Revelando el Lavado de ojos de firmas de Uniswap Permit2: Ten cuidado con las firmas que te roban
Los hackers son una presencia aterradora en el ecosistema Web3. Para los proyectos, el código abierto hace que las vulnerabilidades sean difíciles de evitar; para los usuarios individuales, cada interacción en la cadena puede conllevar el riesgo de robo de activos. Por lo tanto, los problemas de seguridad siempre han sido un punto crítico en el mundo de las criptomonedas, y las características de la blockchain hacen que sea difícil recuperar los activos robados, lo que hace que el dominio del conocimiento de seguridad sea especialmente importante.
Recientemente ha surgido un nuevo tipo de técnica de phishing, que solo requiere una firma y puede llevar al robo de activos; el método es sutil y difícil de prevenir. Las direcciones que han interactuado con alguna plataforma de intercambio pueden estar en riesgo. Este artículo analizará esta técnica de phishing por firma para ayudar a los lectores a evitar más pérdidas de activos.
Desarrollo del evento
Un amigo, (, tuvo los activos de su billetera robados, pero no se filtró su clave privada ni interactuó con contratos sospechosos. La investigación descubrió que los USDT de Xiao A fueron transferidos a través de la función Transfer From, lo que significa que un tercero operó la transferencia de activos, y no fue una filtración de la clave privada de la billetera.
Para consultar más detalles de la transacción, se encontró:
Una dirección transferirá los activos de A a otra dirección
Esta operación interactúa con el contrato Permit2 de una plataforma de intercambio.
La cuestión clave es: ¿cómo obtuvo esta dirección los permisos de los activos de Xiao A? ¿Por qué está relacionada con esta plataforma de intercambio?
La investigación muestra que, antes de transferir los activos de A, esta dirección realizó una operación de Permit, y ambas operaciones interactuaron con el contrato Permit2 de la plataforma de intercambio.
El contrato Permit2 es un nuevo contrato lanzado por la plataforma de comercio a finales de 2022, diseñado para permitir la autorización de tokens para compartir y gestionar entre diferentes aplicaciones, proporcionando una experiencia de usuario más unificada, eficiente y segura. En el futuro, a medida que más proyectos se integren, Permit2 tiene el potencial de lograr la estandarización de la aprobación de tokens entre aplicaciones, reduciendo los costos de transacción y mejorando la seguridad.
El lanzamiento de Permit2 podría cambiar las reglas del ecosistema Dapp. En el modelo tradicional, los usuarios deben autorizar cada interacción con Dapp por separado, mientras que Permit2 actúa como intermediario, permitiendo que los usuarios autoricen una sola vez, y todos los Dapp que integren Permit2 puedan compartir el límite de autorización. Esto mejora la experiencia del usuario, pero también puede conllevar riesgos, ya que el problema radica en la forma en que se interactúa con Permit2.
Permit2 convierte las operaciones del usuario en firmas fuera de la cadena, mientras que las operaciones en la cadena son completadas por un rol intermedio. Esto permite que los usuarios paguen el Gas sin necesidad de ETH o que un rol intermedio lo pague en su lugar, pero la firma fuera de la cadena es también la parte más fácil de pasar por alto para el usuario.
En el caso de Xiao A, el robo de activos está relacionado con la interacción con el contrato Permit2. El requisito clave es que la billetera que fue pescada debe haber autorizado previamente el contrato Permit2. Es importante señalar que actualmente, realizar un intercambio en Dapp que integre Permit2 o en la plataforma de intercambio requiere autorización al contrato Permit2.
Lo que es aún más preocupante es que, independientemente del monto de Swap, el contrato Permit2 de la plataforma de intercambio requiere por defecto la autorización de todo el saldo. Aunque la billetera ofrece la opción de ingresar un monto personalizado, la mayoría de los usuarios puede optar directamente por el valor máximo o por el valor predeterminado, y el valor predeterminado de Permit2 es un límite ilimitado.
Esto significa que, siempre que se haya interactuado con esta plataforma de intercambio y se haya autorizado el contrato Permit2 después de 2023, se podría enfrentar al riesgo de este Lavado de ojos.
El núcleo del Lavado de ojos radica en la función Permit, que permite transferir el límite de Token autorizado al contrato Permit2 a otras direcciones mediante una firma. Una vez que el hacker obtiene la firma, puede manipular los Tokens en la billetera del usuario y transferir activos.
) Análisis detallado del evento
La función Permit es similar a firmar contratos en línea, permite autorizar anticipadamente a otros ###spender( para usar una cierta cantidad de tokens en el futuro. La función verificará la validez de la firma, validará la autenticidad de la firma y luego actualizará el registro de autorización.
La función verify extrae los datos v, r, s de la información de la firma, utilizados para recuperar la dirección de la firma y compararla con la dirección del propietario del token; si la verificación es exitosa, continúa llamando a la función _updateApproval.
La función _updateApproval actualiza el valor de autorización después de la verificación de la firma, implementando la transferencia de permisos. En este momento, el autorizado puede llamar a la función transferfrom para transferir tokens a la dirección especificada.
![¿Firmar y ser robado? Revelando el Lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Análisis de transacciones reales en la cadena visibles:
owner es la dirección de la billetera de Xiao A
Detalles muestran la dirección del contrato de Token autorizado )USDT( y la cantidad y otra información.
Spender es la dirección del hacker
sigDeadline es el tiempo de validez de la firma
signature es la información de firma de Xiao A
![¿Firmar te hace vulnerable a robos? Revelando el lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Al revisar los registros de interacción de Xiao A, se descubrió que cuando usó la plataforma de negociación anteriormente, autorizó por defecto un límite casi ilimitado.
![¿Te roban al firmar? Revelando el Lavado de ojos de la firma Permit2 de Uniswap])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
En resumen, el pequeño A otorgó previamente un límite infinito de USDT al contrato Permit2, y luego cayó accidentalmente en una trampa de phishing diseñada por hackers que involucraba la firma de Permit2. Una vez que los hackers obtuvieron la firma, realizaron operaciones de Permitir y Transferir Desde en el contrato Permit2, transfiriendo los activos del pequeño A. Actualmente, parece que el contrato Permit2 de esta plataforma de negociación se ha convertido en un caldo de cultivo para el phishing, y este método de phishing comenzó a activarse hace aproximadamente dos meses.
) ¿Cómo prevenir?
Considerando que el contrato Permit2 podría volverse más común en el futuro, cada vez más proyectos podrían integrar este contrato para compartir autorizaciones, las medidas efectivas de prevención incluyen:
Entender e identificar el contenido de la firma:
La firma de Permiso generalmente contiene información clave como Owner, Spender, value, nonce y deadline. Utilizar complementos de seguridad ayuda a identificar este formato de firma.
![¿Firma y te roban? Revelando el Lavado de ojos de la firma Permit2 de Uniswap]###https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Almacenamiento de activos separado y billetera de interacción:
Se recomienda almacenar una gran cantidad de activos en una billetera fría, manteniendo solo una pequeña cantidad de fondos en la billetera de interacción para reducir las pérdidas potenciales.
Limitar el importe de autorización o cancelar la autorización:
Al realizar un Swap en esta plataforma de intercambio, solo autorice el monto de interacción requerido. Aunque volver a autorizar en cada interacción aumentará los costos, puede evitar el riesgo de phishing de la firma Permit2. Los usuarios autorizados pueden usar un complemento de seguridad para revocar la autorización.
![¿Te robaron solo por firmar? Revelando el Lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
Identificar si el token admite la función permit:
Presta atención a si el token autohospedado admite esta función; si es así, debes tener especial cuidado y revisar estrictamente cada firma desconocida.
Establecer un plan de rescate de activos completo:
Si descubres que has sido víctima de un Lavado de ojos pero aún tienes tokens en otras plataformas, debes tener cuidado al retirarlos y transferirlos. Considera usar transferencias MEV o buscar la asistencia de un equipo de seguridad profesional para evitar que los hackers intercepten nuevamente.
En el futuro, la pesca basada en Permit2 podría volverse más común, ya que este método de phishing por firma es extremadamente sigiloso y difícil de prevenir. A medida que se amplíe el alcance de Permit2, también aumentarán las direcciones expuestas al riesgo. Espero que los lectores puedan difundir esta información ampliamente para evitar que más personas sufran pérdidas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
8 me gusta
Recompensa
8
3
Compartir
Comentar
0/400
AirdropHunter420
· hace3h
Una vez firmado, el dinero se ha ido. Es una pena.
Ver originalesResponder0
MetaverseLandlord
· 08-04 15:24
¿Otra vez? ¿Quién puede soportar este impuesto sobre la inteligencia?
Nuevo lavado de ojos de firma Permit2: los usuarios de la plataforma de comercio deben tener cuidado
Revelando el Lavado de ojos de firmas de Uniswap Permit2: Ten cuidado con las firmas que te roban
Los hackers son una presencia aterradora en el ecosistema Web3. Para los proyectos, el código abierto hace que las vulnerabilidades sean difíciles de evitar; para los usuarios individuales, cada interacción en la cadena puede conllevar el riesgo de robo de activos. Por lo tanto, los problemas de seguridad siempre han sido un punto crítico en el mundo de las criptomonedas, y las características de la blockchain hacen que sea difícil recuperar los activos robados, lo que hace que el dominio del conocimiento de seguridad sea especialmente importante.
Recientemente ha surgido un nuevo tipo de técnica de phishing, que solo requiere una firma y puede llevar al robo de activos; el método es sutil y difícil de prevenir. Las direcciones que han interactuado con alguna plataforma de intercambio pueden estar en riesgo. Este artículo analizará esta técnica de phishing por firma para ayudar a los lectores a evitar más pérdidas de activos.
Desarrollo del evento
Un amigo, (, tuvo los activos de su billetera robados, pero no se filtró su clave privada ni interactuó con contratos sospechosos. La investigación descubrió que los USDT de Xiao A fueron transferidos a través de la función Transfer From, lo que significa que un tercero operó la transferencia de activos, y no fue una filtración de la clave privada de la billetera.
Para consultar más detalles de la transacción, se encontró:
La cuestión clave es: ¿cómo obtuvo esta dirección los permisos de los activos de Xiao A? ¿Por qué está relacionada con esta plataforma de intercambio?
La investigación muestra que, antes de transferir los activos de A, esta dirección realizó una operación de Permit, y ambas operaciones interactuaron con el contrato Permit2 de la plataforma de intercambio.
El contrato Permit2 es un nuevo contrato lanzado por la plataforma de comercio a finales de 2022, diseñado para permitir la autorización de tokens para compartir y gestionar entre diferentes aplicaciones, proporcionando una experiencia de usuario más unificada, eficiente y segura. En el futuro, a medida que más proyectos se integren, Permit2 tiene el potencial de lograr la estandarización de la aprobación de tokens entre aplicaciones, reduciendo los costos de transacción y mejorando la seguridad.
El lanzamiento de Permit2 podría cambiar las reglas del ecosistema Dapp. En el modelo tradicional, los usuarios deben autorizar cada interacción con Dapp por separado, mientras que Permit2 actúa como intermediario, permitiendo que los usuarios autoricen una sola vez, y todos los Dapp que integren Permit2 puedan compartir el límite de autorización. Esto mejora la experiencia del usuario, pero también puede conllevar riesgos, ya que el problema radica en la forma en que se interactúa con Permit2.
Permit2 convierte las operaciones del usuario en firmas fuera de la cadena, mientras que las operaciones en la cadena son completadas por un rol intermedio. Esto permite que los usuarios paguen el Gas sin necesidad de ETH o que un rol intermedio lo pague en su lugar, pero la firma fuera de la cadena es también la parte más fácil de pasar por alto para el usuario.
En el caso de Xiao A, el robo de activos está relacionado con la interacción con el contrato Permit2. El requisito clave es que la billetera que fue pescada debe haber autorizado previamente el contrato Permit2. Es importante señalar que actualmente, realizar un intercambio en Dapp que integre Permit2 o en la plataforma de intercambio requiere autorización al contrato Permit2.
Lo que es aún más preocupante es que, independientemente del monto de Swap, el contrato Permit2 de la plataforma de intercambio requiere por defecto la autorización de todo el saldo. Aunque la billetera ofrece la opción de ingresar un monto personalizado, la mayoría de los usuarios puede optar directamente por el valor máximo o por el valor predeterminado, y el valor predeterminado de Permit2 es un límite ilimitado.
Esto significa que, siempre que se haya interactuado con esta plataforma de intercambio y se haya autorizado el contrato Permit2 después de 2023, se podría enfrentar al riesgo de este Lavado de ojos.
El núcleo del Lavado de ojos radica en la función Permit, que permite transferir el límite de Token autorizado al contrato Permit2 a otras direcciones mediante una firma. Una vez que el hacker obtiene la firma, puede manipular los Tokens en la billetera del usuario y transferir activos.
) Análisis detallado del evento
La función Permit es similar a firmar contratos en línea, permite autorizar anticipadamente a otros ###spender( para usar una cierta cantidad de tokens en el futuro. La función verificará la validez de la firma, validará la autenticidad de la firma y luego actualizará el registro de autorización.
La función verify extrae los datos v, r, s de la información de la firma, utilizados para recuperar la dirección de la firma y compararla con la dirección del propietario del token; si la verificación es exitosa, continúa llamando a la función _updateApproval.
La función _updateApproval actualiza el valor de autorización después de la verificación de la firma, implementando la transferencia de permisos. En este momento, el autorizado puede llamar a la función transferfrom para transferir tokens a la dirección especificada.
![¿Firmar y ser robado? Revelando el Lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Análisis de transacciones reales en la cadena visibles:
![¿Firmar te hace vulnerable a robos? Revelando el lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
Al revisar los registros de interacción de Xiao A, se descubrió que cuando usó la plataforma de negociación anteriormente, autorizó por defecto un límite casi ilimitado.
![¿Te roban al firmar? Revelando el Lavado de ojos de la firma Permit2 de Uniswap])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
En resumen, el pequeño A otorgó previamente un límite infinito de USDT al contrato Permit2, y luego cayó accidentalmente en una trampa de phishing diseñada por hackers que involucraba la firma de Permit2. Una vez que los hackers obtuvieron la firma, realizaron operaciones de Permitir y Transferir Desde en el contrato Permit2, transfiriendo los activos del pequeño A. Actualmente, parece que el contrato Permit2 de esta plataforma de negociación se ha convertido en un caldo de cultivo para el phishing, y este método de phishing comenzó a activarse hace aproximadamente dos meses.
) ¿Cómo prevenir?
Considerando que el contrato Permit2 podría volverse más común en el futuro, cada vez más proyectos podrían integrar este contrato para compartir autorizaciones, las medidas efectivas de prevención incluyen:
![¿Firma y te roban? Revelando el Lavado de ojos de la firma Permit2 de Uniswap]###https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
Almacenamiento de activos separado y billetera de interacción: Se recomienda almacenar una gran cantidad de activos en una billetera fría, manteniendo solo una pequeña cantidad de fondos en la billetera de interacción para reducir las pérdidas potenciales.
Limitar el importe de autorización o cancelar la autorización: Al realizar un Swap en esta plataforma de intercambio, solo autorice el monto de interacción requerido. Aunque volver a autorizar en cada interacción aumentará los costos, puede evitar el riesgo de phishing de la firma Permit2. Los usuarios autorizados pueden usar un complemento de seguridad para revocar la autorización.
![¿Te robaron solo por firmar? Revelando el Lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
Identificar si el token admite la función permit: Presta atención a si el token autohospedado admite esta función; si es así, debes tener especial cuidado y revisar estrictamente cada firma desconocida.
Establecer un plan de rescate de activos completo: Si descubres que has sido víctima de un Lavado de ojos pero aún tienes tokens en otras plataformas, debes tener cuidado al retirarlos y transferirlos. Considera usar transferencias MEV o buscar la asistencia de un equipo de seguridad profesional para evitar que los hackers intercepten nuevamente.
En el futuro, la pesca basada en Permit2 podría volverse más común, ya que este método de phishing por firma es extremadamente sigiloso y difícil de prevenir. A medida que se amplíe el alcance de Permit2, también aumentarán las direcciones expuestas al riesgo. Espero que los lectores puedan difundir esta información ampliamente para evitar que más personas sufran pérdidas.