كشف احتيال توقيع Uniswap Permit2

الهاكرز هم وجود مخيف في نظام Web3 البيئي. بالنسبة لمطوري المشاريع، فإن شفرة المصدر المفتوح تجعلهم يعملون بحذر شديد، خوفًا من ترك ثغرات قد تؤدي إلى حوادث أمان. بالنسبة للمستخدمين الأفراد، فإن كل تفاعل أو توقيع على السلسلة قد يعرض أصولهم لخطر السرقة. ولذلك، تظل قضية الأمان واحدة من نقاط الألم في عالم التشفير. كما أن خاصية عدم القابلية للتراجع في blockchain تعني أن الأصول المسروقة تكاد تكون غير قابلة للاسترداد، مما يبرز أهمية المعرفة الأمنية.

مؤخراً، اكتشف أحد الباحثين في أمان blockchain طريقة جديدة للاحتيال، حيث يمكن أن يؤدي توقيع واحد فقط إلى سرقة الأصول. هذه الطريقة خفية للغاية وصعبة الحماية، وأي عنوان تم استخدامه سابقاً في Uniswap قد يكون معرضاً للخطر. ستقوم هذه المقالة بتحليل طريقة الاحتيال بالتوقيع بالتفصيل، لمساعدة الجميع على تجنب المزيد من خسائر الأصول.

سير الأحداث

مؤخراً، سعى مستخدم (، المعروف بـ "小A)"، للحصول على المساعدة بعد سرقة أصول محفظته. على عكس طرق السرقة الشائعة، لم يقم "小A" بكشف مفتاحه الخاص، ولم يتفاعل مع عقود مشبوهة. بعد التحقيق، تبين أن USDT الخاص بـ "小A" تم نقله من خلال دالة Transfer From، مما يعني أن عنوان طرف ثالث هو من قام بعملية نقل الأصول، وليس تسريب المفتاح الخاص.

عند استعلام تفاصيل المعاملة بشكل أعمق، تم العثور على أدلة رئيسية:

• تم نقل أصول الصغير A من العنوان الذي ينتهي بالرقم fd51 إلى العنوان الذي ينتهي بالرقم a0c8
• هذه العملية تتفاعل مع عقد Permit2 الخاص بـ Uniswap

المشكلة هي، كيف حصل العنوان الذي ينتهي بـ fd51 على صلاحيات عملية أصول صغير A؟ لماذا يتعلق الأمر بـ Uniswap؟

الإجابة في سجلات التفاعل مع العنوان ذو الرقم النهائي fd51. قبل نقل أصول A الصغيرة، قام هذا العنوان أيضًا بعملية تصريح، وكان موضوع التفاعل هو عقد تصريح 2 الخاص بـ Uniswap.

! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp)

Uniswap Permit2 هو عقد جديد تم إطلاقه في نهاية عام 2022، يهدف إلى تحقيق إدارة موحدة للتفويض عبر التطبيقات، مما يحسن تجربة المستخدم ويقلل من تكاليف المعاملات. جوهره هو تحويل عمليات المستخدم من التفاعل على السلسلة إلى توقيع خارج السلسلة، حيث يتم تنفيذ العمليات على السلسلة بواسطة شخصية وسيطة ( مثل عقد Permit2 ).

على الرغم من أن هذه الخطة يمكن أن تقلل من تكلفة تفاعل المستخدمين، إلا أنها جلبت أيضًا مخاطر جديدة. التوقيع خارج السلسلة هو المرحلة الأكثر تجاهلاً من قبل المستخدمين، حيث أن الكثيرين لا يقومون بفحص محتوى التوقيع بعناية.

المتطلب الرئيسي لإعادة إنتاج هذه التقنية الاحتيالية هو: يجب أن يكون لدى المحفظة المخادعة تفويض بالرموز لعقد Permit2 الخاص بـ Uniswap. في الوقت الحالي، يتطلب إجراء التبادل في أي تطبيق مدمج مع Permit2 أو على Uniswap هذا النوع من التفويض.

الأهم من ذلك، أن عقد Permit2 الخاص بـ Uniswap سيسمح افتراضياً للمستخدمين بتفويض كامل رصيد هذا الرمز. على الرغم من أن المحفظة ستنبه المستخدم لإدخال مبلغ مخصص، إلا أن معظم الناس قد يختارون مباشرة القيمة القصوى أو القيمة الافتراضية، حيث أن القيمة الافتراضية لـ Permit2 هي حد غير محدود.

هذا يعني أنه طالما كنت قد تفاعلت مع Uniswap بعد عام 2023 ومنحت إذنًا لعقد Permit2، فقد تكون معرضًا لخطر هذا التضليل.

يستخدم القراصنة وظيفة Permit لنقل الحد المسموح به لرموز عقد Permit2 إلى عنوان آخر من خلال توقيع المستخدم. بمجرد الحصول على التوقيع، يمكن للقراصنة التحكم في صلاحيات الرموز في محفظة المستخدم ونقل الأصول.

كيف تحمي نفسك؟

نظرًا لأن عقد Uniswap Permit2 قد يصبح أكثر شيوعًا، فقد تقوم المزيد من المشاريع بدمجه لمشاركة التفويض، إليك بعض تدابير الحماية الفعالة:

1. فهم والتعرف على محتوى التوقيع: تعلم التعرف على تنسيق توقيع Permit، واستخدام المكونات الإضافية الآمنة للمساعدة في التعرف.

2. فصل محفظة الأصول عن محفظة التفاعل: يتم الاحتفاظ بالأصول الكبيرة في محفظة باردة، بينما تحتفظ محفظة التفاعل بمبلغ صغير فقط.

3. تقييد حدود التفويض أو إلغاء التفويض: عند التبادل على Uniswap، قم بتفويض المبلغ المطلوب فقط، أو استخدم ملحق الأمان لإلغاء التفويضات الحالية.

4. التعرف على ما إذا كان الرمز المميز يدعم وظيفة التصريح: انتبه إلى الرموز المميزة التي تمتلكها وما إذا كانت تدعم هذه الوظيفة، يجب أن تكون حذرًا بشكل خاص في تداول الرموز المميزة التي تدعم ذلك.

5. وضع خطة إنقاذ الأصول بشكل كامل: إذا كان لا يزال هناك رموز أخرى على منصات أخرى بعد السرقة، يجب وضع خطة سحب ونقل بعناية، ويمكن النظر في استخدام نقل MEV أو طلب المساعدة من فريق أمان محترف.

مع توسع نطاق تطبيق Permit2، قد تزداد أساليب الاحتيال القائمة على ذلك. هذه الطريقة في الاحتيال بالتوقيعات خفية للغاية وصعبة الحماية، كما أن العناوين المعرضة للخطر ستستمر في الزيادة. نأمل أن تساعد هذه المقالة المزيد من الأشخاص على فهم هذه الظاهرة الجديدة ووقاية أنفسهم، وحماية أصولهم الرقمية.

! [التوقيع مسروق؟] إزالة الغموض عن تصريح Uniswap2 احتيال التصيد الاحتيالي](https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp)