المربع
الصفحة الرئيسية
الأحدث
ساخن
رؤى
بث مباشر
الكل
تحليل السوق
أهم المواضيع
سجل Blockchain
آخرون
دردشة
تقويم العملات الرقمية
اخر الأخبار
مدونة
المزيد
دليل المبتدئين
الصفحة الرئيسية
الأحدث
ساخن
رؤى
المنشور

تضليل توقيع DEX Permit2 يزيد من مخاطر أمان الأصول

YieldHuntervip
robot
إنشاء الملخص قيد التقدم

تم سرقة التوقيع؟ كشف خدعة تصيد توقيع Permit2 في DEX معين

الهاكرز هم وجود مخيف في بيئة Web3. بالنسبة لمطوري المشاريع، فإن الشيفرة المصدرية المفتوحة تزيد من المخاطر الأمنية؛ وبالنسبة للمستخدمين الأفراد، فإن كل تفاعل على السلسلة قد يجلب مخاطر سرقة الأصول. لذلك، كانت مسائل الأمان دائمًا في صميم عالم التشفير.

مؤخراً، اكتشف أحد الباحثين أسلوباً جديداً للتصيد، والذي قد يؤدي إلى سرقة الأصول بمجرد التوقيع. هذا الأسلوب خفي للغاية وصعب الدفاع عنه، وأي عنوان استخدم أحد DEXs قد يواجه خطرًا. ستقوم هذه المقالة بتحليل أسلوب تصيد التوقيع هذا لمساعدة الجميع على تجنب المزيد من خسائر الأصول.

سير الأحداث

بعد سرقة أصول المحفظة الخاصة بالمستخدم (، طلب المساعدة. على عكس طرق السرقة الشائعة، لم يقم المستخدم الصغير أ بكشف المفتاح الخاص أو التفاعل مع مواقع التصيد. من خلال متصفح البلوكشين، يمكن رؤية أن USDT الخاص بالمستخدم الصغير أ قد تم نقله عبر دالة Transfer From، مما يعني أن طرفًا ثالثًا هو من قام بنقل الأصول، وليس بسبب تسرب المفتاح الخاص.

عند إجراء المزيد من الاستفسارات:

  • عنوان )fd51( يقوم بنقل أصول الصغيرة A إلى عنوان آخر )a0c8(
  • هذه العملية تتفاعل مع عقد Permit2 الخاص بـ DEX معين.

المسألة الرئيسية هي: كيف يمكن الحصول على صلاحيات الأصول لعنوان fd51؟ ولماذا يتعلق ذلك ببعض DEX؟

تحليل سجلات التفاعل لعنوان fd51، وتم اكتشاف أنه قبل نقل أصول الصغيرة A، قام هذا العنوان بعملية إذن، وكانت كائنات التفاعل في المرتين هي عقدة Permit2 التابعة لمنصة DEX معينة.

! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(

تحليل عقد Permit2

تُعد Permit2 من أحد عقود الموافقة في DEX معينة، وتسمح بمشاركة وإدارة التفويضات بين تطبيقات مختلفة، وتهدف إلى تقديم تجربة مستخدم أكثر توحيدًا وكفاءة وأمانًا. مع زيادة مستوى التكامل في المستقبل، من المتوقع أن تحقق Permit2 تفويضات رمزية موحدة عبر التطبيقات.

الميزة الرئيسية لـ Permit2 هي: يحتاج المستخدم إلى منح الإذن لعقد Permit2 مرة واحدة فقط، ويمكن لجميع التطبيقات التي تدمج هذا العقد مشاركة حد الإذن. وهذا يقلل بشكل كبير من تكلفة تفاعل المستخدم، مما يحسن التجربة. لكن هذا قد يكون أيضًا سلاحًا ذا حدين.

في طرق التفاعل التقليدية، تكون التفويضات وتحويل الأموال عمليات على السلسلة يقوم بها المستخدم. بينما يقوم Permit2 بتحويل عمليات المستخدم إلى توقيعات خارج السلسلة، وتتم العمليات على السلسلة بواسطة طرف ثالث مثل عقد Permit2 أو مشروع متكامل ). وهذا يسمح للمستخدمين بالدفع مقابل الغاز أو إتمام المعاملات دون الحاجة لحيازة ETH.

ومع ذلك، فإن التوقيع خارج السلسلة هو بالضبط الجزء الذي يسهل على المستخدمين تجاهله. معظم الناس لا يتحققون بعناية من محتوى التوقيع، وهذه هي النقطة الأكثر خطورة.

! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp)

إعادة تقديم أسلوب الصيد

الشرط الأساسي لهذه الطريقة في الاحتيال هو: يجب أن يكون المحفظة المستهدفة قد منحت الإذن بالتوكنات لعقد Permit2. في الوقت الحالي، أي تطبيق مدمج مع Permit2 أو أي DEX يتم فيه تنفيذ عملية التبادل، سيطلب دائماً الإذن لـ Permit2.

أسوأ من ذلك، بغض النظر عن مقدار Swap، فإن Permit2 في بعض DEX سيطلب تلقائيًا تفويض الرصيد بالكامل. على الرغم من أن المحفظة ستشعر بالمبلغ المخصص، إلا أن معظم المستخدمين سيختارون مباشرة القيمة القصوى أو الافتراضية.

هذا يعني أنه بمجرد التفاعل مع بعض DEX بعد عام 2023 ومنح الإذن لـ Permit2، قد تتعرض لمخاطر الاحتيال هذه.

المبدأ الأساسي هو استخدام دالة Permit، من خلال توقيع المستخدم، لنقل حدود الرموز المخولة لـ Permit2 إلى عنوان آخر. يحتاج القراصنة فقط إلى الحصول على التوقيع، ليتمكنوا من نقل أصول المستخدم.

! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp)

نصائح للوقاية

  1. فهم وتحديد محتوى التوقيع: تعلم كيفية التعرف على تنسيق توقيع Permit، واستخدام المكونات الإضافية الآمنة للمساعدة.

  2. فصل تخزين الأصول عن محفظة التفاعل: تخزين الأصول الكبيرة في محفظة باردة، واستخدام محفظة التفاعل للمبالغ الصغيرة.

  3. التحكم في حد تفويض Permit2: قم بإصدار التفويض بالمبلغ المطلوب فقط، أو إلغاء التفويض الزائد.

  4. معرفة ما إذا كانت الرموز تدعم ميزة الإذن: يجب توخي الحذر الشديد عند تداول الرموز المدعومة.

  5. إعداد خطة طوارئ: إذا تم اكتشاف السرقة، يجب نقل الأصول من المنصات الأخرى بسرعة وأمان.

مع توسع نطاق تطبيق Permit2، قد تزداد هجمات التصيد الاحتيالي المستندة إليه. هذه الطريقة في التصيد الاحتيالي من خلال التوقيعات خفية وصعبة الدفاع عنها، وستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يساعد القراء في نشر هذه المقالة، لمساعدة المزيد من الأشخاص على تجنب مخاطر السرقة.

توقيع وتم سرقته؟ كشف النقاب عن تضليل توقيع Uniswap Permit2

شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • أعجبني
  • 3
  • مشاركة
تعليق
0/400
DaisyUnicornvip
· 07-08 01:23
آي آي~ زهرة سامة أخرى تزهر في حديقة dex، يجب على الجميع أن يمسكوا هذه المجرفة الصغيرة بإحكام
شاهد النسخة الأصليةرد0
ruggedNotShruggedvip
· 07-07 15:06
مرة أخرى هناك حيلة جديدة، لن تتوقف عملية Rug Pull.
شاهد النسخة الأصليةرد0
PumpBeforeRugvip
· 07-07 14:52
مرة أخرى سيتم استغلال الحمقى.
شاهد النسخة الأصليةرد0
  • تثبيت
خريطة الموقع