- Tema
56 Popularidad
29k Popularidad
15k Popularidad
21k Popularidad
11k Popularidad
997 Popularidad
5k Popularidad
4k Popularidad
11k Popularidad
46k Popularidad
- Anclado
56 Popularidad
29k Popularidad
15k Popularidad
21k Popularidad
11k Popularidad
997 Popularidad
5k Popularidad
4k Popularidad
11k Popularidad
46k Popularidad
Nuevo Lavado de ojos de firma DEX Permit2, el riesgo de seguridad del activo ha aumentado drásticamente.
¿Te robaron al firmar? Revelando el Lavado de ojos de la firma Permit2 de un DEX.
Los hackers son una presencia temida en el ecosistema Web3. Para los equipos de proyectos, el código abierto aumenta los riesgos de seguridad; para los usuarios individuales, cada interacción en la cadena puede conllevar el riesgo de robo de activos. Por lo tanto, la seguridad siempre ha sido una prioridad en el mundo de las criptomonedas.
Recientemente, un investigador ha descubierto un nuevo tipo de técnica de phishing que puede llevar al robo de activos con solo una firma. Esta técnica es extremadamente oculta y difícil de prevenir, y cualquier dirección que haya utilizado un DEX puede estar en riesgo. Este artículo analizará esta técnica de phishing por firma para ayudar a todos a evitar más pérdidas de activos.
Desarrollo del evento
Un usuario (, pequeño A ), busca ayuda después de que los activos de su billetera fueran robados. A diferencia de los métodos comunes de robo, pequeño A no reveló su clave privada ni interactuó con sitios de phishing. A través del explorador de blockchain se puede ver que el USDT de pequeño A fue transferido mediante la función Transfer From, lo que significa que un tercero operó la transferencia de activos, y no hubo filtración de la clave privada.
Se descubrió más a fondo:
La pregunta clave es: ¿cómo se obtiene el permiso de activos en la dirección fd51? ¿Por qué está relacionado con algún DEX?
Analizando los registros de interacción de la dirección fd51, se descubrió que antes de transferir los activos de A, esta dirección realizó una operación de Permiso, y los dos objetos de interacción fueron el contrato Permit2 de un DEX.
Análisis del contrato Permit2
El Permit2 de un DEX es un contrato de aprobación de tokens que permite compartir y gestionar autorizaciones entre diferentes aplicaciones, con el objetivo de proporcionar una experiencia de usuario más unificada, eficiente y segura. En el futuro, a medida que aumente la integración, se espera que el Permit2 logre una autorización de tokens estandarizada entre aplicaciones.
La principal ventaja de Permit2 es que los usuarios solo necesitan autorizar el contrato Permit2 una vez, y todas las aplicaciones que integran este contrato pueden compartir el límite de autorización. Esto reduce significativamente el costo de interacción para los usuarios y mejora la experiencia. Pero esto también puede ser una espada de doble filo.
En los métodos de interacción tradicionales, la autorización y la transferencia de fondos son operaciones en la cadena del usuario. Sin embargo, Permit2 convierte las operaciones del usuario en firmas fuera de la cadena, y las operaciones en la cadena son realizadas por un intermediario ( como el contrato Permit2 o proyectos integrados ). Esto permite que los usuarios paguen el gas o realicen transacciones sin necesidad de poseer ETH.
Sin embargo, la firma fuera de la cadena es precisamente el aspecto que los usuarios tienden a pasar por alto. La mayoría de las personas no revisan detenidamente el contenido de la firma, y esa es precisamente la parte más peligrosa.
Reproducción de técnicas de phishing
La clave de esta técnica de phishing es: la billetera objetivo debe haber autorizado tokens al contrato Permit2. Actualmente, siempre que se realice un intercambio en una aplicación integrada con Permit2 o en algún DEX, se requerirá autorización para Permit2.
Peor aún, independientemente de la cantidad de Swap, el Permit2 de cierto DEX solicitará por defecto la autorización de todo el saldo. Aunque la billetera sugerirá una cantidad personalizada, la mayoría de los usuarios optarán directamente por el valor máximo o predeterminado.
Esto significa que, siempre que interactúes con algún DEX y autorices a Permit2 después de 2023, podrías estar expuesto a este riesgo de Lavado de ojos.
El principio fundamental es utilizar la función Permit, a través de la firma del usuario, para transferir el límite de tokens autorizado a Permit2 a otra dirección. Un hacker solo necesita obtener la firma para poder transferir los activos del usuario.
Sugerencias de prevención
Entender e identificar el contenido de la firma: aprender a reconocer el formato de firma de Permiso, utilizando complementos de seguridad para ayudar.
Separar el almacenamiento de activos y la billetera de interacción: los activos de gran cantidad se almacenan en una billetera fría, mientras que la billetera de interacción tiene una cantidad pequeña de fondos.
Controlar el límite de autorización de Permit2: autorizar solo la cantidad necesaria o cancelar la autorización excesiva.
Entender si el token soporta la función permit: se debe tener especial cuidado con las transacciones de tokens soportados.
Establecer un plan de emergencia: si se descubre un robo, es necesario transferir rápidamente y de forma segura los activos en otras plataformas.
Con la expansión del alcance de la aplicación Permit2, es posible que aumenten los ataques de phishing basados en esto. Este tipo de phishing por firma es oculto y difícil de prevenir, y los riesgos de direcciones expuestas también serán cada vez mayores. Espero que los lectores puedan difundir este artículo, ayudando a más personas a evitar el riesgo de robo.