İmza çalındı mı? Bir DEX Permit2 imza oltalama gözaltına alındı.
Hackerlar, Web3 ekosisteminde korku salan bir varlıktır. Proje sahipleri için, açık kaynak kodu güvenlik risklerini artırmaktadır; bireysel kullanıcılar içinse, her zincir üzerindeki etkileşim varlıkların çalınma riski taşıyabilir. Bu nedenle, güvenlik sorunları kripto dünyasının en önemli konularından biri olmuştur.
Son zamanlarda, bir araştırmacı, sadece imza atarak varlıkların çalınmasına neden olabilecek yeni bir dolandırıcılık yöntemi keşfetti. Bu yöntem son derece gizli ve savunulması zor olup, bir DEX adresi kullanmış olan herkes risk altında olabilir. Bu makalede, bu imza dolandırıcılığı yönteminin analizi yapılacak ve herkesin daha fazla varlık kaybı yaşamaması için yardımcı olunacaktır.
Olayın Gelişimi
Bir kullanıcı ( küçük A) cüzdan varlıkları çalındıktan sonra yardım arıyor. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi veya bir oltalama sitesi ile etkileşime girmedi. Blockchain tarayıcısı aracılığıyla görülebilir ki, küçük A'nın USDT'si Transfer From fonksiyonu aracılığıyla transfer edildi, bu da varlıkların üçüncü bir taraf tarafından aktarıldığı, özel anahtarın ifşa edilmediği anlamına geliyor.
Daha fazla sorgulama sonucunda:
Bir adres (fd51), küçük A'nın varlıklarını başka bir adrese (a0c8) aktarır.
Bu işlem, belirli bir DEX'in Permit2 sözleşmesi ile etkileşime geçmektedir.
Ana sorun şu: fd51 adresi nasıl varlık yetkisi alır? Neden belirli bir DEX ile ilgili?
fd51 adresinin etkileşim kayıtlarını analiz ettiğimizde, küçük A varlıklarının transferinden önce bu adresin Permit işlemi gerçekleştirdiğini ve iki etkileşim nesnesinin de belirli bir DEX'in Permit2 sözleşmesi olduğunu gördük.
Permit2 Sözleşmesi Analizi
Bir DEX'in Permit2, farklı uygulamalar arasında yetkilendirme paylaşımını ve yönetimini sağlamak için tasarlanmış bir token onay sözleşmesidir. Daha birleşik, verimli ve güvenli bir kullanıcı deneyimi sunmayı amaçlamaktadır. Gelecekte entegrasyonun artmasıyla birlikte, Permit2'nin uygulamalar arası standartlaştırılmış token yetkilendirmesi gerçekleştirmesi beklenmektedir.
Permit2'nin ana avantajı, kullanıcıların sadece bir kez Permit2 sözleşmesine yetki vermesi ve bu sözleşmeyi entegre eden tüm uygulamaların yetki limitini paylaşabilmesidir. Bu, kullanıcı etkileşim maliyetlerini büyük ölçüde azaltır ve deneyimi geliştirir. Ancak bu, aynı zamanda çift taraflı bir kılıç da olabilir.
Geleneksel etkileşim yöntemlerinde, yetkilendirme ve fon transferi kullanıcıların zincir üzerindeki işlemleridir. Ancak Permit2, kullanıcı işlemlerini zincir dışı imzaya dönüştürür, zincir üzerindeki işlemler ( gibi aracı ) sözleşmesi veya entegre projeler tarafından gerçekleştirilir. Bu, kullanıcıların ETH bulundurmadan gaz ödemesi veya işlem tamamlaması anlamına gelir.
Ancak, zincir dışı imza, kullanıcıların en kolay göz ardı ettiği aşamadır. Çoğu insan imza içeriğini dikkatlice kontrol etmez, bu da en tehlikeli yerdir.
Balık Tutma Yönteminin Yeniden Üretilmesi
Bu oltalama yönteminin ana ön koşulu şudur: Oltalama cüzdanının, Permit2 sözleşmesine token yetkisi vermiş olması gerekmektedir. Şu anda, Permit2'yi entegre eden bir uygulama veya herhangi bir DEX üzerinde Swap işlemi yapıldığında, her zaman Permit2'ye yetki verilmesi istenecektir.
Daha kötüsü, Swap miktarı ne olursa olsun, bazı DEX'lerin Permit2, tüm bakiyenin yetkilendirilmesini varsayılan olarak talep eder. Cüzdan özel bir miktar belirlemenizi istese de, çoğu kullanıcı doğrudan maksimum veya varsayılan değeri seçer.
Bu, 2023'ten sonra herhangi bir DEX ile etkileşimde bulunulması ve Permit2'ye yetki verilmesi durumunda bu oltalama riskiyle karşı karşıya kalınabileceği anlamına geliyor.
Temel ilke, Permit fonksiyonunu kullanarak, kullanıcı imzası ile Permit2'ye verilen token limitinin başka bir adrese aktarılmasıdır. Hacker sadece imzayı alırsa, kullanıcı varlıklarını aktarabilir.
Önleme Önerileri
İmza içeriğini anlama ve tanıma: Permit imza formatını tanımayı öğrenin, güvenli eklentilerle destekleyin.
Varlıkların depolanması ve etkileşim cüzdanının ayrılması: büyük miktardaki varlıklar soğuk cüzdanda, etkileşim cüzdanında ise az miktarda para bulunsun.
Permit2 yetkilendirme limitini kontrol et: yalnızca gerekli miktarı yetkilendir veya fazla yetkileri iptal et.
Tokenin permit fonksiyonunu destekleyip desteklemediğini öğrenin: Desteklenen token işlemlerine özellikle dikkat edin.
Acil durum planı oluşturma: Eğer bir hırsızlık tespit edilirse, diğer platformlardaki varlıkları hızlı ve güvenli bir şekilde transfer etmek gerekmektedir.
Permit2 uygulamasının kapsamı genişledikçe, buna dayalı oltalama saldırılarının artması muhtemeldir. Bu tür imza oltalama yöntemleri gizli ve savunulması zor olup, risk altında olan adreslerin sayısı da giderek artacaktır. Okuyucuların bu makaleyi yayarak daha fazla kişinin hırsızlık riskinden kaçınmasına yardımcı olmasını umuyoruz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
3
Share
Comment
0/400
DaisyUnicorn
· 9h ago
Aman aman~ Yine bir zehirli çiçek dex bahçesinde açtı, herkes bana bu küçük küreği sıkıca tutun.
DEX Permit2 imza oltası yeni eyewash varlık güvenliği riski hızla artıyor
İmza çalındı mı? Bir DEX Permit2 imza oltalama gözaltına alındı.
Hackerlar, Web3 ekosisteminde korku salan bir varlıktır. Proje sahipleri için, açık kaynak kodu güvenlik risklerini artırmaktadır; bireysel kullanıcılar içinse, her zincir üzerindeki etkileşim varlıkların çalınma riski taşıyabilir. Bu nedenle, güvenlik sorunları kripto dünyasının en önemli konularından biri olmuştur.
Son zamanlarda, bir araştırmacı, sadece imza atarak varlıkların çalınmasına neden olabilecek yeni bir dolandırıcılık yöntemi keşfetti. Bu yöntem son derece gizli ve savunulması zor olup, bir DEX adresi kullanmış olan herkes risk altında olabilir. Bu makalede, bu imza dolandırıcılığı yönteminin analizi yapılacak ve herkesin daha fazla varlık kaybı yaşamaması için yardımcı olunacaktır.
Olayın Gelişimi
Bir kullanıcı ( küçük A) cüzdan varlıkları çalındıktan sonra yardım arıyor. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi veya bir oltalama sitesi ile etkileşime girmedi. Blockchain tarayıcısı aracılığıyla görülebilir ki, küçük A'nın USDT'si Transfer From fonksiyonu aracılığıyla transfer edildi, bu da varlıkların üçüncü bir taraf tarafından aktarıldığı, özel anahtarın ifşa edilmediği anlamına geliyor.
Daha fazla sorgulama sonucunda:
Ana sorun şu: fd51 adresi nasıl varlık yetkisi alır? Neden belirli bir DEX ile ilgili?
fd51 adresinin etkileşim kayıtlarını analiz ettiğimizde, küçük A varlıklarının transferinden önce bu adresin Permit işlemi gerçekleştirdiğini ve iki etkileşim nesnesinin de belirli bir DEX'in Permit2 sözleşmesi olduğunu gördük.
Permit2 Sözleşmesi Analizi
Bir DEX'in Permit2, farklı uygulamalar arasında yetkilendirme paylaşımını ve yönetimini sağlamak için tasarlanmış bir token onay sözleşmesidir. Daha birleşik, verimli ve güvenli bir kullanıcı deneyimi sunmayı amaçlamaktadır. Gelecekte entegrasyonun artmasıyla birlikte, Permit2'nin uygulamalar arası standartlaştırılmış token yetkilendirmesi gerçekleştirmesi beklenmektedir.
Permit2'nin ana avantajı, kullanıcıların sadece bir kez Permit2 sözleşmesine yetki vermesi ve bu sözleşmeyi entegre eden tüm uygulamaların yetki limitini paylaşabilmesidir. Bu, kullanıcı etkileşim maliyetlerini büyük ölçüde azaltır ve deneyimi geliştirir. Ancak bu, aynı zamanda çift taraflı bir kılıç da olabilir.
Geleneksel etkileşim yöntemlerinde, yetkilendirme ve fon transferi kullanıcıların zincir üzerindeki işlemleridir. Ancak Permit2, kullanıcı işlemlerini zincir dışı imzaya dönüştürür, zincir üzerindeki işlemler ( gibi aracı ) sözleşmesi veya entegre projeler tarafından gerçekleştirilir. Bu, kullanıcıların ETH bulundurmadan gaz ödemesi veya işlem tamamlaması anlamına gelir.
Ancak, zincir dışı imza, kullanıcıların en kolay göz ardı ettiği aşamadır. Çoğu insan imza içeriğini dikkatlice kontrol etmez, bu da en tehlikeli yerdir.
Balık Tutma Yönteminin Yeniden Üretilmesi
Bu oltalama yönteminin ana ön koşulu şudur: Oltalama cüzdanının, Permit2 sözleşmesine token yetkisi vermiş olması gerekmektedir. Şu anda, Permit2'yi entegre eden bir uygulama veya herhangi bir DEX üzerinde Swap işlemi yapıldığında, her zaman Permit2'ye yetki verilmesi istenecektir.
Daha kötüsü, Swap miktarı ne olursa olsun, bazı DEX'lerin Permit2, tüm bakiyenin yetkilendirilmesini varsayılan olarak talep eder. Cüzdan özel bir miktar belirlemenizi istese de, çoğu kullanıcı doğrudan maksimum veya varsayılan değeri seçer.
Bu, 2023'ten sonra herhangi bir DEX ile etkileşimde bulunulması ve Permit2'ye yetki verilmesi durumunda bu oltalama riskiyle karşı karşıya kalınabileceği anlamına geliyor.
Temel ilke, Permit fonksiyonunu kullanarak, kullanıcı imzası ile Permit2'ye verilen token limitinin başka bir adrese aktarılmasıdır. Hacker sadece imzayı alırsa, kullanıcı varlıklarını aktarabilir.
Önleme Önerileri
İmza içeriğini anlama ve tanıma: Permit imza formatını tanımayı öğrenin, güvenli eklentilerle destekleyin.
Varlıkların depolanması ve etkileşim cüzdanının ayrılması: büyük miktardaki varlıklar soğuk cüzdanda, etkileşim cüzdanında ise az miktarda para bulunsun.
Permit2 yetkilendirme limitini kontrol et: yalnızca gerekli miktarı yetkilendir veya fazla yetkileri iptal et.
Tokenin permit fonksiyonunu destekleyip desteklemediğini öğrenin: Desteklenen token işlemlerine özellikle dikkat edin.
Acil durum planı oluşturma: Eğer bir hırsızlık tespit edilirse, diğer platformlardaki varlıkları hızlı ve güvenli bir şekilde transfer etmek gerekmektedir.
Permit2 uygulamasının kapsamı genişledikçe, buna dayalı oltalama saldırılarının artması muhtemeldir. Bu tür imza oltalama yöntemleri gizli ve savunulması zor olup, risk altında olan adreslerin sayısı da giderek artacaktır. Okuyucuların bu makaleyi yayarak daha fazla kişinin hırsızlık riskinden kaçınmasına yardımcı olmasını umuyoruz.