Démystification de l'escroquerie de phishing par signature Permit2 d'Uniswap

Les hackers sont une présence redoutée dans l'écosystème Web3. Pour les développeurs de projets, l'open source signifie qu'ils avancent sur des œufs, craignant de laisser des vulnérabilités qui pourraient entraîner des incidents de sécurité. Pour les utilisateurs individuels, chaque interaction ou signature sur la chaîne peut exposer leurs actifs à des risques de vol. Par conséquent, les problèmes de sécurité sont l'un des points sensibles du monde de la cryptographie. La nature irréversible de la blockchain signifie également que les actifs volés sont presque impossibles à récupérer, ce qui souligne encore plus l'importance des connaissances en matière de sécurité.

Récemment, un chercheur en sécurité blockchain a découvert une nouvelle méthode de phishing qui peut entraîner le vol d'actifs avec une seule signature. Cette méthode est très discrète et difficile à prévenir, et toutes les adresses ayant utilisé Uniswap peuvent être exposées à des risques. Cet article analysera en détail cette méthode de phishing par signature afin d'aider tout le monde à éviter davantage de pertes d'actifs.

Déroulement de l'événement

Récemment, un utilisateur (, petit A ), a demandé de l'aide après que les actifs de son portefeuille aient été volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué de clé privée, ni interagi avec des contrats suspects. Après enquête, il a été découvert que les USDT de petit A avaient été transférés via la fonction Transfer From, ce qui signifie qu'une adresse tierce a opéré le transfert des actifs, et non une fuite de clé privée.

Pour enquêter davantage sur les détails de la transaction, des indices clés ont été découverts :

• L'adresse se terminant par fd51 a transféré les actifs de petit A à l'adresse se terminant par a0c8.
• Cette opération interagit avec le contrat Permit2 d'Uniswap.

Le problème est de savoir comment l'adresse se terminant par fd51 a obtenu les droits d'opération sur les actifs de Xiao A ? Pourquoi cela implique-t-il Uniswap ?

La réponse se trouve dans les enregistrements d'interaction de l'adresse se terminant par fd51. Avant de transférer les actifs de A, cette adresse a également effectué une opération de Permit, l'objet d'interaction étant également le contrat Permit2 de Uniswap.

Uniswap Permit2 est un nouveau contrat lancé à la fin de 2022, visant à réaliser une gestion unifiée des autorisations inter-applications, à améliorer l'expérience utilisateur et à réduire les coûts de transaction. Son noyau consiste à transformer les opérations des utilisateurs de l'interaction sur la chaîne en signatures hors chaîne, effectuées par des rôles intermédiaires ( tels que le contrat Permit2 ).

Bien que cette solution puisse réduire le coût d'interaction pour les utilisateurs, elle entraîne également de nouveaux risques. La signature hors chaîne est l'étape que les utilisateurs sont le plus susceptibles d'ignorer, et beaucoup ne vérifient pas attentivement le contenu de la signature.

La condition clé pour reproduire cette méthode de phishing est que le portefeuille ciblé doit avoir autorisé des Tokens au contrat Permit2 d'Uniswap. Actuellement, il est nécessaire de procéder à cette autorisation chaque fois que l'on effectue un Swap sur un Dapp intégrant Permit2 ou sur Uniswap.

Il convient également de noter que le contrat Permit2 d'Uniswap autorise par défaut les utilisateurs à autoriser le montant total de leur solde pour ce Token. Bien que le portefeuille propose de saisir un montant personnalisé, la plupart des gens pourraient simplement choisir le maximum ou la valeur par défaut, qui est un montant illimité pour Permit2.

Cela signifie que si vous avez interagi avec Uniswap et autorisé le contrat Permit2 après 2023, vous pourriez être exposé au risque de ce eyewash.

Les hackers exploitent la fonction Permit pour transférer le montant de jetons autorisé par l'utilisateur au contrat Permit2 vers d'autres adresses grâce à la signature de l'utilisateur. Une fois la signature obtenue, les hackers peuvent contrôler les droits sur les jetons dans le portefeuille de l'utilisateur et transférer des actifs.

Comment se prémunir?

Étant donné que le contrat Uniswap Permit2 pourrait devenir plus populaire, davantage de projets pourraient l'intégrer pour le partage d'autorisations, voici quelques mesures préventives efficaces :

1. Comprendre et identifier le contenu de la signature : apprendre à reconnaître le format de signature Permit, utiliser des plugins de sécurité pour aider à l'identification.

2. Séparation des portefeuilles d'actifs et des portefeuilles d'interaction : stocker de gros montants d'actifs dans un portefeuille froid, le portefeuille d'interaction quotidien ne conservant qu'un petit montant de fonds.

3. Limiter le montant d'autorisation ou annuler l'autorisation : lors de l'échange sur Uniswap, n'autorisez que le montant nécessaire ou utilisez un plugin de sécurité pour annuler l'autorisation existante.

4. Identifier si le token prend en charge la fonction permit : faites attention aux tokens que vous détenez et vérifiez s'ils prennent en charge cette fonctionnalité, soyez particulièrement prudent lors du trading des tokens qui le prennent en charge.

5. Établir un plan de sauvetage des actifs : Si des jetons existent encore sur d'autres plateformes après le vol, il est nécessaire de formuler prudemment un plan de retrait et de transfert, en envisageant d'utiliser le transfert MEV ou de demander l'assistance d'une équipe de sécurité professionnelle.

Avec l'élargissement du champ d'application de Permit2, les méthodes de phishing basées sur celui-ci pourraient devenir de plus en plus nombreuses. Cette méthode de phishing par signature est extrêmement discrète et difficile à prévenir, et le nombre d'adresses exposées aux risques continuera d'augmenter. J'espère que cet article pourra aider davantage de personnes à comprendre et à se protéger contre ce nouveau eyewash, afin de protéger leurs actifs numériques.