Підписаний, і вже вкрадено? Розкриття шахрайства з підписом Permit2 на певному DEX

Хакери є страхітливою присутністю в екосистемі Web3. Для проєктів відкритий код збільшує ризики безпеки; для особистих користувачів кожна взаємодія в ланцюгу може призвести до ризику крадіжки активів. Тому питання безпеки завжди було одним з найважливіших у світі криптовалют.

Нещодавно один дослідник виявив новий тип фішингу, для якого достатньо підпису, щоб призвести до крадіжки активів. Цей метод є надзвичайно прихованим і важким для виявлення, і користувачі, які використовували адреси певних DEX, можуть опинитися під загрозою. У цій статті буде проведено аналіз цього методу фішингу з підписом, щоб допомогти всім уникнути подальших втрат активів.

Хід події

Користувач ( малий А ) шукає допомоги після того, як його активи в гаманці були вкрадені. На відміну від звичних способів крадіжки, малий А не розкривав свій приватний ключ або взаємодіяв з фішинговими сайтами. Через блокчейн-браузер видно, що USDT малого А було переміщено через функцію Transfer From, що означає, що активи були переміщені третьою стороною, а не через витік приватного ключа.

Подальший запит виявив:

• Адреса (fd51) передала активи маленького А на іншу адресу (a0c8)
• Ця операція взаємодіє з контрактом Permit2 певної DEX.

Ключове питання: як отримати права на активи за адресою fd51? Чому це пов'язано з певним DEX?

Аналізуючи взаємодію адреси fd51, було виявлено, що перед передачею активів маленького A ця адреса виконала операцію Permit, і об'єктами взаємодії двох разів був контракт Permit2 певного DEX.

Аналіз контракту Permit2

Permit2 деякої DEX є контрактом на затвердження токенів, який дозволяє ділитися та управляти авторизаціями між різними додатками, маючи на меті забезпечити більш єдиний, ефективний та безпечний досвід для користувачів. У майбутньому, з підвищенням інтеграції, Permit2 має потенціал реалізувати стандартизовану авторизацію токенів між додатками.

Основна перевага Permit2 полягає в тому, що користувачеві потрібно надати дозвіл лише один раз на контракт Permit2, і всі застосунки, які інтегрують цей контракт, можуть ділитися дозволеними лімітами. Це значно знижує витрати на взаємодію з користувачем і покращує досвід. Але це також може бути двосічним мечем.

У традиційних способах взаємодії авторизація та переказ коштів є операціями користувача в мережі. Проте Permit2 перетворює дії користувача на підписування поза мережею, а мережеві операції виконуються посередником (, таким як контракт Permit2 або інтегрований проект ). Це дозволяє користувачам не мати ETH, щоб сплачувати за газ або завершувати угоди.

Однак, підписання поза блокчейном є саме тією стадією, яку користувачі найчастіше ігнорують. Більшість людей не перевіряють уважно зміст підпису, і це є найбільшою небезпекою.

Відтворення методів риболовлі

Ключовою передумовою цієї риболовної схеми є те, що риболовний гаманець повинен бути вже авторизований для токенів до контракту Permit2. Наразі, для того щоб здійснити Swap на будь-якому додатку, що інтегрує Permit2, або на будь-якому DEX, завжди вимагатиметься авторизація до Permit2.

Ще гірше, що незалежно від суми Swap, Permit2 на певному DEX за замовчуванням запитує дозвіл на всю суму балансу. Хоча гаманець пропонує налаштувати суму, більшість користувачів просто вибирають максимальне або значення за замовчуванням.

Це означає, що якщо ви взаємодієте з якимось DEX і надаєте дозвіл Permit2 після 2023 року, ви можете піддатися цьому ризику фішингу.

Основний принцип полягає в тому, щоб використовувати функцію Permit, через підпис користувача передати дозволену кількість токенів Permit2 на іншу адресу. Хакеру потрібно лише отримати підпис, щоб перенести активи користувача.

Рекомендації щодо запобігання

1. Розуміти та розпізнавати вміст підпису: навчитись розпізнавати формат підпису Permit, використовувати безпечні плагіни для допомоги.

2. Розділення зберігання активів та інтерактивного гаманця: великі активи зберігаються в холодному гаманці, інтерактивний гаманець має невелику кількість коштів.

3. Контроль за дозволами Permit2: надавайте лише необхідну суму, або скасовуйте зайві дозволи.

4. Досліджуйте, чи підтримує токен функцію permit: для торгівлі токенами, які підтримуються, слід бути особливо обережними.

5. Розробка плану дій у надзвичайних ситуаціях: якщо виявлено крадіжку, необхідно швидко і безпечно перемістити активи з інших платформ.

З розширенням сфери застосування Permit2, можливе збільшення фішингових атак на його основі. Цей спосіб підписного фішингу є прихованим і важким для виявлення, ризикованих адрес буде ставати все більше. Сподіваюся, що читачі зможуть поширити цю статтю, щоб допомогти більшій кількості людей уникнути ризику крадіжки.