- Tema
27k Popularidad
58k Popularidad
8k Popularidad
16k Popularidad
30k Popularidad
2k Popularidad
112k Popularidad
27k Popularidad
26k Popularidad
7k Popularidad
- Anclado
27k Popularidad
58k Popularidad
8k Popularidad
16k Popularidad
30k Popularidad
2k Popularidad
112k Popularidad
27k Popularidad
26k Popularidad
7k Popularidad
Nuevo lavado de ojos de firma de Uniswap Permit2, tus activos pueden haber expuesto riesgos
Revelando el Lavado de ojos de firma de Uniswap Permit2
Los hackers son una presencia temida en el ecosistema Web3. Para los desarrolladores de proyectos, el código abierto les hace sentir como si caminaran sobre hielo fino, temerosos de dejar vulnerabilidades que puedan llevar a incidentes de seguridad. Para los usuarios individuales, cada interacción o firma en la cadena puede poner sus activos en riesgo de ser robados. Por lo tanto, los problemas de seguridad han sido uno de los puntos críticos en el mundo de las criptomonedas. La naturaleza irreversible de la blockchain también significa que los activos robados son casi imposibles de recuperar, lo que resalta aún más la importancia del conocimiento en seguridad.
Recientemente, un investigador de seguridad en blockchain descubrió un nuevo método de phishing que podría llevar al robo de activos con solo una firma. Este método es muy sigiloso y difícil de prevenir, y cualquier dirección que haya utilizado Uniswap podría estar expuesta a riesgos. Este artículo analizará en detalle este método de phishing por firma para ayudar a todos a evitar mayores pérdidas de activos.
Desarrollo del evento
Recientemente, un usuario (, conocido como pequeño A, buscó ayuda después de que los activos de su billetera fueran robados. A diferencia de los métodos comunes de robo, pequeño A no reveló su clave privada ni interactuó con contratos sospechosos. Tras la investigación, se descubrió que el USDT de pequeño A fue transferido mediante la función Transfer From, lo que significa que fue una dirección de terceros la que operó la transferencia de activos, y no una filtración de la clave privada.
Para investigar más a fondo los detalles de la transacción, se descubrieron pistas clave:
El problema es, ¿cómo obtuvo la dirección que termina en fd51 los permisos de operación de los activos de Xiao A? ¿Por qué está involucrado Uniswap?
La respuesta está en los registros de interacción de la dirección de finalización fd51. Antes de transferir los activos de A, esta dirección también realizó una operación de Permit, y el objeto de interacción también fue el contrato Permit2 de Uniswap.
![¿Firma y ya fue robada? Revelando el Lavado de ojos de las firmas de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(
Uniswap Permit2 es un nuevo contrato lanzado a finales de 2022, diseñado para lograr una gestión de autorización unificada entre aplicaciones, mejorar la experiencia del usuario y reducir los costos de transacción. Su núcleo es transformar las operaciones del usuario de interacciones en cadena a firmas fuera de la cadena, completando las operaciones en cadena a través de un rol intermedio ) como el contrato Permit2 (.
Aunque esta solución puede reducir el costo de interacción del usuario, también ha traído nuevos riesgos. La firma fuera de la cadena es la parte que los usuarios más tienden a pasar por alto, y muchas personas no revisan detenidamente el contenido de la firma.
La clave para reproducir esta técnica de phishing es que la billetera objetivo debe tener autorizaciones de Token otorgadas al contrato Permit2 de Uniswap. Actualmente, siempre que se realice un Swap en una Dapp integrada con Permit2 o en Uniswap, se requiere esta autorización.
Es especialmente importante tener en cuenta que el contrato Permit2 de Uniswap permite por defecto a los usuarios autorizar el saldo total de ese Token. Aunque la billetera ofrecerá la opción de ingresar una cantidad personalizada, la mayoría de las personas probablemente elegirán directamente el valor máximo o el valor predeterminado, y el valor predeterminado de Permit2 es un límite ilimitado.
Esto significa que, siempre que hayas interactuado con Uniswap y autorizado el contrato Permit2 después de 2023, podrías estar expuesto al riesgo de este Lavado de ojos.
Los hackers utilizan la función Permit para transferir el límite de tokens autorizado por el usuario al contrato Permit2 a otras direcciones mediante la firma del usuario. Una vez que obtienen la firma, los hackers pueden manipular los permisos de tokens en la billetera del usuario y transferir activos.
![¿Te robaron al firmar? Revelando el Lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(
¿Cómo prevenir?
Considerando que el contrato Uniswap Permit2 podría volverse más popular, más proyectos podrían integrarlo para compartir autorizaciones, aquí hay algunas medidas efectivas de prevención:
Entender e identificar el contenido de la firma: aprender a reconocer el formato de firma de Permiso, utilizar complementos de seguridad para ayudar en la identificación.
Separación de la billetera de activos y la billetera de interacción: almacenar grandes cantidades de activos en una billetera fría, mientras que la billetera de interacción diaria solo mantiene una pequeña cantidad de fondos.
Limitar el monto de autorización o cancelar la autorización: Al intercambiar en Uniswap, solo autorizar la cantidad necesaria o utilizar un complemento de seguridad para cancelar las autorizaciones existentes.
Identificar si el token soporta la función de permiso: Prestar atención a si los tokens que posees soportan esta función, y ser especialmente cauteloso con las transacciones de los tokens que la soportan.
Elaborar un plan de rescate de activos completo: si después del robo hay tokens en otras plataformas, se debe elaborar cuidadosamente un plan de extracción y transferencia, considerando el uso de transferencias MEV o buscar la asistencia de un equipo de seguridad profesional.
A medida que se amplía el alcance de la aplicación Permit2, es posible que surjan más métodos de phishing basados en ella. Este tipo de phishing por firma es extremadamente sigiloso y difícil de prevenir, y las direcciones expuestas al riesgo seguirán aumentando. Espero que este artículo pueda ayudar a más personas a comprender y prevenir este nuevo Lavado de ojos, protegiendo así sus activos digitales.
![¿Te roban al firmar? Revelamos el Lavado de ojos de la firma de Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(