakukan sains populer tentang teknik phishing tanda tangan ini, dan mencoba menghindari lebih banyak kerugian aset untuk semua orang. **
Berikut adalah penceritaan kembali pengalaman pribadi bayam:
proses
Baru-baru ini, seorang teman (sementara disebut Xiao;A) menemukan Bayam setelah aset di dompetnya dicuri. Berbeda dengan cara pencurian biasa, Xiao;A; tidak mengungkapkan kunci pribadi atau berinteraksi dengan kontrak situs web phishing. Jadi Bayam mulai menyelidiki pencurian aset.
Di browser rantai blok, Anda dapat melihat bahwa dompet kecil;A; dicuri; USDT; ditransfer melalui fungsi "Transfer Dari;", **Ini ilmu populer, saat kami melakukannya di Ethereum; Token; Saat mentransfer dana, fungsi "Transfer" dari kontrak pintar "Token" sebenarnya disebut. ;Transfer Dari; artinya pihak ketiga mentransfer ;Token; di alamat ke alamat lain. **Ini juga berarti bahwa aset yang dicuri ditransfer dari alamat lain; Token; daripada membocorkan kunci pribadi dompet.
Dengan menanyakan detail transaksi, kami dapat menemukan beberapa petunjuk utama:
Alamat dengan nomor ekor ;f;d5;1; mentransfer aset kecil;A; ke alamat dengan nomor ekor;a;0;c;8;
Operasi ini berinteraksi dengan;Permit;2;kontrak dari;Uniswap;
Jadi inilah keraguannya, bagaimana alamat yang diakhiri dengan ;f;d5;1; mendapatkan izin dari aset ini? Mengapa terkait dengan "Uniswap"?
Pertama-tama, kita perlu tahu bahwa agar berhasil memanggil fungsi "Transfer Dari;", premisnya adalah bahwa penelepon harus memiliki otoritas kuota "Token", yaitu "menyetujui". Saya percaya setiap orang yang memiliki dioperasikan pada rantai harus akrab dengannya Ketika kita menggunakan beberapa "Dapp", setelah transfer aset terlibat, kita perlu melakukan operasi otorisasi (menyetujui) terlebih dahulu, sehingga kontrak "Dapp" memiliki hak untuk mengalihkan aset kita.
Untuk memecahkan teka-teki ini, kita perlu terus menggali, dan jawabannya ada di catatan interaksi alamat yang diakhiri dengan ;f;d5;1;, di alamat ini, ;Transfer From;transfer small;A; Before aset, Anda dapat melihat bahwa alamat tersebut juga telah melakukan operasi "Izin", dan objek interaksi dari kedua operasi ini adalah kontrak "Izin;2" "Uniswap;, lalu fungsi "Izin" ini dan "Izin Uniswap" ;2;Bagaimana situasinya?
Izin Uniswap;2; kontrak adalah; Uniswap; pada akhir; 2022; kontrak pintar baru diluncurkan, menurut pernyataan resmi, ini adalah kontrak persetujuan token yang memungkinkan otorisasi token untuk dibagikan dan dikelola dalam aplikasi yang berbeda, Buat pengalaman pengguna yang lebih terpadu, hemat biaya, dan aman.
Dan di masa depan, karena semakin banyak proyek yang terintegrasi dengan Izin; 2, Izin; 2; dapat distandarisasi di semua aplikasi; Token; disetujui. Permit;2 akan meningkatkan pengalaman pengguna dengan mengurangi biaya transaksi sambil meningkatkan keamanan kontrak cerdas.
Pertama-tama mari kita pahami mengapa "Uniswap" ingin meluncurkan "Permit;2;, mari kita asumsikan sebuah skenario, ketika kita ingin "Menukar" pada "Dex" tertentu, metode interaksi tradisionalnya adalah kita perlu mengotorisasi (menyetujui) Berikan ini "Dex, lalu "Tukar", yang biasanya dikenakan biaya dua "Gas", dan biaya gesekan terlalu tinggi bagi pengguna. Saya yakin semua orang pernah mengalaminya.
Sumber Gambar:
Peluncuran "Izin; 2" kemungkinan akan mengubah seluruh aturan permainan ekologis "Dapp". Sederhananya, metode tradisionalnya adalah Anda harus mengotorisasi setiap kali Anda berinteraksi dengan "Dapp" untuk transfer aset, dan; Izin; 2 ; Langkah ini dapat dihilangkan, yang dapat secara efektif mengurangi biaya interaksi pengguna dan menghadirkan pengalaman pengguna yang lebih baik.
Solusinya adalah;Izin;2;sebagai perantara antara pengguna dan;Dapp;, pengguna hanya perlu mengotorisasi izin dari;Token;ke;Izin;2;kontrak, semua terintegrasi;Izin;2;kontrak ;Dapp; Jumlah resmi ini dapat dibagikan. Untuk pengguna, ini mengurangi biaya interaksi dan meningkatkan pengalaman pengguna. Untuk "Dapp", peningkatan pengalaman pengguna membawa lebih banyak pengguna dan dana. Ini adalah situasi win-win, tetapi Pada saat yang sama waktu, ini juga bisa menjadi pedang bermata dua, dan masalahnya terletak pada cara ;Permit;2; berinteraksi.
Dalam mode interaksi tradisional, apakah itu otorisasi atau transfer dana, itu adalah interaksi rantai untuk pengguna operasi. Dan ;Permit;2; mengubah operasi pengguna menjadi tanda tangan off-chain, dan semua operasi pada rantai dilakukan oleh peran perantara (seperti;Permit;2;kontrak dan pihak proyek yang mengintegrasikan ;Permit;2;, dll. ), manfaat yang dibawa oleh skema ini adalah karena peran interaksi pada rantai ditransfer dari pengguna ke peran perantara, bahkan jika pengguna tidak memiliki "ETH" di dompet, dia dapat menggunakan "Token" lain untuk membayar biaya "Gas" atau diganti sepenuhnya oleh peran perantara. Itu tergantung pada pilihan peran perantara.
Sumber Gambar:
Meskipun munculnya "Permit;2" dapat mengubah aturan permainan "Dapp" di masa mendatang, dapat dilihat bahwa ini adalah pedang bermata dua yang kuat. Bagi pengguna, tanda tangan off-chain adalah cara termudah untuk meletakkan pertahanan mereka Tautan , seperti ketika kita masuk ke beberapa "Dapp" dengan dompet, kita memerlukan tanda tangan untuk terhubung, dan kebanyakan orang tidak memeriksa isi tanda tangan dengan hati-hati dan tidak memahami isi tanda tangan, dan ini adalah tempat paling menakutkan.
Memahami;Izin;2;Kontrak, kembali ke peristiwa kecil;A;, kami memahami mengapa aset dicuri dan berinteraksi dengan;Izin;2;Kontrak, lalu biarkan Bayam mereproduksi ini;Izin; 2. Metode phishing tanda tangan, pertama-tama , prasyarat penting adalah bahwa dompet yang sedang di-phishing harus memiliki "Token" yang diotorisasi ke "Uniswap", "Izin;2; ;Dapp; atau ;Swap; di Uniswap;, semua harus diotorisasi ke ;Izin; 2; kontrak (bayam pada gambar di bawah menggunakan plug-in keamanan).
Poin menakutkan lainnya adalah bahwa berapa pun jumlah yang ingin Anda "Tukar", kontrak "Izin;2" Uniswap; akan memungkinkan Anda untuk mengotorisasi "Token" secara default, meskipun "MetaMask" akan memungkinkan Anda untuk Menentukan input jumlah, tetapi saya percaya bahwa kebanyakan orang akan langsung mengklik nilai maksimum atau default, dan nilai default ;Permit;2; adalah jumlah yang tidak terbatas....
Ini juga berarti bahwa selama Anda telah berinteraksi dengan "Uniswap" dan mengesahkan jumlah tersebut ke kontrak "Izin; 2" setelah tahun 2023, Anda akan terkena risiko penipuan phishing ini.
Karena fokusnya adalah pada fungsi ;Permit; yang berinteraksi dengan ;Permit;2; kontrak di alamat yang diakhiri dengan ;f;d5;1;, fungsi ini hanya menggunakan dompet Anda untuk mengotorisasi Anda ke ;Permit; 2; " Token" kontrak ditransfer ke alamat lain, artinya, selama Anda mendapatkan tanda tangan Anda, peretas bisa mendapatkan otoritas "Token" di dompet Anda dan mentransfer aset Anda.
Analisis detail acara
izin; Fungsi:
Anda dapat menganggap fungsi "Izin" sebagai cara untuk menandatangani kontrak secara online. Fungsi ini memungkinkan Anda (PermitSingle) untuk menandatangani "kontrak" terlebih dahulu yang memungkinkan orang lain (pemboros) membelanjakan sebagian token Anda di masa mendatang.
Pada saat yang sama, Anda juga perlu memberikan tanda tangan (tanda tangan), seperti halnya menandatangani kontrak kertas, untuk membuktikan bahwa "kontrak" ini benar-benar Anda tandatangani.
Jadi bagaimana cara kerja fungsi ini?
Pertama, ia akan memeriksa apakah waktu saat ini melebihi masa berlaku tanda tangan Anda (sigDeadline). Sama seperti kontrak yang Anda tanda tangani memiliki tanggal kedaluwarsa, jika waktu saat ini melebihi tanggal kedaluwarsa, maka "kontrak" ini tidak dapat digunakan lagi, dan program akan langsung berhenti.
Selanjutnya, memeriksa apakah tanda tangan Anda benar-benar milik Anda. Program akan menggunakan metode khusus (signature.verify) untuk memeriksa tanda tangan guna memastikan bahwa tanda tangan tersebut benar-benar ditandatangani oleh Anda dan belum dipalsukan oleh orang lain.
Terakhir, jika pemeriksaan berhasil, program akan memperbarui catatan untuk mencatat bahwa Anda telah mengizinkan orang lain untuk menggunakan beberapa token Anda.
Fokus utamanya adalah pada fungsi ;verify; dan fungsi _updateApproval;.
verifikasi; fungsi:
Dapat dilihat bahwa fungsi verifikasi; akan memperoleh tiga data; v, r, s; dari parameter informasi tanda tangan, v, r, s; adalah nilai tanda tangan transaksi, dan dapat digunakan untuk memulihkan alamat tanda tangan transaksi, seperti yang ditunjukkan pada gambar di atas Terlihat dari kode bahwa setelah kontrak memulihkan alamat tanda tangan transaksi, membandingkannya dengan alamat pemilik token yang masuk, jika sama, lolos verifikasi, dan panggilan ke fungsi _updateApproval; berlanjut. Jika berbeda, transaksi dibatalkan.
_updatePersetujuan; Fungsi:
Ketika verifikasi tanda tangan dilewatkan, fungsi _updateApproval; akan dipanggil untuk memperbarui nilai otorisasi, yang berarti izin Anda telah ditransfer. Saat ini, akan lebih mudah untuk memanggil fungsi ;transferfrom; untuk mentransfer token ke alamat yang ditentukan setelah diotorisasi, seperti yang ditunjukkan pada kode di bawah ini.
Oke, setelah menjelaskan fungsi "izin", mari kita lihat transaksi sebenarnya di rantai. Kita bisa mengetahui detail interaksi ini:
pemilik; kecil;A;alamat dompet (nomor ekor;308;a)
Detail; Anda dapat melihat resmi; Token; alamat kontrak (USDT) dan jumlah dan informasi lainnya
Pemboros; adalah alamat peretas dengan nomor ekor;f;d5;1;
sigDeadline; adalah waktu efektif tanda tangan, dan;tanda tangan; adalah informasi tanda tangan kecil;A;
Dan melihat kembali catatan interaksi xiao;A; kita akan menemukan bahwa **xiao;A; menggunakan "Uniswap" sebelumnya dan mengklik jumlah otorisasi default, yang hampir tidak terbatas. **
Ulasan sederhananya adalah ** kecil; A; diberi wewenang untuk "Izin Uniswap" dalam proses menggunakan "Uniswap" sebelumnya; 2; tidak terbatas; USDT; jumlah, tetapi kecil; A; secara tidak sengaja saat melakukan operasi dompet Jatuh ke dalam ;Izin;2; perangkap phishing tanda tangan yang dirancang oleh peretas, peretas mendapatkan tanda tangan kecil;A; dan menggunakan tanda tangan kecil;A; dalam;Izin;2;kontrak;Izin;dan;Transfer Dari; Dua operasi mentransfer aset kecil;A;,** dan apa yang telah diamati Bayam adalah bahwa;Izin;2;kontrak "Uniswap; Hanya menjadi aktif beberapa bulan yang lalu.
sumber:
Dan dalam catatan interaksi, dapat ditemukan bahwa hampir sebagian besar dari mereka ditandai sebagai alamat phishing (Palsu_Phishing), dan orang terus-menerus dibodohi.
sumber:;
Bagaimana cara mencegahnya?
Mempertimbangkan bahwa kontrak "Izin Uniswap; 2" dapat menjadi lebih populer di masa mendatang, dan akan ada lebih banyak integrasi proyek "Izin; 2;" kontrak untuk pembagian otorisasi, kami dapat memikirkan metode pencegahan yang efektif sebagai berikut:
1 Memahami dan mengenali konten tanda tangan:
Format tanda tangan izin biasanya meliputi; Pemilik, Pembelanja, nilai, nonce; dan; Format. (Mengunduh plugin keamanan adalah opsi yang bagus)
Kami merekomendasikan plug-in anti-phishing "Beosin" berikut untuk semua pembaca dan teman, yang dapat mengidentifikasi sebagian besar situs web phishing di bidang Web3 dan melindungi keamanan dompet dan aset semua orang.
Unduhan plug-in anti-phishing:
2 Dompet aset dan dompet interaktif digunakan secara terpisah:
Jika Anda memiliki aset dalam jumlah besar, disarankan untuk meletakkan semua aset di dompet dingin, dan menaruh sejumlah kecil dana di dompet yang berinteraksi pada rantai, yang dapat sangat mengurangi kerugian jika terjadi penipuan phishing.
3 Jangan mengotorisasi terlalu banyak untuk;Izin;2;Kontrak atau batalkan otorisasi:
Saat Anda "Menukar" di "Uniswap", Anda hanya mengotorisasi jumlah yang ingin Anda gunakan untuk berinteraksi, sehingga meskipun setiap interaksi memerlukan otorisasi ulang, akan ada beberapa biaya interaksi, tetapi Anda dapat menghindari penderitaan dari "Izin;2; Masuk Penangkapan ikan. Jika Anda telah mengotorisasi kuota, Anda dapat menemukan plugin keamanan yang sesuai untuk membatalkan otorisasi.
**4 Identifikasi sifat token, apakah mendukung; izin; fungsi: **
Di masa mendatang, semakin banyak token "ERC;20" yang dapat menggunakan protokol ekstensi ini untuk mewujudkan fungsi "izin". Bagi Anda, Anda perlu memperhatikan apakah token yang Anda pegang mendukung fungsi ini. Jika ya, maka untuk token Berhati-hatilah dalam transaksi atau manipulasi, dan periksa dengan ketat apakah setiap tanda tangan yang tidak diketahui adalah tanda tangan dari fungsi "izin".
5 Jika ada token yang disimpan di platform lain setelah ditipu, perlu disusun rencana penyelamatan yang komprehensif:
Ketika Anda menemukan bahwa Anda telah ditipu dan token Anda telah ditransfer oleh peretas, tetapi Anda masih memiliki token yang disimpan di platform lain melalui metode seperti janji, dll., Anda perlu menariknya dan mentransfernya ke alamat yang aman. kali ini, Anda perlu tahu bahwa peretas dapat memantau Anda sepanjang waktu Saldo token alamat, karena dia memiliki tanda tangan Anda, selama token muncul di alamat Anda yang dicuri, peretas dapat mentransfernya secara langsung. Saat ini, perlu untuk merumuskan proses penyelamatan token yang lengkap. Kedua proses mengekstraksi token dan mentransfer token harus dijalankan bersama. Transaksi peretas tidak dapat dimasukkan ke dalamnya. Anda dapat menggunakan transfer "MEV", yang memerlukan beberapa blockchain pengetahuan dan keterampilan kode. , Anda juga dapat mencari perusahaan keamanan profesional seperti; Beosin; tim untuk menggunakan skrip preemptive transaksi untuk mencapainya.
Saya percaya bahwa akan ada lebih banyak phishing berdasarkan "Izin;2;" di masa mendatang, **metode phishing tanda tangan ini sangat tersembunyi dan sulit dicegah, dan dengan penerapan "Izin;2; yang lebih luas; semakin banyak alamat di bawahnya. Saya harap Anda di depan layar dapat menyebarkannya ke lebih banyak orang setelah membaca artikel ini, untuk menghindari lebih banyak orang yang dicuri. **
Referensi:
Lihat Asli
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Tanda tangan dicuri? Waspadai phishing tanda tangan Uniswap Permit2
**Artikel ini ditulis oleh; Beosin; peneliti independen yang diundang secara khusus Bayam Bayam! (twitter@wzxznl) Tulisan bersama dengan; Beosin; peneliti keamanan; Sivan; *
Peretas, ini adalah keberadaan yang membuat takut semua orang di ekosistem Web3. Untuk sisi proyek, ketika peretas di seluruh dunia mungkin menatap Anda, sifat kode sumber terbuka membuat pihak proyek takut menulis baris kode yang salah saat Berkembang Meninggalkan celah, begitu insiden keamanan terjadi, konsekuensinya akan sulit ditanggung.
**Untuk individu, jika Anda tidak memahami apa yang Anda lakukan, setiap interaksi on-chain atau tanda tangan yang Anda buat berpotensi membuat aset Anda dicuri. ** Oleh karena itu, masalah keamanan selalu menjadi salah satu masalah paling menyusahkan di dunia enkripsi, dan karena karakteristik blockchain, begitu aset dicuri, hampir tidak ada cara untuk memulihkannya, jadi sangat penting untuk memilikinya pengetahuan keamanan di dunia enkripsi.
Baru-baru ini, teman baik **Beosin;, Spinach, menemukan metode phishing baru yang telah aktif dalam dua bulan terakhir, selama tanda tangannya dicuri, metode ini sangat tersembunyi dan sulit dicegah, dan used;Uniswap; Semua alamat interaktif dapat terkena risiko. Artikel ini; Beosin; dan peneliti independen Pincai bersama-sama melakukan sains populer tentang teknik phishing tanda tangan ini, dan mencoba menghindari lebih banyak kerugian aset untuk semua orang. **
Berikut adalah penceritaan kembali pengalaman pribadi bayam:
proses
Baru-baru ini, seorang teman (sementara disebut Xiao;A) menemukan Bayam setelah aset di dompetnya dicuri. Berbeda dengan cara pencurian biasa, Xiao;A; tidak mengungkapkan kunci pribadi atau berinteraksi dengan kontrak situs web phishing. Jadi Bayam mulai menyelidiki pencurian aset.
Di browser rantai blok, Anda dapat melihat bahwa dompet kecil;A; dicuri; USDT; ditransfer melalui fungsi "Transfer Dari;", **Ini ilmu populer, saat kami melakukannya di Ethereum; Token; Saat mentransfer dana, fungsi "Transfer" dari kontrak pintar "Token" sebenarnya disebut. ;Transfer Dari; artinya pihak ketiga mentransfer ;Token; di alamat ke alamat lain. **Ini juga berarti bahwa aset yang dicuri ditransfer dari alamat lain; Token; daripada membocorkan kunci pribadi dompet.
Dengan menanyakan detail transaksi, kami dapat menemukan beberapa petunjuk utama:
Alamat dengan nomor ekor ;f;d5;1; mentransfer aset kecil;A; ke alamat dengan nomor ekor;a;0;c;8;
Operasi ini berinteraksi dengan;Permit;2;kontrak dari;Uniswap;
Jadi inilah keraguannya, bagaimana alamat yang diakhiri dengan ;f;d5;1; mendapatkan izin dari aset ini? Mengapa terkait dengan "Uniswap"?
Pertama-tama, kita perlu tahu bahwa agar berhasil memanggil fungsi "Transfer Dari;", premisnya adalah bahwa penelepon harus memiliki otoritas kuota "Token", yaitu "menyetujui". Saya percaya setiap orang yang memiliki dioperasikan pada rantai harus akrab dengannya Ketika kita menggunakan beberapa "Dapp", setelah transfer aset terlibat, kita perlu melakukan operasi otorisasi (menyetujui) terlebih dahulu, sehingga kontrak "Dapp" memiliki hak untuk mengalihkan aset kita.
Untuk memecahkan teka-teki ini, kita perlu terus menggali, dan jawabannya ada di catatan interaksi alamat yang diakhiri dengan ;f;d5;1;, di alamat ini, ;Transfer From;transfer small;A; Before aset, Anda dapat melihat bahwa alamat tersebut juga telah melakukan operasi "Izin", dan objek interaksi dari kedua operasi ini adalah kontrak "Izin;2" "Uniswap;, lalu fungsi "Izin" ini dan "Izin Uniswap" ;2;Bagaimana situasinya?
Izin Uniswap;2; kontrak adalah; Uniswap; pada akhir; 2022; kontrak pintar baru diluncurkan, menurut pernyataan resmi, ini adalah kontrak persetujuan token yang memungkinkan otorisasi token untuk dibagikan dan dikelola dalam aplikasi yang berbeda, Buat pengalaman pengguna yang lebih terpadu, hemat biaya, dan aman.
Dan di masa depan, karena semakin banyak proyek yang terintegrasi dengan Izin; 2, Izin; 2; dapat distandarisasi di semua aplikasi; Token; disetujui. Permit;2 akan meningkatkan pengalaman pengguna dengan mengurangi biaya transaksi sambil meningkatkan keamanan kontrak cerdas.
Pertama-tama mari kita pahami mengapa "Uniswap" ingin meluncurkan "Permit;2;, mari kita asumsikan sebuah skenario, ketika kita ingin "Menukar" pada "Dex" tertentu, metode interaksi tradisionalnya adalah kita perlu mengotorisasi (menyetujui) Berikan ini "Dex, lalu "Tukar", yang biasanya dikenakan biaya dua "Gas", dan biaya gesekan terlalu tinggi bagi pengguna. Saya yakin semua orang pernah mengalaminya.
Sumber Gambar:
Peluncuran "Izin; 2" kemungkinan akan mengubah seluruh aturan permainan ekologis "Dapp". Sederhananya, metode tradisionalnya adalah Anda harus mengotorisasi setiap kali Anda berinteraksi dengan "Dapp" untuk transfer aset, dan; Izin; 2 ; Langkah ini dapat dihilangkan, yang dapat secara efektif mengurangi biaya interaksi pengguna dan menghadirkan pengalaman pengguna yang lebih baik.
Solusinya adalah;Izin;2;sebagai perantara antara pengguna dan;Dapp;, pengguna hanya perlu mengotorisasi izin dari;Token;ke;Izin;2;kontrak, semua terintegrasi;Izin;2;kontrak ;Dapp; Jumlah resmi ini dapat dibagikan. Untuk pengguna, ini mengurangi biaya interaksi dan meningkatkan pengalaman pengguna. Untuk "Dapp", peningkatan pengalaman pengguna membawa lebih banyak pengguna dan dana. Ini adalah situasi win-win, tetapi Pada saat yang sama waktu, ini juga bisa menjadi pedang bermata dua, dan masalahnya terletak pada cara ;Permit;2; berinteraksi.
Dalam mode interaksi tradisional, apakah itu otorisasi atau transfer dana, itu adalah interaksi rantai untuk pengguna operasi. Dan ;Permit;2; mengubah operasi pengguna menjadi tanda tangan off-chain, dan semua operasi pada rantai dilakukan oleh peran perantara (seperti;Permit;2;kontrak dan pihak proyek yang mengintegrasikan ;Permit;2;, dll. ), manfaat yang dibawa oleh skema ini adalah karena peran interaksi pada rantai ditransfer dari pengguna ke peran perantara, bahkan jika pengguna tidak memiliki "ETH" di dompet, dia dapat menggunakan "Token" lain untuk membayar biaya "Gas" atau diganti sepenuhnya oleh peran perantara. Itu tergantung pada pilihan peran perantara.
Sumber Gambar:
Meskipun munculnya "Permit;2" dapat mengubah aturan permainan "Dapp" di masa mendatang, dapat dilihat bahwa ini adalah pedang bermata dua yang kuat. Bagi pengguna, tanda tangan off-chain adalah cara termudah untuk meletakkan pertahanan mereka Tautan , seperti ketika kita masuk ke beberapa "Dapp" dengan dompet, kita memerlukan tanda tangan untuk terhubung, dan kebanyakan orang tidak memeriksa isi tanda tangan dengan hati-hati dan tidak memahami isi tanda tangan, dan ini adalah tempat paling menakutkan.
Memahami;Izin;2;Kontrak, kembali ke peristiwa kecil;A;, kami memahami mengapa aset dicuri dan berinteraksi dengan;Izin;2;Kontrak, lalu biarkan Bayam mereproduksi ini;Izin; 2. Metode phishing tanda tangan, pertama-tama , prasyarat penting adalah bahwa dompet yang sedang di-phishing harus memiliki "Token" yang diotorisasi ke "Uniswap", "Izin;2; ;Dapp; atau ;Swap; di Uniswap;, semua harus diotorisasi ke ;Izin; 2; kontrak (bayam pada gambar di bawah menggunakan plug-in keamanan).
Poin menakutkan lainnya adalah bahwa berapa pun jumlah yang ingin Anda "Tukar", kontrak "Izin;2" Uniswap; akan memungkinkan Anda untuk mengotorisasi "Token" secara default, meskipun "MetaMask" akan memungkinkan Anda untuk Menentukan input jumlah, tetapi saya percaya bahwa kebanyakan orang akan langsung mengklik nilai maksimum atau default, dan nilai default ;Permit;2; adalah jumlah yang tidak terbatas....
Ini juga berarti bahwa selama Anda telah berinteraksi dengan "Uniswap" dan mengesahkan jumlah tersebut ke kontrak "Izin; 2" setelah tahun 2023, Anda akan terkena risiko penipuan phishing ini.
Karena fokusnya adalah pada fungsi ;Permit; yang berinteraksi dengan ;Permit;2; kontrak di alamat yang diakhiri dengan ;f;d5;1;, fungsi ini hanya menggunakan dompet Anda untuk mengotorisasi Anda ke ;Permit; 2; " Token" kontrak ditransfer ke alamat lain, artinya, selama Anda mendapatkan tanda tangan Anda, peretas bisa mendapatkan otoritas "Token" di dompet Anda dan mentransfer aset Anda.
Analisis detail acara
izin; Fungsi:
Pada saat yang sama, Anda juga perlu memberikan tanda tangan (tanda tangan), seperti halnya menandatangani kontrak kertas, untuk membuktikan bahwa "kontrak" ini benar-benar Anda tandatangani.
Jadi bagaimana cara kerja fungsi ini?
Fokus utamanya adalah pada fungsi ;verify; dan fungsi _updateApproval;.
verifikasi; fungsi:
Dapat dilihat bahwa fungsi verifikasi; akan memperoleh tiga data; v, r, s; dari parameter informasi tanda tangan, v, r, s; adalah nilai tanda tangan transaksi, dan dapat digunakan untuk memulihkan alamat tanda tangan transaksi, seperti yang ditunjukkan pada gambar di atas Terlihat dari kode bahwa setelah kontrak memulihkan alamat tanda tangan transaksi, membandingkannya dengan alamat pemilik token yang masuk, jika sama, lolos verifikasi, dan panggilan ke fungsi _updateApproval; berlanjut. Jika berbeda, transaksi dibatalkan.
_updatePersetujuan; Fungsi:
Ketika verifikasi tanda tangan dilewatkan, fungsi _updateApproval; akan dipanggil untuk memperbarui nilai otorisasi, yang berarti izin Anda telah ditransfer. Saat ini, akan lebih mudah untuk memanggil fungsi ;transferfrom; untuk mentransfer token ke alamat yang ditentukan setelah diotorisasi, seperti yang ditunjukkan pada kode di bawah ini.
Oke, setelah menjelaskan fungsi "izin", mari kita lihat transaksi sebenarnya di rantai. Kita bisa mengetahui detail interaksi ini:
pemilik; kecil;A;alamat dompet (nomor ekor;308;a)
Detail; Anda dapat melihat resmi; Token; alamat kontrak (USDT) dan jumlah dan informasi lainnya
Pemboros; adalah alamat peretas dengan nomor ekor;f;d5;1;
sigDeadline; adalah waktu efektif tanda tangan, dan;tanda tangan; adalah informasi tanda tangan kecil;A;
Dan melihat kembali catatan interaksi xiao;A; kita akan menemukan bahwa **xiao;A; menggunakan "Uniswap" sebelumnya dan mengklik jumlah otorisasi default, yang hampir tidak terbatas. **
Ulasan sederhananya adalah ** kecil; A; diberi wewenang untuk "Izin Uniswap" dalam proses menggunakan "Uniswap" sebelumnya; 2; tidak terbatas; USDT; jumlah, tetapi kecil; A; secara tidak sengaja saat melakukan operasi dompet Jatuh ke dalam ;Izin;2; perangkap phishing tanda tangan yang dirancang oleh peretas, peretas mendapatkan tanda tangan kecil;A; dan menggunakan tanda tangan kecil;A; dalam;Izin;2;kontrak;Izin;dan;Transfer Dari; Dua operasi mentransfer aset kecil;A;,** dan apa yang telah diamati Bayam adalah bahwa;Izin;2;kontrak "Uniswap; Hanya menjadi aktif beberapa bulan yang lalu.
sumber:
Dan dalam catatan interaksi, dapat ditemukan bahwa hampir sebagian besar dari mereka ditandai sebagai alamat phishing (Palsu_Phishing), dan orang terus-menerus dibodohi.
sumber:;
Bagaimana cara mencegahnya?
Mempertimbangkan bahwa kontrak "Izin Uniswap; 2" dapat menjadi lebih populer di masa mendatang, dan akan ada lebih banyak integrasi proyek "Izin; 2;" kontrak untuk pembagian otorisasi, kami dapat memikirkan metode pencegahan yang efektif sebagai berikut:
1 Memahami dan mengenali konten tanda tangan:
Format tanda tangan izin biasanya meliputi; Pemilik, Pembelanja, nilai, nonce; dan; Format. (Mengunduh plugin keamanan adalah opsi yang bagus)
Kami merekomendasikan plug-in anti-phishing "Beosin" berikut untuk semua pembaca dan teman, yang dapat mengidentifikasi sebagian besar situs web phishing di bidang Web3 dan melindungi keamanan dompet dan aset semua orang.
Unduhan plug-in anti-phishing:
2 Dompet aset dan dompet interaktif digunakan secara terpisah:
Jika Anda memiliki aset dalam jumlah besar, disarankan untuk meletakkan semua aset di dompet dingin, dan menaruh sejumlah kecil dana di dompet yang berinteraksi pada rantai, yang dapat sangat mengurangi kerugian jika terjadi penipuan phishing.
3 Jangan mengotorisasi terlalu banyak untuk;Izin;2;Kontrak atau batalkan otorisasi:
Saat Anda "Menukar" di "Uniswap", Anda hanya mengotorisasi jumlah yang ingin Anda gunakan untuk berinteraksi, sehingga meskipun setiap interaksi memerlukan otorisasi ulang, akan ada beberapa biaya interaksi, tetapi Anda dapat menghindari penderitaan dari "Izin;2; Masuk Penangkapan ikan. Jika Anda telah mengotorisasi kuota, Anda dapat menemukan plugin keamanan yang sesuai untuk membatalkan otorisasi.
**4 Identifikasi sifat token, apakah mendukung; izin; fungsi: **
Di masa mendatang, semakin banyak token "ERC;20" yang dapat menggunakan protokol ekstensi ini untuk mewujudkan fungsi "izin". Bagi Anda, Anda perlu memperhatikan apakah token yang Anda pegang mendukung fungsi ini. Jika ya, maka untuk token Berhati-hatilah dalam transaksi atau manipulasi, dan periksa dengan ketat apakah setiap tanda tangan yang tidak diketahui adalah tanda tangan dari fungsi "izin".
5 Jika ada token yang disimpan di platform lain setelah ditipu, perlu disusun rencana penyelamatan yang komprehensif:
Ketika Anda menemukan bahwa Anda telah ditipu dan token Anda telah ditransfer oleh peretas, tetapi Anda masih memiliki token yang disimpan di platform lain melalui metode seperti janji, dll., Anda perlu menariknya dan mentransfernya ke alamat yang aman. kali ini, Anda perlu tahu bahwa peretas dapat memantau Anda sepanjang waktu Saldo token alamat, karena dia memiliki tanda tangan Anda, selama token muncul di alamat Anda yang dicuri, peretas dapat mentransfernya secara langsung. Saat ini, perlu untuk merumuskan proses penyelamatan token yang lengkap. Kedua proses mengekstraksi token dan mentransfer token harus dijalankan bersama. Transaksi peretas tidak dapat dimasukkan ke dalamnya. Anda dapat menggunakan transfer "MEV", yang memerlukan beberapa blockchain pengetahuan dan keterampilan kode. , Anda juga dapat mencari perusahaan keamanan profesional seperti; Beosin; tim untuk menggunakan skrip preemptive transaksi untuk mencapainya.
Saya percaya bahwa akan ada lebih banyak phishing berdasarkan "Izin;2;" di masa mendatang, **metode phishing tanda tangan ini sangat tersembunyi dan sulit dicegah, dan dengan penerapan "Izin;2; yang lebih luas; semakin banyak alamat di bawahnya. Saya harap Anda di depan layar dapat menyebarkannya ke lebih banyak orang setelah membaca artikel ini, untuk menghindari lebih banyak orang yang dicuri. **
Referensi: