Tanda tangan dicuri? Mengungkap penipuan tanda tangan Uniswap Permit2
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pengembang proyek, kode sumber terbuka berarti bahwa setiap kesalahan dapat dimanfaatkan, dan konsekuensi dari insiden keamanan bisa sangat serius. Bagi pengguna individu, kurangnya pemahaman tentang makna operasi dapat menyebabkan aset dicuri. Karakteristik blockchain yang tidak dapat diubah membuat aset yang dicuri sulit untuk dipulihkan, oleh karena itu pengetahuan keamanan sangat penting.
Belakangan ini, metode phishing baru mulai aktif, hanya dengan tanda tangan bisa dicuri, dan metode ini sulit untuk dideteksi. Alamat yang pernah berinteraksi dengan DEX tertentu mungkin menghadapi risiko. Artikel ini akan memberikan penjelasan tentang metode phishing tanda tangan ini, untuk menghindari kerugian aset yang lebih banyak.
Kejadian ini berawal dari seorang teman ( si A) yang asetnya dicuri. Berbeda dengan cara pencurian yang umum, si A tidak membocorkan kunci pribadi dan juga tidak berinteraksi dengan kontrak phishing. Penyidikan menemukan bahwa USDT si A dipindahkan melalui fungsi Transfer From, yang berarti alamat lain yang melakukan pemindahan Token.
Kunci petunjuk adalah:
Sebuah alamat mentransfer aset A ke alamat lain
Berinteraksi dengan kontrak Permit2 dari suatu DEX
Tanda tanya adalah bagaimana alamat tersebut mendapatkan hak atas aset, serta mengapa terkait dengan DEX tertentu.
Penyelidikan lebih lanjut menemukan bahwa sebelum mentransfer aset, alamat tersebut melakukan operasi Permit, dan objek interaksinya adalah kontrak Permit2 dari DEX tertentu. Permit2 adalah kontrak baru yang diluncurkan oleh DEX tersebut pada akhir 2022, yang bertujuan untuk mewujudkan manajemen berbagi otorisasi Token lintas aplikasi.
Tujuan Permit2 adalah untuk menyederhanakan proses interaksi pengguna dan mengurangi biaya Gas. Dalam cara tradisional, pengguna harus memberikan otorisasi secara terpisah untuk setiap Dapp, sementara Permit2 dapat menghilangkan langkah ini. Ini bertindak sebagai perantara antara pengguna dan Dapp, di mana pengguna hanya perlu memberikan otorisasi kepada Permit2, dan semua Dapp yang terintegrasi dapat berbagi otorisasi.
Meskipun cara ini meningkatkan pengalaman pengguna, namun juga membawa risiko. Permit2 mengubah operasi pengguna menjadi tanda tangan off-chain, semua operasi on-chain dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk menggunakan Token lain untuk membayar Gas atau ditanggung oleh peran perantara meskipun mereka tidak memiliki ETH.
Namun, tanda tangan off-chain adalah tahap yang paling mudah diabaikan. Banyak pengguna tidak memeriksa dengan teliti konten tanda tangan saat menghubungkan Dapp, dan ini adalah tempat yang paling berbahaya.
Kunci dari peristiwa kecil A adalah fungsi Permit. Fungsi ini memungkinkan pengguna untuk menandatangani "kontrak" sebelumnya, memberikan izin kepada orang lain untuk menggunakan Token mereka di masa depan. Selama penyerahan tanda tangan pengguna diperoleh, penyerang dapat memindahkan jumlah Token yang diizinkan oleh pengguna kepada Permit2.
Perlu dicatat bahwa Permit2 dari suatu DEX secara default meminta batasan otorisasi tak terbatas. Ini berarti bahwa pengguna yang berinteraksi dengan DEX tersebut dan memberikan otorisasi Permit2 setelah tahun 2023 dapat menghadapi risiko.
Saran pencegahan:
Pelajari cara mengidentifikasi format tanda tangan Permit
Memisahkan penyimpanan aset dan dompet interaksi
Batasi jumlah yang diberikan kepada Permit2 atau segera batalkan otorisasi
Ketahui apakah Token yang Anda miliki mendukung fungsi permit.
Menyusun rencana penyelamatan aset yang komprehensif
Seiring dengan diperluasnya jangkauan aplikasi Permit2, metode phishing terkait mungkin meningkat. Cara phishing dengan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah, alamat yang terekspos pada risiko akan semakin banyak. Semoga pembaca dapat menyebarkan informasi ini kepada lebih banyak orang, untuk menghindari lebih banyak kerugian aset.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Ancaman phishing tanda tangan baru: Risiko dan panduan pencegahan izin Permit2
Tanda tangan dicuri? Mengungkap penipuan tanda tangan Uniswap Permit2
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pengembang proyek, kode sumber terbuka berarti bahwa setiap kesalahan dapat dimanfaatkan, dan konsekuensi dari insiden keamanan bisa sangat serius. Bagi pengguna individu, kurangnya pemahaman tentang makna operasi dapat menyebabkan aset dicuri. Karakteristik blockchain yang tidak dapat diubah membuat aset yang dicuri sulit untuk dipulihkan, oleh karena itu pengetahuan keamanan sangat penting.
Belakangan ini, metode phishing baru mulai aktif, hanya dengan tanda tangan bisa dicuri, dan metode ini sulit untuk dideteksi. Alamat yang pernah berinteraksi dengan DEX tertentu mungkin menghadapi risiko. Artikel ini akan memberikan penjelasan tentang metode phishing tanda tangan ini, untuk menghindari kerugian aset yang lebih banyak.
Kejadian ini berawal dari seorang teman ( si A) yang asetnya dicuri. Berbeda dengan cara pencurian yang umum, si A tidak membocorkan kunci pribadi dan juga tidak berinteraksi dengan kontrak phishing. Penyidikan menemukan bahwa USDT si A dipindahkan melalui fungsi Transfer From, yang berarti alamat lain yang melakukan pemindahan Token.
Kunci petunjuk adalah:
Tanda tanya adalah bagaimana alamat tersebut mendapatkan hak atas aset, serta mengapa terkait dengan DEX tertentu.
Penyelidikan lebih lanjut menemukan bahwa sebelum mentransfer aset, alamat tersebut melakukan operasi Permit, dan objek interaksinya adalah kontrak Permit2 dari DEX tertentu. Permit2 adalah kontrak baru yang diluncurkan oleh DEX tersebut pada akhir 2022, yang bertujuan untuk mewujudkan manajemen berbagi otorisasi Token lintas aplikasi.
Tujuan Permit2 adalah untuk menyederhanakan proses interaksi pengguna dan mengurangi biaya Gas. Dalam cara tradisional, pengguna harus memberikan otorisasi secara terpisah untuk setiap Dapp, sementara Permit2 dapat menghilangkan langkah ini. Ini bertindak sebagai perantara antara pengguna dan Dapp, di mana pengguna hanya perlu memberikan otorisasi kepada Permit2, dan semua Dapp yang terintegrasi dapat berbagi otorisasi.
Meskipun cara ini meningkatkan pengalaman pengguna, namun juga membawa risiko. Permit2 mengubah operasi pengguna menjadi tanda tangan off-chain, semua operasi on-chain dilakukan oleh peran perantara. Ini memungkinkan pengguna untuk menggunakan Token lain untuk membayar Gas atau ditanggung oleh peran perantara meskipun mereka tidak memiliki ETH.
Namun, tanda tangan off-chain adalah tahap yang paling mudah diabaikan. Banyak pengguna tidak memeriksa dengan teliti konten tanda tangan saat menghubungkan Dapp, dan ini adalah tempat yang paling berbahaya.
Kunci dari peristiwa kecil A adalah fungsi Permit. Fungsi ini memungkinkan pengguna untuk menandatangani "kontrak" sebelumnya, memberikan izin kepada orang lain untuk menggunakan Token mereka di masa depan. Selama penyerahan tanda tangan pengguna diperoleh, penyerang dapat memindahkan jumlah Token yang diizinkan oleh pengguna kepada Permit2.
Perlu dicatat bahwa Permit2 dari suatu DEX secara default meminta batasan otorisasi tak terbatas. Ini berarti bahwa pengguna yang berinteraksi dengan DEX tersebut dan memberikan otorisasi Permit2 setelah tahun 2023 dapat menghadapi risiko.
Saran pencegahan:
Seiring dengan diperluasnya jangkauan aplikasi Permit2, metode phishing terkait mungkin meningkat. Cara phishing dengan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah, alamat yang terekspos pada risiko akan semakin banyak. Semoga pembaca dapat menyebarkan informasi ini kepada lebih banyak orang, untuk menghindari lebih banyak kerugian aset.