Signature volée ? Dévoilement d'un piège de phishing de signature Permit2 sur un DEX

Les hackers sont une présence redoutée dans l'écosystème Web3. Pour les équipes de projet, le code source ouvert augmente les risques de sécurité ; pour les utilisateurs individuels, chaque interaction sur la chaîne peut entraîner un risque de vol d'actifs. Par conséquent, les problèmes de sécurité ont toujours été une priorité dans le monde de la cryptographie.

Récemment, un chercheur a découvert une nouvelle méthode de phishing qui peut entraîner le vol d'actifs simplement en signant. Cette méthode est extrêmement discrète et difficile à prévenir, et toute adresse ayant utilisé un DEX pourrait être à risque. Cet article analysera cette méthode de phishing par signature afin d'aider tout le monde à éviter d'autres pertes d'actifs.

Déroulement de l'événement

Un utilisateur (, petit A, cherche de l'aide après que ses actifs de portefeuille ont été volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée ou interagi avec un site de phishing. Grâce à un explorateur de blockchain, on peut voir que les USDT de petit A ont été transférés via la fonction Transfer From, ce qui signifie qu'un tiers a opéré le transfert des actifs, et non une fuite de clé privée.

Une enquête plus approfondie révèle :

• Une adresse )fd51( a transféré les actifs de Xiao A à une autre adresse )a0c8(
• Cette opération interagit avec le contrat Permit2 d'un DEX.

La question clé est : comment obtenir des droits d'actifs via l'adresse fd51 ? Pourquoi est-ce lié à un certain DEX ?

En analysant les enregistrements d'interaction de l'adresse fd51, il a été constaté qu'avant le transfert des actifs de A, cette adresse avait effectué une opération de Permit, et que les deux objets d'interaction étaient le contrat Permit2 d'un certain DEX.

![La signature a été volée ? Dévoilement de l'eyewash de phishing de la signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(

Analyse du contrat Permit2

Le Permit2 d'un DEX est un contrat d'approbation de jetons qui permet de partager et de gérer les autorisations entre différentes applications, dans le but d'offrir une expérience utilisateur plus unifiée, efficace et sécurisée. À l'avenir, avec une intégration accrue, le Permit2 devrait permettre une normalisation des autorisations de jetons entre applications.

Le principal avantage de Permit2 est que les utilisateurs n'ont besoin d'autoriser le contrat Permit2 qu'une seule fois, toutes les applications intégrant ce contrat peuvent partager le quota d'autorisation. Cela réduit considérablement le coût des interactions pour les utilisateurs et améliore l'expérience. Mais cela peut aussi être une arme à double tranchant.

Dans les méthodes d'interaction traditionnelles, l'autorisation et le transfert de fonds sont tous des opérations sur la chaîne effectuées par l'utilisateur. Cependant, Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, et les opérations sur la chaîne sont réalisées par un intermédiaire ) tel que le contrat Permit2 ou le projet intégré (. Cela permet à l'utilisateur de payer des frais de gaz ou de compléter des transactions sans avoir à détenir de l'ETH.

Cependant, la signature hors chaîne est précisément l'étape que les utilisateurs ont le plus tendance à ignorer. La plupart des gens ne vérifieront pas attentivement le contenu de la signature, c'est là que réside le plus grand danger.

![Signature volée ? Dévoilement de l'eyewash de phishing de signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(

Reproduction des techniques de pêche

La clé de cette méthode de phishing est : le portefeuille ciblé doit avoir autorisé des jetons au contrat Permit2. Actuellement, dès que vous effectuez un swap sur une application intégrant Permit2 ou sur un DEX, il sera nécessaire d'autoriser Permit2.

Pire encore, peu importe le montant de l'échange, le Permit2 de certains DEX demandera par défaut l'autorisation de l'intégralité du solde. Bien que le portefeuille propose un montant personnalisé, la plupart des utilisateurs choisiront directement la valeur maximale ou par défaut.

Cela signifie que tant que vous interagissez avec un DEX et que vous autorisez Permit2 après 2023, vous pourriez être exposé à ce risque de piège.

Le principe de base est d'utiliser la fonction Permit pour transférer le montant de jetons autorisé à Permit2 vers d'autres adresses grâce à la signature de l'utilisateur. Un hacker n'a besoin que d'obtenir la signature pour transférer les actifs de l'utilisateur.

![La signature a-t-elle été volée ? Enquête sur le piège de phishing Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(

Conseils de prévention

1. Comprendre et identifier le contenu de la signature : Apprendre à reconnaître le format de signature Permit, utiliser un plugin de sécurité en aide.

2. Séparer le stockage des actifs et le portefeuille d'interaction : les gros actifs sont stockés dans un portefeuille froid, tandis que le portefeuille d'interaction contient une petite quantité de fonds.

3. Contrôle du montant d'autorisation Permit2 : n'autoriser que le montant nécessaire ou annuler les autorisations excessives.

4. Vérifiez si le jeton prend en charge la fonction permit : soyez particulièrement prudent lors des transactions avec les jetons pris en charge.

5. Élaborer un plan d'urgence : en cas de vol, il est nécessaire de transférer rapidement et en toute sécurité les actifs sur d'autres plateformes.

Avec l'élargissement de l'application de Permit2, les attaques de phishing basées sur cela pourraient augmenter. Ce type de phishing par signature est discret et difficile à prévenir, et le nombre d'adresses exposées au risque augmentera également. J'espère que les lecteurs pourront partager cet article pour aider davantage de personnes à éviter les risques de vol.

![La signature est-elle volée ? Dévoilement de l'eyewash de phishing de la signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(