\ * هذا المقال كتبه ؛ Beosin ؛ الباحث المستقل الخاص بالسبانخ السبانخ! (twitter @ wzxznl) منشور مشترك مع ؛ Beosin ؛ باحث أمني ؛ Sivan ؛ *
المتسللين ، هذا وجود يخيف الجميع في النظام البيئي Web3. بالنسبة إلى جانب المشروع ، عندما يحدق قراصنة في جميع أنحاء العالم فيك ، فإن طبيعة المصدر المفتوح للشفرة تجعل جانب المشروع يخاف من كتابة سطر خاطئ من التعليمات البرمجية عندما تطوير ثغرات ، بمجرد وقوع حادث أمني ، سيكون من الصعب تحمل العواقب.
** بالنسبة للأفراد ، إذا كنت لا تفهم ما تفعله ، فإن كل تفاعل أو توقيع تقوم به على السلسلة من المحتمل أن تتم سرقة أصولك. ** لذلك ، كانت مشكلات الأمان دائمًا واحدة من أكثر المشكلات إزعاجًا في عالم التشفير ، وبسبب خصائص blockchain ، بمجرد سرقة الأصول ، لا توجد طريقة تقريبًا لاستعادتها ، لذلك من المهم بشكل خاص الحصول عليها المعرفة الأمنية في عالم التشفير.
في الآونة الأخيرة ، اكتشف سبانخ ** صديق Beosin المقرب طريقة تصيد جديدة كانت نشطة في الشهرين الماضيين. ** طالما أن التوقيع مسروق ، فإن الطريقة مخفية للغاية ويصعب منعها. ** و مستخدمة ؛ Uniswap ؛ قد تتعرض جميع العناوين التفاعلية للمخاطر.هذه المقالة ؛ يقوم Beosin والباحث المستقل Pincai بإجراء العلوم الشائعة حول تقنية التصيد الاحتيالي هذه ، ومحاولة تجنب المزيد من الخسائر في الأصول للجميع. **
*** فيما يلي سرد للتجربة الشخصية للسبانخ: ***
عملية
في الآونة الأخيرة ، عثر صديق (يُدعى مؤقتًا Xiao؛ A) على السبانخ بعد أن سُرقت الأصول الموجودة في محفظته. على عكس الطريقة المعتادة للسرقة ، لم يكشف Xiao؛ A عن المفتاح الخاص ولم يتفاعل مع عقد موقع التصيد الاحتيالي. بدأت السبانخ في التحقيق في سرقة الأصول.
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-038b1c54ab-dd1a6f-62a40f)
في متصفح block chain ، يمكنك أن ترى أن الصغيرة ؛ A ؛ المحفظة المسروقة ؛ USDT ؛ يتم نقلها من خلال ؛ التحويل من ؛ الرمز المميز ؛ عند تحويل الأموال ، تُسمى وظيفة "التحويل" الخاصة بالعقد الذكي "الرمز المميز" فعليًا. ؛ التحويل من ؛ يعني أن طرفًا ثالثًا ينقل ؛ الرمز المميز ؛ في عنوان إلى عنوان آخر. ** يعني هذا أيضًا أنه تم نقل الأصل المسروق من عنوان آخر ؛ رمز ؛ بدلاً من تسريب المفتاح الخاص للمحفظة.
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-f70470495e-dd1a6f-62a40f)
من خلال الاستعلام عن تفاصيل المعاملة ، يمكننا العثور على بعض الأدلة الرئيسية:
العنوان مع رقم الذيل ؛ f ؛ d5 ؛ 1 ؛ ينقل الأصول الصغيرة ؛ A ؛ إلى العنوان مع رقم الذيل ؛ أ ؛ 0 ؛ ج ؛ 8 ؛
** تتفاعل هذه العملية مع ؛ تصريح ؛ 2 ؛ عقد ؛ Uniswap ؛ **
إذن هنا يأتي الشك ، كيف انتهى العنوان بـ ؛ f ؛ d5 ؛ 1 ؛ الحصول على إذن من هذا الأصل؟ لماذا يرتبط بـ "Uniswap"؟ ! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-6f340f9560-dd1a6f-62a40f)
بادئ ذي بدء ، نحتاج إلى معرفة أنه من أجل استدعاء وظيفة "التحويل من" بنجاح ، فإن الفرضية هي أن المتصل يحتاج إلى سلطة حصة "الرمز المميز" ، أي "الموافقة". أعتقد أن كل من لديه التي تعمل على السلسلة يجب أن تكون على دراية بها. عند استخدام بعض "Dapp" ، بمجرد تضمين نقل الأصول ، نحتاج إلى إجراء عملية تفويض (اعتماد) أولاً ، بحيث يكون لعقد "Dapp" الحق في نقل أصولنا.
لحل هذا اللغز ، نحتاج إلى مواصلة البحث ، ** والإجابة موجودة في سجل التفاعل الخاص بالعنوان المنتهي بـ ؛ f ؛ d5 ؛ 1 ؛ ** في هذا العنوان ، ؛ نقل من ؛ نقل صغير ؛ A ؛ قبل الأصل ، يمكنك أن ترى أن العنوان قد أجرى أيضًا عملية "تصريح" ، وكائنات التفاعل لهاتين العمليتين هي عقد "Uniswap ؛ تصريح ؛ 2" ، ثم وظيفة "التصريح" و "تصريح Uniswap" ؛ 2 ؛ ما هو الوضع؟
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-e1a4e655fc-dd1a6f-62a40f)
تصريح Uniswap ؛ 2 ؛ العقد ؛ Uniswap ؛ في نهاية ؛ 2022 ؛ تم إطلاق العقد الذكي الجديد ، وفقًا للبيان الرسمي ، هذا هو عقد الموافقة على الرمز المميز الذي يسمح بمشاركة وإدارة الرمز المميز في تطبيقات مختلفة ، قم بإنشاء تجربة مستخدم أكثر توحيدًا وفعالية من حيث التكلفة وآمنة.
وفي المستقبل ، مع تكامل المزيد والمزيد من المشاريع مع التصاريح ؛ 2 ، تصريح ؛ 2 ؛ يمكن توحيدها في جميع التطبيقات ؛ رمز ؛ موافق عليه. تصريح ؛ 2 سيحسن تجربة المستخدم من خلال تقليل تكاليف المعاملات مع زيادة أمان العقود الذكية.
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-1e0f8ad948-dd1a6f-62a40f)
دعنا نفهم أولاً سبب رغبة "Uniswap" في إطلاق "تصريح ؛ 2 ؛ دعنا نفترض سيناريو ، عندما نريد" التبديل "على" Dex "معين ، فإن طريقة التفاعل التقليدية هي أننا نحتاج إلى ترخيص (الموافقة) أعط هذا "Dex ، ثم" Swap "، والتي عادة ما تكلفنا رسوم" غاز "، وتكلفة الاحتكاك مرتفعة للغاية بالنسبة للمستخدمين. أعتقد أن كل شخص قد مر بهذه التجربة. ! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-aaf8898d3b-dd1a6f-62a40f)
مصدر الصورة:
من المحتمل أن يؤدي إطلاق "Permit؛ 2" إلى تغيير قواعد اللعبة البيئية "Dapp" بالكامل. ببساطة ، الطريقة التقليدية هي أنك تحتاج إلى التفويض في كل مرة تتفاعل فيها مع "Dapp" لنقل الأصول ، و ؛ تصريح ؛ 2 ؛ يمكن حذف هذه الخطوة ، والتي يمكن أن تقلل بشكل فعال تكلفة تفاعل المستخدم وتجلب تجربة مستخدم أفضل.
الحل هو ؛ تصريح ؛ 2 ؛ كوسيط بين المستخدم و ؛ Dapp ؛ يحتاج المستخدم فقط إلى إذن من ؛ رمز ؛ إلى ؛ تصريح ؛ 2 ؛ عقد ، متكامل ؛ تصريح ؛ 2 ؛ عقد ؛ Dapp؛ يمكن مشاركة هذا المبلغ المصرح به. بالنسبة للمستخدمين ، فهو يقلل من تكاليف التفاعل ويحسن تجربة المستخدم. بالنسبة لـ "Dapp" ، يجلب تحسين تجربة المستخدم المزيد من المستخدمين والأموال. هذا وضع مربح للجانبين ، ولكن في نفس الوقت الوقت ، يمكن أن يكون هذا أيضًا سيفًا ذا حدين ، والمشكلة تكمن في الطريقة ؛ تصريح ؛ 2 ؛ يتفاعل.
في وضع التفاعل التقليدي ، سواء كان تفويضًا أو تحويل أموال ، فهو تفاعل على السلسلة لمستخدم العملية. و ؛ تصريح ؛ 2 ؛ يحول عملية المستخدم إلى توقيع خارج السلسلة ، وتتم جميع العمليات على السلسلة من خلال أدوار وسيطة (مثل ؛ تصريح ؛ 2 ؛ العقود وأطراف المشروع التي تتكامل ؛ تصريح ؛ 2 ؛ ، إلخ. ) ، تتمثل الفائدة التي يجلبها هذا المخطط في أنه نظرًا لنقل دور التفاعل في السلسلة من المستخدم إلى الدور الوسيط ، حتى إذا لم يكن لدى المستخدم "ETH" في المحفظة ، فيمكنه استخدام "رمز" آخر لـ دفع رسوم "الغاز" أو يتم سدادها بالكامل من خلال الدور الوسيط ، ويعتمد ذلك على اختيار الأدوار الوسيطة. ! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-2cd8736230-dd1a6f-62a40f)
مصدر الصورة:
على الرغم من أن ظهور "Permit؛ 2" قد يغير قواعد لعبة "Dapp" المستقبلية ، إلا أنه يمكن ملاحظة أن هذا سيف قوي ذو حدين. بالنسبة للمستخدمين ، تعد التوقيعات خارج السلسلة أسهل طريقة لإسقاط روابط دفاعاتهم ، مثل عندما نسجل الدخول إلى بعض "Dapp" بمحفظة ، نحتاج إلى توقيع للاتصال ، ولا يتحقق معظم الأشخاص من محتوى التوقيع بعناية ولا يفهمون محتوى التوقيع ، وهذا هو المكان الأكثر رعبا.
فهم ؛ تصريح ؛ 2 ؛ عقد ، يعود إلى الحجم الصغير ؛ أ ؛ حدث ، نفهم سبب سرقة الأصول والتفاعل معها ؛ تصريح ؛ 2 ؛ عقد ، ثم السماح للسبانخ بإعادة إنتاج هذا ؛ تصريح ؛ 2. طريقة تصيد التوقيع ، أولاً وقبل كل شيء ، الشرط الأساسي الأساسي هو أن المحفظة التي يتم تصيدها يجب أن يكون لها "رمز" مرخص لـ "Uniswap" ؛ أو "تصريح ؛ 2 ؛ أو Dapp ؛ أو ؛ Swap ؛ على Uniswap ؛ جميعهم بحاجة إلى تصريح لـ ؛ تصريح ؛ 2 ؛ العقد (السبانخ في الصورة أدناه تستخدم مكونًا إضافيًا للأمان). ! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-9b7f868543-dd1a6f-62a40f)
نقطة مخيفة أخرى هي أنه بغض النظر عن المبلغ الذي تريد "تبديله" ، فإن عقد Uniswap ؛ سيسمح لك عقد "تصريح ؛ 2" بتفويض "Token" افتراضيًا ، على الرغم من أن "MetaMask" سيسمح لك بتعريف الإدخال المبلغ ، لكنني أعتقد أن معظم الأشخاص سينقرون مباشرةً على القيمة القصوى أو الافتراضية ، والقيمة الافتراضية لـ ؛ تصريح ؛ 2 ؛ مبلغ غير محدود ...
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-ffa3793098-dd1a6f-62a40f)
هذا يعني أيضًا أنه طالما تفاعلت مع "Uniswap" وسمحت بالمبلغ لعقد "التصريح ؛ 2" بعد عام 2023 ، فسوف تتعرض لخطر عملية الخداع هذه.
نظرًا لأن التركيز ينصب على ؛ تصريح ؛ الوظيفة التي تفاعلت مع ؛ تصريح ؛ 2 ؛ العقد في العنوان المنتهي بـ ؛ f ؛ d5 ؛ 1 ؛ ، تستخدم هذه الوظيفة محفظتك ببساطة لتفويضك بذلك ؛ تصريح ؛ 2 ؛ " يتم نقل الرمز "Token" الخاص بالعقد إلى عنوان آخر ، أي أنه طالما تحصل على توقيعك ، يمكن للمتسلل الحصول على سلطة "الرمز المميز" في محفظتك ونقل أصولك بعيدًا.
تحليل مفصل للحدث
تصريح ؛ الوظيفة:
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي للتوقيع باستخدام Uniswap Permit2] (https://img.gateio.im/social/moments-7f230462a9-63071bf04a-dd1a6f-62a40f) يمكنك التفكير في وظيفة "التصريح" كوسيلة لتوقيع العقود عبر الإنترنت. تتيح لك هذه الوظيفة (PermitSingle) التوقيع مسبقًا على "عقد" يسمح لشخص آخر (منفق) بإنفاق بعض الرموز المميزة الخاصة بك في وقت ما في المستقبل.
في الوقت نفسه ، تحتاج أيضًا إلى تقديم توقيع (توقيع) ، تمامًا مثل توقيع عقد ورقي ، لإثبات أن هذا "العقد" تم توقيعه بواسطتك بالفعل.
إذن كيف تعمل هذه الوظيفة؟
أولاً ، سيتحقق مما إذا كان الوقت الحالي يتجاوز فترة صلاحية توقيعك (sigDeadline). تمامًا مثل العقد الذي وقعته له تاريخ انتهاء صلاحية ، إذا تجاوز الوقت الحالي تاريخ انتهاء الصلاحية ، فلن يعد من الممكن استخدام هذا "العقد" ، وسيتوقف البرنامج مباشرةً.
بعد ذلك ، يتحقق من أن توقيعك هو حقًا لك. سيستخدم البرنامج طريقة خاصة (signature.verify) للتحقق من التوقيع للتأكد من أن التوقيع قد تم توقيعه بواسطتك بالفعل ولم يتم تزويره من قبل الآخرين.
أخيرًا ، إذا نجحت عمليات التحقق ، فسيقوم البرنامج بتحديث السجل لملاحظة أنك سمحت للآخرين باستخدام بعض الرموز المميزة الخاصة بك.
ينصب التركيز بشكل أساسي على ؛ تحقق ؛ الوظيفة و \ _updateApproval ؛ الوظيفة.
تحقق ؛ الوظيفة:
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-3ee250fd3e-dd1a6f-62a40f)
يمكن ملاحظة أن التحقق ؛ الوظيفة ستحصل على البيانات الثلاثة ؛ v ، r ، s ؛ من معلمة معلومات التوقيع ، v ، r ، s ؛ هي قيمة توقيع المعاملة ، ويمكن استخدامها لاستعادة العنوان من توقيع المعاملة ، كما هو موضح في الشكل أعلاه ، يمكن ملاحظة من الرمز أنه بعد استعادة العقد لعنوان توقيع المعاملة ، فإنه يقارنه بعنوان مالك الرمز المميز الوارد. إذا كانا متطابقين ، فإن التحقق يمر ، واستدعاء \ _updateApproval؛ تستمر الوظيفة. إذا كانت مختلفة ، يتم التراجع عن المعاملة.
\ _تحديث الموافقة ؛ الوظيفة:
! [سرق التوقيع؟ احذر من التصيد الاحتيالي في توقيع Uniswap Permit2] (https://img.gateio.im/social/moments-7f230462a9-8d0a677dda-dd1a6f-62a40f)! [هل تم سرقة التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-02f0900d04-dd1a6f-62a40f)
عند اجتياز التحقق من صحة التوقيع ، سيتم استدعاء الوظيفة \ _updateApproval؛ لتحديث قيمة التفويض ، مما يعني أنه تم نقل أذوناتك. في هذا الوقت ، من الملائم استدعاء ؛ Transferfrom ؛ وظيفة لنقل الرمز المميز إلى العنوان المحدد بعد الترخيص ، كما هو موضح في الكود أدناه.
! [سرق التوقيع؟ احذر من التصيد الاحتيالي للتوقيع باستخدام Uniswap Permit2] (https://img.gateio.im/social/moments-7f230462a9-e0bae3f39f-dd1a6f-62a40f)! [سرقة التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-2398bc3dfc-dd1a6f-62a40f)
حسنًا ، بعد شرح وظيفة "تصريح" ، دعنا نلقي نظرة على المعاملة الحقيقية على السلسلة. يمكننا معرفة تفاصيل هذا التفاعل:
المالك ؛ صغير ؛ أ ؛ عنوان المحفظة (رقم الذيل ؛ 308 ؛ أ)
التفاصيل ، يمكنك رؤية المفوض ؛ الرمز المميز ؛ عنوان العقد (USDT) والمبلغ ومعلومات أخرى
المنفق هو عنوان المخترق برقم الذيل ؛ f ؛ d5 ؛ 1 ؛
sigDeadline ؛ هو الوقت الفعلي للتوقيع ، و ؛ التوقيع ؛ هي معلومات التوقيع الصغيرة ؛ A ؛
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-0fe8c4f796-dd1a6f-62a40f)
وبالنظر إلى سجلات تفاعل xiao ؛ A ؛ سنجد أن ** xiao ؛ A ؛ استخدم "Uniswap" من قبل ونقر على مبلغ التفويض الافتراضي ، وهو غير محدود تقريبًا. **
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-b2bb67f992-dd1a6f-62a40f)
مراجعة بسيطة هي أن ** صغير ؛ A ؛ تم تفويضه لـ "Uniswap Permit" في عملية استخدام "Uniswap" من قبل ؛ 2 ؛ غير محدود ؛ USDT ؛ مبلغ ، ولكنه صغير ؛ A ؛ عرضًا عند إجراء عمليات المحفظة الوقوع في ؛ تصريح ؛ 2 ؛ التوقيع فخ التصيد من قبل المتسللين ، حصل المتسلل على توقيع صغير ؛ A ؛ واستخدم توقيع صغير ؛ A ؛ في ؛ تصريح ؛ 2 ؛ عقد ؛ تصريح ؛ و ؛ نقل من ؛ العمليتان نقل الأصول الصغيرة ؛ A ؛ بعيدًا ، ** وما لاحظه سبانخ هو أن ؛ تصريح ؛ 2 ؛ عقد "Uniswap ؛ أصبح نشطًا منذ بضعة أشهر فقط.
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-7f888a69c7-dd1a6f-62a40f)
مصدر:
وفي سجلات التفاعل ، يمكن العثور على أن معظمها تقريبًا عبارة عن عناوين تصيد (Fake \ _Phishing) ، ويتم خداع الأشخاص باستمرار.
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-cda4078c48-dd1a6f-62a40f)
مصدر:؛
كيف تمنع؟
بالنظر إلى أن عقد "Uniswap Permit؛ 2" قد يصبح أكثر شيوعًا في المستقبل ، وسيكون هناك المزيد من "تصريح" تكامل المشروع ؛ 2 ؛ "عقود الترخيص والمشاركة ، يمكننا التفكير في طرق الوقاية الفعالة على النحو التالي:
** 1 فهم محتوى التوقيع والتعرف عليه: **
تصريح ؛ تنسيق توقيع الخاص عادة ما يتضمن ؛ المالك ، المنفق ، القيمة ، nonce ؛ و ؛ التنسيق. (يعد تنزيل المكون الإضافي للأمان خيارًا جيدًا)
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-a97994563c-dd1a6f-62a40f)
نوصي باستخدام المكون الإضافي "Beosin" لمكافحة التصيد الاحتيالي التالي لجميع القراء والأصدقاء ، والذي يمكنه تحديد معظم مواقع التصيد الاحتيالي في مجال Web3 وحماية محفظة الجميع وأمان الأصول.
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-3d767d0921-dd1a6f-62a40f)
تنزيل المكون الإضافي لمكافحة التصيد الاحتيالي:
** 2 يتم استخدام محفظة الأصول والمحفظة التفاعلية بشكل منفصل: **
إذا كان لديك قدر كبير من الأصول ، فمن المستحسن وضع جميع الأصول في محفظة باردة ، ووضع مبلغ صغير من الأموال في المحفظة التفاعلية على السلسلة ، مما قد يقلل بشكل كبير من الخسارة في حالة عمليات التصيد الاحتيالي.
** 3 لا تصرح كثيرًا بـ ؛ تصريح ؛ 2 ؛ العقد أو إلغاء التفويض: **
عندما تقوم بـ "مبادلة" على "Uniswap" ، فأنت لا تسمح إلا بالمبلغ الذي تريد التفاعل معه ، لذلك على الرغم من أن كل تفاعل يتطلب إعادة تفويض ، ستكون هناك بعض تكاليف التفاعل ، ولكن يمكنك تجنب المعاناة من "التصريح ؛ 2 ؛ التوقيع صيد السمك. إذا كنت قد سمحت بالفعل بالحصة ، فيمكنك العثور على المكون الإضافي للأمان المقابل لإلغاء التفويض.
** 4 تحديد طبيعة الرمز المميز ، ما إذا كان يدعم ؛ يسمح ؛ الوظيفة: **
في المستقبل ، قد يستخدم المزيد والمزيد من الرموز المميزة "ERC؛ 20" بروتوكول الامتداد هذا لتحقيق وظيفة "السماح". بالنسبة لك ، تحتاج إلى الانتباه إلى ما إذا كان الرمز المميز الذي تحمله يدعم هذه الوظيفة. إذا كان الأمر كذلك ، فعندئذٍ بالنسبة لـ كن حذرا للغاية في المعاملات أو التلاعب ، وتحقق بدقة مما إذا كان كل توقيع غير معروف هو التوقيع على وظيفة "التصريح".
** 5 إذا كانت هناك رموز مخزنة على منصات أخرى بعد تعرضها للغش ، فمن الضروري صياغة خطة إنقاذ شاملة: **
عندما تجد أنه قد تم خداعك وتم نقل الرموز المميزة الخاصة بك من قبل المتسللين ، ولكن لا يزال لديك رموز مميزة مخزنة على منصات أخرى من خلال طرق مثل التعهد ، وما إلى ذلك ، فأنت بحاجة إلى سحبها ونقلها إلى عنوان آمن. في هذه المرة ، يجب أن تعرف أن المتسللين قد يراقبونك طوال الوقت. رصيد الرمز المميز للعنوان ، لأنه يحمل توقيعك ، طالما أن الرمز المميز يظهر على عنوانك المسروق ، يمكن للمتسلل نقله مباشرة. في هذا الوقت ، من الضروري صياغة عملية إنقاذ رمزية كاملة. يجب تنفيذ عمليتي استخراج الرموز المميزة ونقلها معًا. لا يمكن إدراج معاملات القرصنة فيها. يمكنك استخدام تحويل "MEV" ، والذي يتطلب بعض blockchain مهارات المعرفة والكود. ، يمكنك أيضًا البحث عن شركة أمان محترفة مثل ؛ Beosin ؛ فريق لاستخدام البرنامج النصي الوقائي للمعاملة لتحقيقه.
أعتقد أنه سيكون هناك المزيد والمزيد من التصيد على أساس "التصريح ؛ 2" في المستقبل ** ، تكون طريقة التصيد الاحتيالي هذه مخفية للغاية ويصعب منعها ، ومع التطبيق الأوسع لـ "التصريح ؛ 2 ؛ سيكون هناك المزيد والمزيد من العناوين تحته ، أتمنى أن تتمكن من نشرها أمام الشاشة لعدد أكبر من الأشخاص بعد قراءة هذا المقال حتى لا يتعرض للسرقة المزيد من الأشخاص. **
مرجع:
شاهد النسخة الأصلية
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
هل سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي للتوقيع باستخدام Uniswap Permit2
المتسللين ، هذا وجود يخيف الجميع في النظام البيئي Web3. بالنسبة إلى جانب المشروع ، عندما يحدق قراصنة في جميع أنحاء العالم فيك ، فإن طبيعة المصدر المفتوح للشفرة تجعل جانب المشروع يخاف من كتابة سطر خاطئ من التعليمات البرمجية عندما تطوير ثغرات ، بمجرد وقوع حادث أمني ، سيكون من الصعب تحمل العواقب.
** بالنسبة للأفراد ، إذا كنت لا تفهم ما تفعله ، فإن كل تفاعل أو توقيع تقوم به على السلسلة من المحتمل أن تتم سرقة أصولك. ** لذلك ، كانت مشكلات الأمان دائمًا واحدة من أكثر المشكلات إزعاجًا في عالم التشفير ، وبسبب خصائص blockchain ، بمجرد سرقة الأصول ، لا توجد طريقة تقريبًا لاستعادتها ، لذلك من المهم بشكل خاص الحصول عليها المعرفة الأمنية في عالم التشفير.
في الآونة الأخيرة ، اكتشف سبانخ ** صديق Beosin المقرب طريقة تصيد جديدة كانت نشطة في الشهرين الماضيين. ** طالما أن التوقيع مسروق ، فإن الطريقة مخفية للغاية ويصعب منعها. ** و مستخدمة ؛ Uniswap ؛ قد تتعرض جميع العناوين التفاعلية للمخاطر.هذه المقالة ؛ يقوم Beosin والباحث المستقل Pincai بإجراء العلوم الشائعة حول تقنية التصيد الاحتيالي هذه ، ومحاولة تجنب المزيد من الخسائر في الأصول للجميع. **
*** فيما يلي سرد للتجربة الشخصية للسبانخ: ***
عملية
في الآونة الأخيرة ، عثر صديق (يُدعى مؤقتًا Xiao؛ A) على السبانخ بعد أن سُرقت الأصول الموجودة في محفظته. على عكس الطريقة المعتادة للسرقة ، لم يكشف Xiao؛ A عن المفتاح الخاص ولم يتفاعل مع عقد موقع التصيد الاحتيالي. بدأت السبانخ في التحقيق في سرقة الأصول.
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-038b1c54ab-dd1a6f-62a40f)
في متصفح block chain ، يمكنك أن ترى أن الصغيرة ؛ A ؛ المحفظة المسروقة ؛ USDT ؛ يتم نقلها من خلال ؛ التحويل من ؛ الرمز المميز ؛ عند تحويل الأموال ، تُسمى وظيفة "التحويل" الخاصة بالعقد الذكي "الرمز المميز" فعليًا. ؛ التحويل من ؛ يعني أن طرفًا ثالثًا ينقل ؛ الرمز المميز ؛ في عنوان إلى عنوان آخر. ** يعني هذا أيضًا أنه تم نقل الأصل المسروق من عنوان آخر ؛ رمز ؛ بدلاً من تسريب المفتاح الخاص للمحفظة.
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-f70470495e-dd1a6f-62a40f)
من خلال الاستعلام عن تفاصيل المعاملة ، يمكننا العثور على بعض الأدلة الرئيسية:
العنوان مع رقم الذيل ؛ f ؛ d5 ؛ 1 ؛ ينقل الأصول الصغيرة ؛ A ؛ إلى العنوان مع رقم الذيل ؛ أ ؛ 0 ؛ ج ؛ 8 ؛
** تتفاعل هذه العملية مع ؛ تصريح ؛ 2 ؛ عقد ؛ Uniswap ؛ **
إذن هنا يأتي الشك ، كيف انتهى العنوان بـ ؛ f ؛ d5 ؛ 1 ؛ الحصول على إذن من هذا الأصل؟ لماذا يرتبط بـ "Uniswap"؟ ! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-6f340f9560-dd1a6f-62a40f)
بادئ ذي بدء ، نحتاج إلى معرفة أنه من أجل استدعاء وظيفة "التحويل من" بنجاح ، فإن الفرضية هي أن المتصل يحتاج إلى سلطة حصة "الرمز المميز" ، أي "الموافقة". أعتقد أن كل من لديه التي تعمل على السلسلة يجب أن تكون على دراية بها. عند استخدام بعض "Dapp" ، بمجرد تضمين نقل الأصول ، نحتاج إلى إجراء عملية تفويض (اعتماد) أولاً ، بحيث يكون لعقد "Dapp" الحق في نقل أصولنا.
لحل هذا اللغز ، نحتاج إلى مواصلة البحث ، ** والإجابة موجودة في سجل التفاعل الخاص بالعنوان المنتهي بـ ؛ f ؛ d5 ؛ 1 ؛ ** في هذا العنوان ، ؛ نقل من ؛ نقل صغير ؛ A ؛ قبل الأصل ، يمكنك أن ترى أن العنوان قد أجرى أيضًا عملية "تصريح" ، وكائنات التفاعل لهاتين العمليتين هي عقد "Uniswap ؛ تصريح ؛ 2" ، ثم وظيفة "التصريح" و "تصريح Uniswap" ؛ 2 ؛ ما هو الوضع؟
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-e1a4e655fc-dd1a6f-62a40f)
تصريح Uniswap ؛ 2 ؛ العقد ؛ Uniswap ؛ في نهاية ؛ 2022 ؛ تم إطلاق العقد الذكي الجديد ، وفقًا للبيان الرسمي ، هذا هو عقد الموافقة على الرمز المميز الذي يسمح بمشاركة وإدارة الرمز المميز في تطبيقات مختلفة ، قم بإنشاء تجربة مستخدم أكثر توحيدًا وفعالية من حيث التكلفة وآمنة.
وفي المستقبل ، مع تكامل المزيد والمزيد من المشاريع مع التصاريح ؛ 2 ، تصريح ؛ 2 ؛ يمكن توحيدها في جميع التطبيقات ؛ رمز ؛ موافق عليه. تصريح ؛ 2 سيحسن تجربة المستخدم من خلال تقليل تكاليف المعاملات مع زيادة أمان العقود الذكية.
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-1e0f8ad948-dd1a6f-62a40f)
دعنا نفهم أولاً سبب رغبة "Uniswap" في إطلاق "تصريح ؛ 2 ؛ دعنا نفترض سيناريو ، عندما نريد" التبديل "على" Dex "معين ، فإن طريقة التفاعل التقليدية هي أننا نحتاج إلى ترخيص (الموافقة) أعط هذا "Dex ، ثم" Swap "، والتي عادة ما تكلفنا رسوم" غاز "، وتكلفة الاحتكاك مرتفعة للغاية بالنسبة للمستخدمين. أعتقد أن كل شخص قد مر بهذه التجربة. ! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-aaf8898d3b-dd1a6f-62a40f)
مصدر الصورة:
من المحتمل أن يؤدي إطلاق "Permit؛ 2" إلى تغيير قواعد اللعبة البيئية "Dapp" بالكامل. ببساطة ، الطريقة التقليدية هي أنك تحتاج إلى التفويض في كل مرة تتفاعل فيها مع "Dapp" لنقل الأصول ، و ؛ تصريح ؛ 2 ؛ يمكن حذف هذه الخطوة ، والتي يمكن أن تقلل بشكل فعال تكلفة تفاعل المستخدم وتجلب تجربة مستخدم أفضل.
الحل هو ؛ تصريح ؛ 2 ؛ كوسيط بين المستخدم و ؛ Dapp ؛ يحتاج المستخدم فقط إلى إذن من ؛ رمز ؛ إلى ؛ تصريح ؛ 2 ؛ عقد ، متكامل ؛ تصريح ؛ 2 ؛ عقد ؛ Dapp؛ يمكن مشاركة هذا المبلغ المصرح به. بالنسبة للمستخدمين ، فهو يقلل من تكاليف التفاعل ويحسن تجربة المستخدم. بالنسبة لـ "Dapp" ، يجلب تحسين تجربة المستخدم المزيد من المستخدمين والأموال. هذا وضع مربح للجانبين ، ولكن في نفس الوقت الوقت ، يمكن أن يكون هذا أيضًا سيفًا ذا حدين ، والمشكلة تكمن في الطريقة ؛ تصريح ؛ 2 ؛ يتفاعل.
في وضع التفاعل التقليدي ، سواء كان تفويضًا أو تحويل أموال ، فهو تفاعل على السلسلة لمستخدم العملية. و ؛ تصريح ؛ 2 ؛ يحول عملية المستخدم إلى توقيع خارج السلسلة ، وتتم جميع العمليات على السلسلة من خلال أدوار وسيطة (مثل ؛ تصريح ؛ 2 ؛ العقود وأطراف المشروع التي تتكامل ؛ تصريح ؛ 2 ؛ ، إلخ. ) ، تتمثل الفائدة التي يجلبها هذا المخطط في أنه نظرًا لنقل دور التفاعل في السلسلة من المستخدم إلى الدور الوسيط ، حتى إذا لم يكن لدى المستخدم "ETH" في المحفظة ، فيمكنه استخدام "رمز" آخر لـ دفع رسوم "الغاز" أو يتم سدادها بالكامل من خلال الدور الوسيط ، ويعتمد ذلك على اختيار الأدوار الوسيطة. ! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-2cd8736230-dd1a6f-62a40f)
مصدر الصورة:
على الرغم من أن ظهور "Permit؛ 2" قد يغير قواعد لعبة "Dapp" المستقبلية ، إلا أنه يمكن ملاحظة أن هذا سيف قوي ذو حدين. بالنسبة للمستخدمين ، تعد التوقيعات خارج السلسلة أسهل طريقة لإسقاط روابط دفاعاتهم ، مثل عندما نسجل الدخول إلى بعض "Dapp" بمحفظة ، نحتاج إلى توقيع للاتصال ، ولا يتحقق معظم الأشخاص من محتوى التوقيع بعناية ولا يفهمون محتوى التوقيع ، وهذا هو المكان الأكثر رعبا.
فهم ؛ تصريح ؛ 2 ؛ عقد ، يعود إلى الحجم الصغير ؛ أ ؛ حدث ، نفهم سبب سرقة الأصول والتفاعل معها ؛ تصريح ؛ 2 ؛ عقد ، ثم السماح للسبانخ بإعادة إنتاج هذا ؛ تصريح ؛ 2. طريقة تصيد التوقيع ، أولاً وقبل كل شيء ، الشرط الأساسي الأساسي هو أن المحفظة التي يتم تصيدها يجب أن يكون لها "رمز" مرخص لـ "Uniswap" ؛ أو "تصريح ؛ 2 ؛ أو Dapp ؛ أو ؛ Swap ؛ على Uniswap ؛ جميعهم بحاجة إلى تصريح لـ ؛ تصريح ؛ 2 ؛ العقد (السبانخ في الصورة أدناه تستخدم مكونًا إضافيًا للأمان). ! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-9b7f868543-dd1a6f-62a40f)
نقطة مخيفة أخرى هي أنه بغض النظر عن المبلغ الذي تريد "تبديله" ، فإن عقد Uniswap ؛ سيسمح لك عقد "تصريح ؛ 2" بتفويض "Token" افتراضيًا ، على الرغم من أن "MetaMask" سيسمح لك بتعريف الإدخال المبلغ ، لكنني أعتقد أن معظم الأشخاص سينقرون مباشرةً على القيمة القصوى أو الافتراضية ، والقيمة الافتراضية لـ ؛ تصريح ؛ 2 ؛ مبلغ غير محدود ...
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-ffa3793098-dd1a6f-62a40f)
هذا يعني أيضًا أنه طالما تفاعلت مع "Uniswap" وسمحت بالمبلغ لعقد "التصريح ؛ 2" بعد عام 2023 ، فسوف تتعرض لخطر عملية الخداع هذه.
نظرًا لأن التركيز ينصب على ؛ تصريح ؛ الوظيفة التي تفاعلت مع ؛ تصريح ؛ 2 ؛ العقد في العنوان المنتهي بـ ؛ f ؛ d5 ؛ 1 ؛ ، تستخدم هذه الوظيفة محفظتك ببساطة لتفويضك بذلك ؛ تصريح ؛ 2 ؛ " يتم نقل الرمز "Token" الخاص بالعقد إلى عنوان آخر ، أي أنه طالما تحصل على توقيعك ، يمكن للمتسلل الحصول على سلطة "الرمز المميز" في محفظتك ونقل أصولك بعيدًا.
تحليل مفصل للحدث
تصريح ؛ الوظيفة:
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي للتوقيع باستخدام Uniswap Permit2] (https://img.gateio.im/social/moments-7f230462a9-63071bf04a-dd1a6f-62a40f) يمكنك التفكير في وظيفة "التصريح" كوسيلة لتوقيع العقود عبر الإنترنت. تتيح لك هذه الوظيفة (PermitSingle) التوقيع مسبقًا على "عقد" يسمح لشخص آخر (منفق) بإنفاق بعض الرموز المميزة الخاصة بك في وقت ما في المستقبل.
في الوقت نفسه ، تحتاج أيضًا إلى تقديم توقيع (توقيع) ، تمامًا مثل توقيع عقد ورقي ، لإثبات أن هذا "العقد" تم توقيعه بواسطتك بالفعل.
إذن كيف تعمل هذه الوظيفة؟
ينصب التركيز بشكل أساسي على ؛ تحقق ؛ الوظيفة و \ _updateApproval ؛ الوظيفة.
تحقق ؛ الوظيفة:
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-3ee250fd3e-dd1a6f-62a40f)
يمكن ملاحظة أن التحقق ؛ الوظيفة ستحصل على البيانات الثلاثة ؛ v ، r ، s ؛ من معلمة معلومات التوقيع ، v ، r ، s ؛ هي قيمة توقيع المعاملة ، ويمكن استخدامها لاستعادة العنوان من توقيع المعاملة ، كما هو موضح في الشكل أعلاه ، يمكن ملاحظة من الرمز أنه بعد استعادة العقد لعنوان توقيع المعاملة ، فإنه يقارنه بعنوان مالك الرمز المميز الوارد. إذا كانا متطابقين ، فإن التحقق يمر ، واستدعاء \ _updateApproval؛ تستمر الوظيفة. إذا كانت مختلفة ، يتم التراجع عن المعاملة.
\ _تحديث الموافقة ؛ الوظيفة:
! [سرق التوقيع؟ احذر من التصيد الاحتيالي في توقيع Uniswap Permit2] (https://img.gateio.im/social/moments-7f230462a9-8d0a677dda-dd1a6f-62a40f)! [هل تم سرقة التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-02f0900d04-dd1a6f-62a40f)
عند اجتياز التحقق من صحة التوقيع ، سيتم استدعاء الوظيفة \ _updateApproval؛ لتحديث قيمة التفويض ، مما يعني أنه تم نقل أذوناتك. في هذا الوقت ، من الملائم استدعاء ؛ Transferfrom ؛ وظيفة لنقل الرمز المميز إلى العنوان المحدد بعد الترخيص ، كما هو موضح في الكود أدناه.
! [سرق التوقيع؟ احذر من التصيد الاحتيالي للتوقيع باستخدام Uniswap Permit2] (https://img.gateio.im/social/moments-7f230462a9-e0bae3f39f-dd1a6f-62a40f)! [سرقة التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-2398bc3dfc-dd1a6f-62a40f)
حسنًا ، بعد شرح وظيفة "تصريح" ، دعنا نلقي نظرة على المعاملة الحقيقية على السلسلة. يمكننا معرفة تفاصيل هذا التفاعل:
المالك ؛ صغير ؛ أ ؛ عنوان المحفظة (رقم الذيل ؛ 308 ؛ أ)
التفاصيل ، يمكنك رؤية المفوض ؛ الرمز المميز ؛ عنوان العقد (USDT) والمبلغ ومعلومات أخرى
المنفق هو عنوان المخترق برقم الذيل ؛ f ؛ d5 ؛ 1 ؛
sigDeadline ؛ هو الوقت الفعلي للتوقيع ، و ؛ التوقيع ؛ هي معلومات التوقيع الصغيرة ؛ A ؛
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-0fe8c4f796-dd1a6f-62a40f)
وبالنظر إلى سجلات تفاعل xiao ؛ A ؛ سنجد أن ** xiao ؛ A ؛ استخدم "Uniswap" من قبل ونقر على مبلغ التفويض الافتراضي ، وهو غير محدود تقريبًا. **
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-b2bb67f992-dd1a6f-62a40f)
مراجعة بسيطة هي أن ** صغير ؛ A ؛ تم تفويضه لـ "Uniswap Permit" في عملية استخدام "Uniswap" من قبل ؛ 2 ؛ غير محدود ؛ USDT ؛ مبلغ ، ولكنه صغير ؛ A ؛ عرضًا عند إجراء عمليات المحفظة الوقوع في ؛ تصريح ؛ 2 ؛ التوقيع فخ التصيد من قبل المتسللين ، حصل المتسلل على توقيع صغير ؛ A ؛ واستخدم توقيع صغير ؛ A ؛ في ؛ تصريح ؛ 2 ؛ عقد ؛ تصريح ؛ و ؛ نقل من ؛ العمليتان نقل الأصول الصغيرة ؛ A ؛ بعيدًا ، ** وما لاحظه سبانخ هو أن ؛ تصريح ؛ 2 ؛ عقد "Uniswap ؛ أصبح نشطًا منذ بضعة أشهر فقط.
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-7f888a69c7-dd1a6f-62a40f)
مصدر:
وفي سجلات التفاعل ، يمكن العثور على أن معظمها تقريبًا عبارة عن عناوين تصيد (Fake \ _Phishing) ، ويتم خداع الأشخاص باستمرار.
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-cda4078c48-dd1a6f-62a40f)
مصدر:؛
كيف تمنع؟
بالنظر إلى أن عقد "Uniswap Permit؛ 2" قد يصبح أكثر شيوعًا في المستقبل ، وسيكون هناك المزيد من "تصريح" تكامل المشروع ؛ 2 ؛ "عقود الترخيص والمشاركة ، يمكننا التفكير في طرق الوقاية الفعالة على النحو التالي:
** 1 فهم محتوى التوقيع والتعرف عليه: **
تصريح ؛ تنسيق توقيع الخاص عادة ما يتضمن ؛ المالك ، المنفق ، القيمة ، nonce ؛ و ؛ التنسيق. (يعد تنزيل المكون الإضافي للأمان خيارًا جيدًا)
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-a97994563c-dd1a6f-62a40f)
نوصي باستخدام المكون الإضافي "Beosin" لمكافحة التصيد الاحتيالي التالي لجميع القراء والأصدقاء ، والذي يمكنه تحديد معظم مواقع التصيد الاحتيالي في مجال Web3 وحماية محفظة الجميع وأمان الأصول.
! [سرق التوقيع؟ كن حذرًا من التصيد الاحتيالي لـ Uniswap Permit2 signature] (https://img.gateio.im/social/moments-7f230462a9-3d767d0921-dd1a6f-62a40f)
تنزيل المكون الإضافي لمكافحة التصيد الاحتيالي:
** 2 يتم استخدام محفظة الأصول والمحفظة التفاعلية بشكل منفصل: **
إذا كان لديك قدر كبير من الأصول ، فمن المستحسن وضع جميع الأصول في محفظة باردة ، ووضع مبلغ صغير من الأموال في المحفظة التفاعلية على السلسلة ، مما قد يقلل بشكل كبير من الخسارة في حالة عمليات التصيد الاحتيالي.
** 3 لا تصرح كثيرًا بـ ؛ تصريح ؛ 2 ؛ العقد أو إلغاء التفويض: **
عندما تقوم بـ "مبادلة" على "Uniswap" ، فأنت لا تسمح إلا بالمبلغ الذي تريد التفاعل معه ، لذلك على الرغم من أن كل تفاعل يتطلب إعادة تفويض ، ستكون هناك بعض تكاليف التفاعل ، ولكن يمكنك تجنب المعاناة من "التصريح ؛ 2 ؛ التوقيع صيد السمك. إذا كنت قد سمحت بالفعل بالحصة ، فيمكنك العثور على المكون الإضافي للأمان المقابل لإلغاء التفويض.
** 4 تحديد طبيعة الرمز المميز ، ما إذا كان يدعم ؛ يسمح ؛ الوظيفة: **
في المستقبل ، قد يستخدم المزيد والمزيد من الرموز المميزة "ERC؛ 20" بروتوكول الامتداد هذا لتحقيق وظيفة "السماح". بالنسبة لك ، تحتاج إلى الانتباه إلى ما إذا كان الرمز المميز الذي تحمله يدعم هذه الوظيفة. إذا كان الأمر كذلك ، فعندئذٍ بالنسبة لـ كن حذرا للغاية في المعاملات أو التلاعب ، وتحقق بدقة مما إذا كان كل توقيع غير معروف هو التوقيع على وظيفة "التصريح".
** 5 إذا كانت هناك رموز مخزنة على منصات أخرى بعد تعرضها للغش ، فمن الضروري صياغة خطة إنقاذ شاملة: **
عندما تجد أنه قد تم خداعك وتم نقل الرموز المميزة الخاصة بك من قبل المتسللين ، ولكن لا يزال لديك رموز مميزة مخزنة على منصات أخرى من خلال طرق مثل التعهد ، وما إلى ذلك ، فأنت بحاجة إلى سحبها ونقلها إلى عنوان آمن. في هذه المرة ، يجب أن تعرف أن المتسللين قد يراقبونك طوال الوقت. رصيد الرمز المميز للعنوان ، لأنه يحمل توقيعك ، طالما أن الرمز المميز يظهر على عنوانك المسروق ، يمكن للمتسلل نقله مباشرة. في هذا الوقت ، من الضروري صياغة عملية إنقاذ رمزية كاملة. يجب تنفيذ عمليتي استخراج الرموز المميزة ونقلها معًا. لا يمكن إدراج معاملات القرصنة فيها. يمكنك استخدام تحويل "MEV" ، والذي يتطلب بعض blockchain مهارات المعرفة والكود. ، يمكنك أيضًا البحث عن شركة أمان محترفة مثل ؛ Beosin ؛ فريق لاستخدام البرنامج النصي الوقائي للمعاملة لتحقيقه.
أعتقد أنه سيكون هناك المزيد والمزيد من التصيد على أساس "التصريح ؛ 2" في المستقبل ** ، تكون طريقة التصيد الاحتيالي هذه مخفية للغاية ويصعب منعها ، ومع التطبيق الأوسع لـ "التصريح ؛ 2 ؛ سيكون هناك المزيد والمزيد من العناوين تحته ، أتمنى أن تتمكن من نشرها أمام الشاشة لعدد أكبر من الأشخاص بعد قراءة هذا المقال حتى لا يتعرض للسرقة المزيد من الأشخاص. **
مرجع: