Uniswap Permit2 İmza Phishing Eyewash'ını Açığa Çıkar
Hackerlar, Web3 ekosisteminde korkutucu bir varlıktır. Proje sahipleri için açık kaynak kodları, her bir kod satırının bir güvenlik açığı içerebileceğinden endişe duymalarına neden olmaktadır. Bireysel kullanıcılar için, eğer işlemlerin anlamını anlamıyorlarsa, her zincir üstü etkileşim veya imza, varlıkların çalınmasına yol açabilir. Bu nedenle, güvenlik sorunu kripto dünyasının en önemli sorunlarından biri olmuştur. Blockchain'in özellikleri nedeniyle, varlık bir kez çalındığında neredeyse geri alınamaz, bu nedenle güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda yalnızca imza atarak çalınan yeni bir oltalama yöntemi keşfedildi, bu yöntem gizli ve önlenmesi zor. Belirli bir DEX ile etkileşimde bulunan adresler risk altında olabilir. Bu makalede bu imza oltalama yönteminin bilinçlendirilmesi yapılacak, böylece daha fazla varlık kaybının önüne geçilecektir.
olayın gelişimi
Son zamanlarda, bir arkadaşım ( küçük A ) cüzdan varlıkları çalındı. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi ve sahte web sitesi ile sözleşme etkileşiminde bulunmadı.
Blockchain tarayıcısı gösteriyor ki, küçük A'nın çalınan USDT'si Transfer From fonksiyonu aracılığıyla aktarıldı. Bu, başka bir adresin token'ı transfer ettiğini, cüzdan özel anahtarının sızdırılmadığını gösteriyor.
İşlem detayları gösteriyor:
Sonu fd51 olan adres, küçük A varlıklarını sonu a0c8 olan adrese transfer etti.
Bu işlem, belirli bir DEX'in Permit2 sözleşmesiyle etkileşimde bulunmaktır.
Ana sorun: fd51 sonlu adres nasıl varlık yetkisi alır? Neden bir DEX ile ilgili?
fd51 adresinin etkileşim kayıtlarını daha ayrıntılı inceleyin, küçük A varlıkları transfer edilmeden önce, bu adres bir Permit işlemi gerçekleştirdi ve her iki işlem de belirli bir DEX'in Permit2 sözleşmesi ile etkileşimde bulundu.
Permit2 sözleşmesi, 2022'nin sonlarında bir DEX tarafından piyasaya sürülen yeni bir sözleşmedir. Bu, token'ların farklı uygulamalar arasında paylaşılmasını ve yönetilmesini sağlayarak daha birleşik, daha düşük maliyetli ve daha güvenli bir kullanıcı deneyimi yaratmayı amaçlamaktadır. Gelecekte daha fazla projenin entegrasyonu ile Permit2, uygulamalar arası standartlaştırılmış Token onaylarını gerçekleştirebilir.
Geleneksel etkileşim yöntemlerinde, kullanıcı her bir Dapp ile etkileşime geçtiğinde ayrı ayrı yetki vermek zorundadır. Permit2 bir aracı olarak, kullanıcı sadece Permit2 sözleşmesine yetki vermelidir, Permit2'yi entegre eden tüm Dapp'ler yetki limitini paylaşabilir. Bu, kullanıcı etkileşim maliyetlerini düşürür ve deneyimi artırır.
Ama Permit2 de çift taraflı bir kılıçtır. Kullanıcı işlemlerini zincir dışı imzalara dönüştürür, zincir içi işlemler aracı bir taraf tarafından gerçekleştirilir. Bu, kullanıcı cüzdanında ETH olmasa bile diğer Token'larla Gas ödemesine veya aracı tarafın geri ödemesine olanak tanır. Ancak, zincir dışı imzalar kullanıcıların en kolay göz ardı edebileceği aşamadır.
Bu oltalama yöntemini tetiklemek için ana şart, cüzdanın Permit2 sözleşmesine yetki vermiş olmasıdır. Şu anda Permit2'yi entegre eden Dapp'te Swap işlemi yapmak için, kullanıcıların Permit2 sözleşmesine yetki vermesi gerekmektedir. Daha da korkutucu olanı, Swap miktarı ne olursa olsun, Permit2 sözleşmesi kullanıcıların o Token'ın tüm bakiyesini yetkilendirmesini varsayılan olarak sağlar.
Bu, 2023'ten sonra bir DEX ile etkileşime geçip Permit2 sözleşmesine yetki verirseniz, bu oltalama riskine maruz kalabileceğiniz anlamına geliyor. Hackerlar, Permit fonksiyonunu kullanarak, kullanıcı imzası aracılığıyla Permit2'ye verilen Token limitini başka bir adrese transfer edebilir.
olay detaylı analizi
Permit fonksiyonu, "sözleşme"yi önceden imzalamayı ve başkalarına belirli bir miktarda token kullanma yetkisi vermeyi sağlar. Yetkilendirme doğruluğunu doğrulamak için imza sağlaması gerekmektedir.
Fonksiyon iş akışı:
İmza geçerlilik süresinin aşılıp aşılmadığını kontrol et
İmza doğruluğunu doğrulama
Yetkili kayıtlarını güncelleyin
Önemli olan verify fonksiyonu ve _updateApproval fonksiyonudur.
verify fonksiyonu imza bilgilerinden v, r, s verilerini alır, imza adresini geri yükler ve verilen adresle karşılaştırır. _updateApproval fonksiyonu doğrulama geçtikten sonra yetki değerini günceller.
Gerçek ticaret detayları gösteriyor:
owner küçük A cüzdan adresidir
Yetkilendirilmiş Token USDT'dir
Spender, fd51 sonlu haneli bir hacker adresidir.
sigDeadline, imza geçerlilik süresidir.
signature, küçük A'nın imza bilgisi
Küçük A daha önce bir DEX kullanırken varsayılan sonsuz yetki limitine tıkladı.
Olay sürecini kısaca özetleyin: Küçük A, daha önce Permit2'ye sınırsız USDT limiti vermişti, ardından yanlışlıkla bir hacker tarafından tasarlanan imza tuzağına düştü. Hacker, imzayı kullanarak Permit2 sözleşmesinde Permit ve Transfer From işlemleri gerçekleştirdi ve varlıkları transfer etti. Şu anda bu DEX'in Permit2 sözleşmesi, oltalama saldırılarının yoğun olarak gerçekleştiği bir alan haline geldi.
nasıl önlenir?
İmza içeriğini anlama ve tanıma: Permit imza formatını tanımayı öğrenin; bu format, Owner, Spender, value, nonce ve deadline gibi anahtar bilgileri içerir.
Varlıklar ve etkileşim cüzdanı ayrımı: Büyük varlıkları soğuk cüzdanda saklayın, etkileşim cüzdanında yalnızca az miktarda para bulundurun.
Permit2 yetkilendirme limitini kısıtlama veya yetkiyi iptal etme: yalnızca gerekli işlem tutarını yetkilendirin veya güvenlik eklentisini kullanarak yetkiyi iptal edin.
Tokenin permit fonksiyonunu destekleyip desteklemediğini öğrenin: Sahip olduğunuz tokenin bu fonksiyonu destekleyip desteklemediğine dikkat edin, ilgili işlemlere ekstra dikkat edin.
Tamamlayıcı bir varlık kurtarma planı geliştirin: Eğer çalındıktan sonra diğer platformlarda hala varlık varsa, dikkatli bir şekilde çekim ve transfer yapmalısınız, MEV transferi kullanmayı veya profesyonel bir güvenlik ekibinden yardım almayı düşünebilirsiniz.
Gelecekte Permit2 tabanlı oltalama saldırılarının artması muhtemel. Bu tür imza oltalama yöntemi gizli ve zor tespit edilebilir, Permit2'nin uygulama alanı genişledikçe, maruz kalan riskli adresler de artacaktır. Okuyucuların bu yazıyı yaymasını umuyoruz, böylece daha fazla insanın zarar görmesini önleyebiliriz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
10
Repost
Share
Comment
0/400
MoonMathMagic
· 5h ago
Bu imza da çok korkunç, DEX oyuncuları zor durumda.
View OriginalReply0
TestnetNomad
· 08-15 10:46
DEX oynarken dikkat etmediğim için birkaç yüz dolar kaybettim, gerçekten yazık.
View OriginalReply0
NullWhisperer
· 08-15 00:09
teknik olarak konuşursak, permit2 sadece gerçekleşmesi beklenen başka bir saldırı vektörü...
View OriginalReply0
ShibaMillionairen't
· 08-14 15:17
İmzan çalındı, öyle mi? Daha çok pratik yap.
View OriginalReply0
ImpermanentPhilosopher
· 08-14 04:10
Saniyelik signing'in enayileri avlanmayı mı araştırmayı hak ediyor?
View OriginalReply0
DataOnlooker
· 08-14 04:08
İmza çalındı mı? Gerçekten tehlikeli.
View OriginalReply0
LiquidationSurvivor
· 08-14 04:06
Yine bir yeni eyewash... Görünüşe göre adres riskine dikkat etmek gerekiyor.
View OriginalReply0
TokenStorm
· 08-14 04:04
Hala aptalca imza mı atıyorsun? On-chain verilerden bu permit2 kombinasyonunun %80 enayileri ortadan kaldırabileceği görülüyor.
View OriginalReply0
GameFiCritic
· 08-14 03:55
Tüm imza unsurları oltaya düştü, hâlâ kendisinin işlem yaptığını söylüyor, güldüm.
View OriginalReply0
UnluckyValidator
· 08-14 03:48
Görünüşe göre DEX'e dikkat etmemiz gerekecek, etkileşimden önce daha fazla düşünmeliyiz.
Uniswap Permit2 sözleşmesi imza oltalama uyarısı Varlık kaybını önlemek için bilinmesi gerekenler
Uniswap Permit2 İmza Phishing Eyewash'ını Açığa Çıkar
Hackerlar, Web3 ekosisteminde korkutucu bir varlıktır. Proje sahipleri için açık kaynak kodları, her bir kod satırının bir güvenlik açığı içerebileceğinden endişe duymalarına neden olmaktadır. Bireysel kullanıcılar için, eğer işlemlerin anlamını anlamıyorlarsa, her zincir üstü etkileşim veya imza, varlıkların çalınmasına yol açabilir. Bu nedenle, güvenlik sorunu kripto dünyasının en önemli sorunlarından biri olmuştur. Blockchain'in özellikleri nedeniyle, varlık bir kez çalındığında neredeyse geri alınamaz, bu nedenle güvenlik bilgisine sahip olmak son derece önemlidir.
Son zamanlarda yalnızca imza atarak çalınan yeni bir oltalama yöntemi keşfedildi, bu yöntem gizli ve önlenmesi zor. Belirli bir DEX ile etkileşimde bulunan adresler risk altında olabilir. Bu makalede bu imza oltalama yönteminin bilinçlendirilmesi yapılacak, böylece daha fazla varlık kaybının önüne geçilecektir.
olayın gelişimi
Son zamanlarda, bir arkadaşım ( küçük A ) cüzdan varlıkları çalındı. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi ve sahte web sitesi ile sözleşme etkileşiminde bulunmadı.
Blockchain tarayıcısı gösteriyor ki, küçük A'nın çalınan USDT'si Transfer From fonksiyonu aracılığıyla aktarıldı. Bu, başka bir adresin token'ı transfer ettiğini, cüzdan özel anahtarının sızdırılmadığını gösteriyor.
İşlem detayları gösteriyor:
Ana sorun: fd51 sonlu adres nasıl varlık yetkisi alır? Neden bir DEX ile ilgili?
fd51 adresinin etkileşim kayıtlarını daha ayrıntılı inceleyin, küçük A varlıkları transfer edilmeden önce, bu adres bir Permit işlemi gerçekleştirdi ve her iki işlem de belirli bir DEX'in Permit2 sözleşmesi ile etkileşimde bulundu.
Permit2 sözleşmesi, 2022'nin sonlarında bir DEX tarafından piyasaya sürülen yeni bir sözleşmedir. Bu, token'ların farklı uygulamalar arasında paylaşılmasını ve yönetilmesini sağlayarak daha birleşik, daha düşük maliyetli ve daha güvenli bir kullanıcı deneyimi yaratmayı amaçlamaktadır. Gelecekte daha fazla projenin entegrasyonu ile Permit2, uygulamalar arası standartlaştırılmış Token onaylarını gerçekleştirebilir.
Geleneksel etkileşim yöntemlerinde, kullanıcı her bir Dapp ile etkileşime geçtiğinde ayrı ayrı yetki vermek zorundadır. Permit2 bir aracı olarak, kullanıcı sadece Permit2 sözleşmesine yetki vermelidir, Permit2'yi entegre eden tüm Dapp'ler yetki limitini paylaşabilir. Bu, kullanıcı etkileşim maliyetlerini düşürür ve deneyimi artırır.
Ama Permit2 de çift taraflı bir kılıçtır. Kullanıcı işlemlerini zincir dışı imzalara dönüştürür, zincir içi işlemler aracı bir taraf tarafından gerçekleştirilir. Bu, kullanıcı cüzdanında ETH olmasa bile diğer Token'larla Gas ödemesine veya aracı tarafın geri ödemesine olanak tanır. Ancak, zincir dışı imzalar kullanıcıların en kolay göz ardı edebileceği aşamadır.
Bu oltalama yöntemini tetiklemek için ana şart, cüzdanın Permit2 sözleşmesine yetki vermiş olmasıdır. Şu anda Permit2'yi entegre eden Dapp'te Swap işlemi yapmak için, kullanıcıların Permit2 sözleşmesine yetki vermesi gerekmektedir. Daha da korkutucu olanı, Swap miktarı ne olursa olsun, Permit2 sözleşmesi kullanıcıların o Token'ın tüm bakiyesini yetkilendirmesini varsayılan olarak sağlar.
Bu, 2023'ten sonra bir DEX ile etkileşime geçip Permit2 sözleşmesine yetki verirseniz, bu oltalama riskine maruz kalabileceğiniz anlamına geliyor. Hackerlar, Permit fonksiyonunu kullanarak, kullanıcı imzası aracılığıyla Permit2'ye verilen Token limitini başka bir adrese transfer edebilir.
olay detaylı analizi
Permit fonksiyonu, "sözleşme"yi önceden imzalamayı ve başkalarına belirli bir miktarda token kullanma yetkisi vermeyi sağlar. Yetkilendirme doğruluğunu doğrulamak için imza sağlaması gerekmektedir.
Fonksiyon iş akışı:
Önemli olan verify fonksiyonu ve _updateApproval fonksiyonudur.
verify fonksiyonu imza bilgilerinden v, r, s verilerini alır, imza adresini geri yükler ve verilen adresle karşılaştırır. _updateApproval fonksiyonu doğrulama geçtikten sonra yetki değerini günceller.
Gerçek ticaret detayları gösteriyor:
Küçük A daha önce bir DEX kullanırken varsayılan sonsuz yetki limitine tıkladı.
Olay sürecini kısaca özetleyin: Küçük A, daha önce Permit2'ye sınırsız USDT limiti vermişti, ardından yanlışlıkla bir hacker tarafından tasarlanan imza tuzağına düştü. Hacker, imzayı kullanarak Permit2 sözleşmesinde Permit ve Transfer From işlemleri gerçekleştirdi ve varlıkları transfer etti. Şu anda bu DEX'in Permit2 sözleşmesi, oltalama saldırılarının yoğun olarak gerçekleştiği bir alan haline geldi.
nasıl önlenir?
Varlıklar ve etkileşim cüzdanı ayrımı: Büyük varlıkları soğuk cüzdanda saklayın, etkileşim cüzdanında yalnızca az miktarda para bulundurun.
Permit2 yetkilendirme limitini kısıtlama veya yetkiyi iptal etme: yalnızca gerekli işlem tutarını yetkilendirin veya güvenlik eklentisini kullanarak yetkiyi iptal edin.
Tokenin permit fonksiyonunu destekleyip desteklemediğini öğrenin: Sahip olduğunuz tokenin bu fonksiyonu destekleyip desteklemediğine dikkat edin, ilgili işlemlere ekstra dikkat edin.
Tamamlayıcı bir varlık kurtarma planı geliştirin: Eğer çalındıktan sonra diğer platformlarda hala varlık varsa, dikkatli bir şekilde çekim ve transfer yapmalısınız, MEV transferi kullanmayı veya profesyonel bir güvenlik ekibinden yardım almayı düşünebilirsiniz.
Gelecekte Permit2 tabanlı oltalama saldırılarının artması muhtemel. Bu tür imza oltalama yöntemi gizli ve zor tespit edilebilir, Permit2'nin uygulama alanı genişledikçe, maruz kalan riskli adresler de artacaktır. Okuyucuların bu yazıyı yaymasını umuyoruz, böylece daha fazla insanın zarar görmesini önleyebiliriz.