Подписка похищена? Раскрытие схемы фишинга подписи Permit2 на одном DEX

Хакеры являются пугающим присутствием в экосистеме Web3. Для команд проектов открытый код увеличивает риски безопасности; для пользователей каждое взаимодействие в цепочке может представлять риск кражи активов. Поэтому вопросы безопасности всегда были в центре внимания криптомира.

Недавно один исследователь обнаружил новый метод фишинга, который может привести к краже активов всего лишь с помощью подписи. Этот метод крайне скрытный и труден для предотвращения, и даже адреса, которые использовали какой-либо DEX, могут подвергаться риску. В данной статье будет проведен анализ этого метода фишинга с подписью, чтобы помочь всем избежать дальнейших потерь активов.

Ход событий

Пользователь ( 小A ) обратился за помощью после того, как его кошелек был украден. В отличие от обычных способов кражи, 小A не раскрыл свой приватный ключ и не взаимодействовал с фишинговыми сайтами. С помощью блокчейн-браузера можно увидеть, что USDT 小A был перемещен с помощью функции Transfer From, что означает, что активы были переведены третьей стороной, а не из-за утечки приватного ключа.

Дальнейшее исследование показало:

• Адрес (fd51) передал активы маленькой А на другой адрес (a0c8)
• Эта операция взаимодействует с контрактом Permit2 некоторой DEX.

Ключевой вопрос: как адрес fd51 может получить права на активы? Почему это связано с каким-то DEX?

Анализируя историю взаимодействий адреса fd51, было обнаружено, что перед передачей активов малой A этот адрес выполнил операцию Permit, и оба взаимодействия были с контрактом Permit2 какого-то DEX.

Анализ контракта Permit2

Permit2 в некотором DEX — это контракт на одобрение токенов, который позволяет делиться и управлять разрешениями между различными приложениями, направлен на обеспечение более унифицированного, эффективного и безопасного пользовательского опыта. В будущем, с увеличением интеграции, Permit2 имеет потенциал для реализации стандартизированного одобрения токенов между приложениями.

Основное преимущество Permit2 заключается в том, что пользователям нужно авторизовать контракт Permit2 лишь один раз, и все приложения, интегрирующие этот контракт, могут делиться лимитом авторизации. Это значительно снижает затраты на взаимодействие пользователей и улучшает опыт. Однако это также может быть двусторонним мечом.

В традиционных методах взаимодействия авторизация и перевод средств являются операциями пользователя на блокчейне. Однако Permit2 превращает действия пользователя в подпись вне цепи, а операции на цепи выполняются посредником (, таким как контракт Permit2 или интегрированный проект ). Это позволяет пользователям не держать ETH и все равно оплачивать газ или завершать транзакции.

Однако, оффлайн-подпись является именно тем этапом, который пользователи чаще всего игнорируют. Большинство людей не проверяют содержание подписи внимательно, и это как раз самая опасная часть.

Восстановление методов рыбалки

Ключевое условие этой схемы фишинга заключается в том, что кошелек, ставший жертвой фишинга, должен был авторизовать токены для контракта Permit2. В настоящее время, если вы выполняете обмен на приложении, интегрирующем Permit2, или на каком-либо DEX, будет требоваться авторизация для Permit2.

Более того, независимо от суммы Swap, Permit2 на определенном DEX по умолчанию запрашивает разрешение на весь баланс. Хотя кошелек предлагает указать индивидуальную сумму, большинство пользователей просто выбирают максимальное или значение по умолчанию.

Это означает, что если вы будете взаимодействовать с каким-либо DEX после 2023 года и предоставите разрешение Permit2, вы можете подвергнуться этому риску мошенничества.

Основной принцип заключается в использовании функции Permit, которая позволяет пользователю подписать и передать лимит токенов, разрешенных для Permit2, на другой адрес. Хакеру достаточно получить подпись, чтобы перенести активы пользователя.

Рекомендации по предотвращению

1. Понять и распознать содержание подписи: научиться распознавать формат подписи Permit, использовать безопасные плагины для помощи.

2. Разделение хранения активов и интерактивного кошелька: крупные активы хранятся в холодном кошельке, интерактивный кошелек содержит небольшие суммы.

3. Контроль лимита авторизации Permit2: разрешить только необходимую сумму или отменить избыточную авторизацию.

4. Узнайте, поддерживает ли токен функцию permit: будьте особенно осторожны с交易, поддерживающими токены.

5. Разработка плана действий в чрезвычайной ситуации: в случае кражи необходимо быстро и безопасно перевести активы на другие платформы.

С расширением применения Permit2, возможно увеличение рыночных атак на основе этого. Такой способ фишинга с использованием подписей является скрытым и труднодоступным для защиты, и адресов с риском утечки станет всё больше. Надеюсь, читатели смогут распространить эту статью, чтобы помочь большему количеству людей избежать риска кражи.