This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
DEX Permit2 Signature Phishing、新たな詐欺、資産のセキュリティリスクが急増
サインが盗まれた?あるDEX Permit2サインフィッシング目薬の真相
ハッカーはWeb3エコシステムにおいて恐れられる存在です。プロジェクト側にとって、オープンソースのコードはセキュリティ上のリスクを増加させます。個人ユーザーにとっては、ブロックチェーン上のインタラクションのたびに資産が盗まれるリスクが伴います。したがって、セキュリティの問題は常に暗号世界の最重要課題です。
最近、ある研究者が新しいフィッシング手法を発見しました。署名するだけで資産が盗まれる可能性があります。この手法は非常に巧妙で防ぎにくく、あるDEXのアドレスを使用したことがある人はリスクにさらされる可能性があります。この記事では、この署名フィッシング手法を分析し、皆さんがさらなる資産損失を避ける手助けをします。
何が起こったのか
あるユーザー(小A)のウォレット資産が盗まれた後、助けを求めています。一般的な盗難方法とは異なり、小Aは秘密鍵を漏洩したり、フィッシングサイトとやり取りしたりしていません。ブロックチェーンブラウザを通じて見ると、小AのUSDTはTransfer From関数を介して移動されたことがわかります。これは、第三者が資産を移転したことを意味し、秘密鍵の漏洩ではありません。
さらに調査したところ:
重要な問題は:fd51アドレスはどのように資産権限を取得しますか? なぜそれがあるDEXと関連しているのですか?
fd51アドレスのインタラクション記録を分析したところ、小Aの資産を移転する前に、そのアドレスがPermit操作を行っており、2回のインタラクション対象はどちらも某DEXのPermit2コントラクトであることが分かりました。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Permit2契約分析
あるDEXのPermit2は、異なるアプリケーション間で承認を共有および管理できるトークン承認契約であり、より統一され、高効率で安全なユーザー体験を提供することを目的としています。将来的には、統合度が高まるにつれて、Permit2はアプリケーション間の標準化されたトークン承認を実現することが期待されています。
Permit2の主な利点は、ユーザーがPermit2コントラクトに一度だけ権限を与えれば、すべてのこのコントラクトを統合したアプリケーションが権限の限度を共有できる点です。これにより、ユーザーのインタラクションコストが大幅に削減され、体験が向上します。しかし、これは両刃の剣でもあります。
従来のインタラクション方法では、承認と資金移転はすべてユーザーのオンチェーン操作です。しかし、Permit2はユーザーの操作をオフチェーン署名に変え、オンチェーン操作は中間者(であるPermit2契約または統合プロジェクト)によって行われます。これにより、ユーザーはETHを保有せずにガスを支払ったり、取引を完了したりすることができます。
しかし、オフチェーン署名は、ユーザーが最も見落としがちな部分です。ほとんどの人は署名内容を細かく確認しないため、そこが最も危険な点です。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
フィッシング手法の再現
このフィッシング手法の重要な前提は、フィッシングされたウォレットがPermit2コントラクトにトークンを承認している必要があることです。現在、Permit2を統合したアプリケーションや特定のDEXでスワップを行う際には、Permit2に承認を与えることが求められます。
さらに悪いことに、Swapの金額に関係なく、あるDEXのPermit2は全残高の承認をデフォルトで要求します。ウォレットはカスタム金額を提示しますが、ほとんどのユーザーは最大またはデフォルトの値を直接選択します。
これは、2023年以降に特定のDEXと相互作用し、Permit2に権限を与える限り、このフィッシングリスクにさらされる可能性があることを意味します。
コア原理はPermit関数を利用し、ユーザーの署名を通じてPermit2に対するトークンの権限を他のアドレスに移転することです。ハッカーは署名を取得するだけで、ユーザーの資産を移転することができます。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
予防に関する推奨事項
署名内容を理解し識別する: Permit署名形式を識別することを学び、安全なプラグインを使用してサポートする。
資産の保存とインタラクティブウォレットの分離: 大額の資産はコールドウォレットに保存し、インタラクティブウォレットには少額の資金を置く。
Permit2の承認額を制御する: 必要な金額のみを承認するか、余分な承認をキャンセルします。
トークンがpermit機能をサポートしているかを確認する: サポートされているトークンの取引には特に慎重を期す必要があります。
緊急対策を策定する: 盗難が発生した場合は、他のプラットフォーム上の資産を迅速かつ安全に移動させる必要があります。
Permit2の適用範囲が広がるにつれて、これに基づくフィッシング攻撃が増加する可能性があります。この署名フィッシング手法は目立たず防ぎにくく、リスクにさらされるアドレスも増えていくでしょう。読者がこの記事を広め、より多くの人々が盗難リスクを回避できるように願っています。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く