كشف خدعة تصيد التوقيع في Uniswap Permit2: احذر من التوقيع حتى لا تتعرض للسرقة
الهاكرز هم وجود مخيف في بيئة Web3. بالنسبة لمطوري المشاريع، يجعل المصدر المفتوح من الصعب تجنب الثغرات؛ بالنسبة للمستخدمين الأفراد، كل تفاعل على السلسلة قد يجلب خطر سرقة الأصول. لذلك، كانت مسائل الأمان دائمًا نقطة ضعف في عالم التشفير، وتزيد خصائص البلوكشين من صعوبة استرداد الأصول المسروقة، مما يجعل من الضروري اكتساب المعرفة بالأمان.
مؤخراً، ظهرت طريقة جديدة للاحتيال، حيث يكفي التوقيع لتعرض الأصول للسرقة، والطريقة خفية وصعبة الحماية. أي عنوان تفاعل مع منصة تداول معينة قد يواجه مخاطر. ستقوم هذه المقالة بتحليل طريقة الاحتيال بالتوقيع لمساعدة القراء على تجنب المزيد من خسائر الأصول.
تفاصيل الحادث
تمت سرقة أصول المحفظة الخاصة بالصديق ( صغير A )، ولكن لم يتم تسريب المفتاح الخاص أو التفاعل مع عقود مشبوهة. وكشفت التحقيقات أن USDT الخاص بصغير A تم نقله من خلال وظيفة Transfer From، مما يعني أن طرفًا ثالثًا هو الذي قام بنقل الأصول، وليس تسريب المفتاح الخاص للمحفظة.
للاستعلام عن تفاصيل الصفقة بشكل أعمق، اكتشف:
عنوان ينقل أصول A الصغيرة إلى عنوان آخر
هذه العملية تتفاعل مع عقد Permit2 الخاص بمنصة تداول معينة
السؤال الرئيسي هو: كيف حصلت هذه العنوان على صلاحيات أصول A الصغيرة؟ ولماذا يتعلق الأمر بهذه المنصة التجارية؟
أظهرت التحقيقات أنه قبل نقل أصول A الصغيرة، قام العنوان أيضًا بإجراء عملية إذن، وكانت العمليتان تتفاعلان مع عقد إذن 2 الخاص بمنصة التداول.
عقد Permit2 هو عقد جديد أطلقته منصة التداول في نهاية عام 2022، يهدف إلى تحقيق مشاركة وإدارة تفويض الرموز بين تطبيقات مختلفة، مما يوفر تجربة مستخدم أكثر اتساقًا وكفاءة وأمانًا. في المستقبل، مع دمج المزيد من المشاريع، من المتوقع أن يحقق Permit2 الموافقة القياسية على الرموز عبر التطبيقات، مما يقلل من تكاليف المعاملات ويعزز الأمان.
قد يغير إطلاق Permit2 قواعد نظام Dapp البيئي. في النموذج التقليدي، يحتاج المستخدم إلى تفويض منفصل في كل مرة يتفاعل فيها مع Dapp، بينما يعمل Permit2 كوسيط، حيث يحتاج المستخدم فقط إلى منح تفويض مرة واحدة، مما يسمح لجميع Dapp التي تدمج Permit2 بمشاركة حدود التفويض. هذا يعزز تجربة المستخدم، ولكنه قد يجلب أيضًا مخاطر، حيث تكمن المشكلة في طريقة التفاعل مع Permit2.
تقوم Permit2 بتحويل عمليات المستخدم إلى توقيع خارج السلسلة، بينما تتم العمليات على السلسلة بواسطة دور وسيط. وهذا يسمح للمستخدمين بدفع الرسوم دون الحاجة إلى ETH أو دفعها بواسطة الوسيط، لكن توقيع خارج السلسلة هو أيضًا الجزء الذي قد يغفله المستخدم بسهولة.
بالعودة إلى حالة Xiao A، فإن سرقة الأصول تتعلق بالتفاعل مع عقد Permit2. الشرط الأساسي هو أن المحفظة المُخادعة يجب أن تكون قد منحت الإذن لعقد Permit2. من الجدير بالذكر أن أي تبادل يتم على Dapp الذي يدمج Permit2 أو على منصة التداول هذه يتطلب الإذن لعقد Permit2.
الأكثر إثارة للقلق هو أنه بغض النظر عن مبلغ السواب، فإن عقد Permit2 الخاص بمنصة التداول يتطلب بشكل افتراضي تفويض الرصيد الكامل. على الرغم من أن المحفظة ستقوم بإعلام المستخدمين بإدخال مبلغ مخصص، إلا أن معظم المستخدمين قد يختارون مباشرة القيمة القصوى أو القيمة الافتراضية، والتي هي قيمة غير محدودة لـ Permit2.
هذا يعني أنه إذا كان لديك تفاعل مع منصة التداول هذه وسمحت لعقد Permit2 بعد عام 2023، فقد تواجه خطر هذا التضليل.
تضليل جوهره في دالة Permit، التي تسمح من خلال التوقيع بنقل حصة توكن المصرح بها لعقد Permit2 إلى عناوين أخرى. بعد أن يحصل القراصنة على التوقيع، يمكنهم التحكم في توكنات المستخدم في المحفظة ونقل الأصول.
تحليل مفصل للحدث
وظيفة Permit مشابهة لتوقيع العقود عبر الإنترنت، حيث تسمح بتفويض شخص آخر (spender) لاستخدام كمية معينة من الرموز في المستقبل. ستتحقق الوظيفة من صلاحية التوقيع، وتتحقق من صحة التوقيع، ثم تقوم بتحديث سجلات التفويض.
تستخرج دالة verify بيانات v و r و s من معلومات التوقيع، لاستخدامها في استعادة عنوان التوقيع ومقارنته بعنوان مالك الرمز، وإذا تم التحقق بنجاح، يتم متابعة استدعاء دالة _updateApproval.
تقوم دالة _updateApproval بتحديث قيمة التفويض بعد التحقق من التوقيع، مما يحقق نقل الصلاحيات. في هذه الحالة، يمكن للطرف المخول استدعاء دالة transferfrom لنقل الرموز إلى العنوان المحدد.
تفاصيل تظهر عنوان عقد التوكن المصرح به (USDT) ومعلومات أخرى مثل المبلغ.
Spender هو عنوان الهاكر
sigDeadline هو وقت صلاحية التوقيع
signature هي معلومات توقيع صغير A
عند تتبع سجل تفاعلات A الصغيرة، تبين أنه قد منح تفويضًا شبه غير محدود عند استخدامه لهذه المنصة التجارية سابقًا.
باختصار، منح A الصغيرة مسبقاً إذنًا لبرنامج Permit2 بحدود غير محدودة من USDT، ثم وقعت في فخ تصيد توقيع مصمم من قبل المخترقين. بعد حصول المخترقين على التوقيع، قاموا بتنفيذ عمليات الإذن والنقل من خلال برنامج Permit2، مما أدى إلى تحويل أصول A الصغيرة. يبدو أن عقد Permit2 على منصة التداول الحالية قد أصبح بؤرة للتصيد، وقد بدأت هذه الطريقة في التصيد في النشاط منذ حوالي شهرين.
كيف يمكن الوقاية؟
نظرًا لأن عقد Permit2 قد يصبح أكثر شيوعًا في المستقبل، فقد تقوم المزيد من المشاريع بتكامل هذا العقد لمشاركة التفويض، تشمل التدابير الفعالة للوقاية ما يلي:
فهم والتعرف على محتوى التوقيع:
عادةً ما تحتوي توقيعات التصريح على معلومات رئيسية مثل المالك، والمستفيد، والقيمة، والرقم التسلسلي، وموعد الانتهاء. يساعد استخدام المكونات الإضافية الآمنة في التعرف على تنسيق هذا التوقيع.
فصل تخزين الأصول والمحفظة التفاعلية:
يُنصح بتخزين الأصول الكبيرة في محفظة باردة، وترك القليل من الأموال في محفظة التفاعل لتقليل الخسائر المحتملة.
تقييد حد التفويض أو إلغاء التفويض:
عند استخدام منصة التداول هذه لإجراء Swap، يجب تفويض المبلغ المطلوب فقط. على الرغم من أن الحاجة إلى إعادة التفويض في كل تفاعل ستزيد التكاليف، إلا أنها ستجنب مخاطر تصيد توقيع Permit2. يمكن للمستخدمين المفوضين استخدام المكونات الإضافية الآمنة لإلغاء التفويض.
التعرف على ما إذا كانت الرموز تدعم ميزة الإذن:
انتبه إلى ما إذا كانت الرموز المميزة المدارة تدعم هذه الميزة، وإذا كانت تدعمها، يجب توخي الحذر الشديد والتحقق بدقة من كل توقيع غير معروف.
وضع خطة شاملة لإنقاذ الأصول:
إذا تم اكتشاف الاحتيال ولكن لا يزال هناك رموز موجودة على منصات أخرى، يجب توخي الحذر عند السحب والتحويل. يُفضل استخدام تحويل MEV أو طلب مساعدة فريق أمان محترف لتجنب تعرضك للاختراق مرة أخرى.
قد يصبح الاحتيال القائم على Permit2 أكثر شيوعًا في المستقبل، حيث إن طريقة الاحتيال بالتوقيع هذه خفية للغاية وصعبة الوقاية منها. مع توسيع نطاق استخدام Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المعلومات على نطاق واسع لتجنب تكبد المزيد من الأشخاص للخسائر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تضليل توقيع Permit2 الجديد: يجب على مستخدمي المنصة توخي الحذر
كشف خدعة تصيد التوقيع في Uniswap Permit2: احذر من التوقيع حتى لا تتعرض للسرقة
الهاكرز هم وجود مخيف في بيئة Web3. بالنسبة لمطوري المشاريع، يجعل المصدر المفتوح من الصعب تجنب الثغرات؛ بالنسبة للمستخدمين الأفراد، كل تفاعل على السلسلة قد يجلب خطر سرقة الأصول. لذلك، كانت مسائل الأمان دائمًا نقطة ضعف في عالم التشفير، وتزيد خصائص البلوكشين من صعوبة استرداد الأصول المسروقة، مما يجعل من الضروري اكتساب المعرفة بالأمان.
مؤخراً، ظهرت طريقة جديدة للاحتيال، حيث يكفي التوقيع لتعرض الأصول للسرقة، والطريقة خفية وصعبة الحماية. أي عنوان تفاعل مع منصة تداول معينة قد يواجه مخاطر. ستقوم هذه المقالة بتحليل طريقة الاحتيال بالتوقيع لمساعدة القراء على تجنب المزيد من خسائر الأصول.
تفاصيل الحادث
تمت سرقة أصول المحفظة الخاصة بالصديق ( صغير A )، ولكن لم يتم تسريب المفتاح الخاص أو التفاعل مع عقود مشبوهة. وكشفت التحقيقات أن USDT الخاص بصغير A تم نقله من خلال وظيفة Transfer From، مما يعني أن طرفًا ثالثًا هو الذي قام بنقل الأصول، وليس تسريب المفتاح الخاص للمحفظة.
للاستعلام عن تفاصيل الصفقة بشكل أعمق، اكتشف:
السؤال الرئيسي هو: كيف حصلت هذه العنوان على صلاحيات أصول A الصغيرة؟ ولماذا يتعلق الأمر بهذه المنصة التجارية؟
أظهرت التحقيقات أنه قبل نقل أصول A الصغيرة، قام العنوان أيضًا بإجراء عملية إذن، وكانت العمليتان تتفاعلان مع عقد إذن 2 الخاص بمنصة التداول.
عقد Permit2 هو عقد جديد أطلقته منصة التداول في نهاية عام 2022، يهدف إلى تحقيق مشاركة وإدارة تفويض الرموز بين تطبيقات مختلفة، مما يوفر تجربة مستخدم أكثر اتساقًا وكفاءة وأمانًا. في المستقبل، مع دمج المزيد من المشاريع، من المتوقع أن يحقق Permit2 الموافقة القياسية على الرموز عبر التطبيقات، مما يقلل من تكاليف المعاملات ويعزز الأمان.
قد يغير إطلاق Permit2 قواعد نظام Dapp البيئي. في النموذج التقليدي، يحتاج المستخدم إلى تفويض منفصل في كل مرة يتفاعل فيها مع Dapp، بينما يعمل Permit2 كوسيط، حيث يحتاج المستخدم فقط إلى منح تفويض مرة واحدة، مما يسمح لجميع Dapp التي تدمج Permit2 بمشاركة حدود التفويض. هذا يعزز تجربة المستخدم، ولكنه قد يجلب أيضًا مخاطر، حيث تكمن المشكلة في طريقة التفاعل مع Permit2.
تقوم Permit2 بتحويل عمليات المستخدم إلى توقيع خارج السلسلة، بينما تتم العمليات على السلسلة بواسطة دور وسيط. وهذا يسمح للمستخدمين بدفع الرسوم دون الحاجة إلى ETH أو دفعها بواسطة الوسيط، لكن توقيع خارج السلسلة هو أيضًا الجزء الذي قد يغفله المستخدم بسهولة.
بالعودة إلى حالة Xiao A، فإن سرقة الأصول تتعلق بالتفاعل مع عقد Permit2. الشرط الأساسي هو أن المحفظة المُخادعة يجب أن تكون قد منحت الإذن لعقد Permit2. من الجدير بالذكر أن أي تبادل يتم على Dapp الذي يدمج Permit2 أو على منصة التداول هذه يتطلب الإذن لعقد Permit2.
الأكثر إثارة للقلق هو أنه بغض النظر عن مبلغ السواب، فإن عقد Permit2 الخاص بمنصة التداول يتطلب بشكل افتراضي تفويض الرصيد الكامل. على الرغم من أن المحفظة ستقوم بإعلام المستخدمين بإدخال مبلغ مخصص، إلا أن معظم المستخدمين قد يختارون مباشرة القيمة القصوى أو القيمة الافتراضية، والتي هي قيمة غير محدودة لـ Permit2.
هذا يعني أنه إذا كان لديك تفاعل مع منصة التداول هذه وسمحت لعقد Permit2 بعد عام 2023، فقد تواجه خطر هذا التضليل.
تضليل جوهره في دالة Permit، التي تسمح من خلال التوقيع بنقل حصة توكن المصرح بها لعقد Permit2 إلى عناوين أخرى. بعد أن يحصل القراصنة على التوقيع، يمكنهم التحكم في توكنات المستخدم في المحفظة ونقل الأصول.
تحليل مفصل للحدث
وظيفة Permit مشابهة لتوقيع العقود عبر الإنترنت، حيث تسمح بتفويض شخص آخر (spender) لاستخدام كمية معينة من الرموز في المستقبل. ستتحقق الوظيفة من صلاحية التوقيع، وتتحقق من صحة التوقيع، ثم تقوم بتحديث سجلات التفويض.
تستخرج دالة verify بيانات v و r و s من معلومات التوقيع، لاستخدامها في استعادة عنوان التوقيع ومقارنته بعنوان مالك الرمز، وإذا تم التحقق بنجاح، يتم متابعة استدعاء دالة _updateApproval.
تقوم دالة _updateApproval بتحديث قيمة التفويض بعد التحقق من التوقيع، مما يحقق نقل الصلاحيات. في هذه الحالة، يمكن للطرف المخول استدعاء دالة transferfrom لنقل الرموز إلى العنوان المحدد.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp)
تحليل المعاملات الحقيقية على السلسلة واضح:
عند تتبع سجل تفاعلات A الصغيرة، تبين أنه قد منح تفويضًا شبه غير محدود عند استخدامه لهذه المنصة التجارية سابقًا.
باختصار، منح A الصغيرة مسبقاً إذنًا لبرنامج Permit2 بحدود غير محدودة من USDT، ثم وقعت في فخ تصيد توقيع مصمم من قبل المخترقين. بعد حصول المخترقين على التوقيع، قاموا بتنفيذ عمليات الإذن والنقل من خلال برنامج Permit2، مما أدى إلى تحويل أصول A الصغيرة. يبدو أن عقد Permit2 على منصة التداول الحالية قد أصبح بؤرة للتصيد، وقد بدأت هذه الطريقة في التصيد في النشاط منذ حوالي شهرين.
كيف يمكن الوقاية؟
نظرًا لأن عقد Permit2 قد يصبح أكثر شيوعًا في المستقبل، فقد تقوم المزيد من المشاريع بتكامل هذا العقد لمشاركة التفويض، تشمل التدابير الفعالة للوقاية ما يلي:
فصل تخزين الأصول والمحفظة التفاعلية: يُنصح بتخزين الأصول الكبيرة في محفظة باردة، وترك القليل من الأموال في محفظة التفاعل لتقليل الخسائر المحتملة.
تقييد حد التفويض أو إلغاء التفويض: عند استخدام منصة التداول هذه لإجراء Swap، يجب تفويض المبلغ المطلوب فقط. على الرغم من أن الحاجة إلى إعادة التفويض في كل تفاعل ستزيد التكاليف، إلا أنها ستجنب مخاطر تصيد توقيع Permit2. يمكن للمستخدمين المفوضين استخدام المكونات الإضافية الآمنة لإلغاء التفويض.
! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp)
التعرف على ما إذا كانت الرموز تدعم ميزة الإذن: انتبه إلى ما إذا كانت الرموز المميزة المدارة تدعم هذه الميزة، وإذا كانت تدعمها، يجب توخي الحذر الشديد والتحقق بدقة من كل توقيع غير معروف.
وضع خطة شاملة لإنقاذ الأصول: إذا تم اكتشاف الاحتيال ولكن لا يزال هناك رموز موجودة على منصات أخرى، يجب توخي الحذر عند السحب والتحويل. يُفضل استخدام تحويل MEV أو طلب مساعدة فريق أمان محترف لتجنب تعرضك للاختراق مرة أخرى.
قد يصبح الاحتيال القائم على Permit2 أكثر شيوعًا في المستقبل، حيث إن طريقة الاحتيال بالتوقيع هذه خفية للغاية وصعبة الوقاية منها. مع توسيع نطاق استخدام Permit2، ستزداد أيضًا العناوين المعرضة للخطر. نأمل أن يقوم القراء بنشر هذه المعلومات على نطاق واسع لتجنب تكبد المزيد من الأشخاص للخسائر.