# Uniswap Permit2 Signature フィッシング詐欺の謎を解くハッカーはWeb3エコシステムにおいて恐れられる存在です。プロジェクト側にとって、コードのオープンソースは、彼らが開発する際に非常に気を使うことを意味し、脆弱性を残して安全事故を引き起こすことを恐れています。個人ユーザーにとっては、チェーン上のインタラクションや署名のたびに資産が盗まれるリスクにさらされる可能性があります。そのため、安全性の問題は暗号の世界における痛点の一つです。ブロックチェーンの不可逆的な特性は、盗まれた資産がほとんど回収できないことを意味し、これによって安全知識の重要性が一層際立っています。最近、あるブロックチェーンセキュリティ研究者が新たなフィッシング手法を発見しました。これは一度の署名で資産が盗まれる可能性があります。この手法は非常に巧妙で防御が難しく、Uniswapを使用したことのあるアドレスはすべてリスクにさらされる可能性があります。本記事では、この署名フィッシング手法を詳しく解析し、さらなる資産損失を防ぐ手助けをします。## 何が起こったのか最近、ユーザー(小A)のウォレット資産が盗まれ、支援を求めました。一般的な盗難方法とは異なり、小Aは秘密鍵を漏らしておらず、疑わしい契約とも相互作用していませんでした。調査の結果、小AのUSDTはTransfer From関数を通じて移動されており、これは第三者のアドレスが資産を操作して移転したことを意味します。さらに取引の詳細を調査し、重要な手がかりを発見しました:- 尾号fd51のアドレスは小Aの資産を尾号a0c8のアドレスに移転しました- この操作はUniswapのPermit2コントラクトとインタラクションしています問題は、末尾がfd51のアドレスがどのように小A資産の操作権限を得たのか?なぜUniswapが関与しているのか?答えは尾号fd51のアドレスのインタラクション記録にあります。小Aの資産を移転する前に、そのアドレスはPermit操作を行い、インタラクション対象もUniswapのPermit2契約でした。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0cc586809f131d9dfab81df33fd1835e)Uniswap Permit2は2022年末に導入された新しいコントラクトで、アプリ間の統一された権限管理を実現し、ユーザー体験を向上させ、取引コストを削減することを目的としています。その核心は、ユーザーの操作をオンチェーンインタラクションからオフチェーン署名に変えることであり、中間的な役割を果たす(のようなPermit2コントラクト)がオンチェーン操作を完了します。この方案はユーザーのインタラクションコストを低減することができますが、新たなリスクももたらします。オフチェーン署名はユーザーが最も見落としやすい部分であり、多くの人は署名内容を注意深く確認しません。このフィッシング手法を再現するための重要な前提は、フィッシングされるウォレットがUniswapのPermit2契約にTokenの許可を与えている必要があることです。現在、Permit2を統合したDappまたはUniswapでSwapを行う際には、このような許可が必要です。さらに注目すべきは、UniswapのPermit2契約がデフォルトでユーザーにそのトークンの全残高を許可することです。ウォレットはカスタム入力金額を提示しますが、ほとんどの人は最大またはデフォルト値を直接選択する可能性が高く、Permit2のデフォルト値は無制限の額です。これは、2023年以降にUniswapとやり取りをし、Permit2契約に権限を与えた場合、このフィッシング目薬のリスクにさらされる可能性があることを意味します。ハッカーはPermit関数を利用して、ユーザーの署名を通じてユーザーがPermit2契約に対して許可したTokenの額を他のアドレスに転送します。署名を取得すると、ハッカーはユーザーのウォレット内のTokenの権限を操作し、資産を移転することができます。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-bb348691082594ecc577f91d7f9dc800)## どうやって防ぐか?Uniswap Permit2コントラクトがより普及する可能性があることを考慮すると、より多くのプロジェクトがそれを統合して権限共有を行う可能性があります。以下は、いくつかの有効な防止策です。1. 内容の署名を理解し識別する: Permit署名形式を識別する方法を学び、安全なプラグインを使用して識別を補助する。2. 資産ウォレットとインタラクションウォレットの分離: 大額の資産はコールドウォレットに保管し、日常のインタラクションウォレットには少量の資金のみを保持します。3. 認可限度の制限または認可のキャンセル: Uniswapでスワップする際に必要な金額のみを認可するか、安全プラグインを使用して既存の認可をキャンセルします。4. トークンがpermit機能をサポートしているかを確認する: 自分が保有しているトークンがこの機能をサポートしているかに注目し、サポートされているトークンの取引には特に注意が必要です。5. 完全な資産救済計画を策定する: 盗まれた後に他のプラットフォームにトークンが存在する場合、慎重に引き出しと移転の計画を策定する必要があります。MEV移転を使用するか、専門のセキュリティチームの支援を求めることを検討してください。Permit2の適用範囲が広がるにつれて、それに基づくフィッシング手法が増える可能性があります。この署名フィッシング方式は非常に巧妙で防ぐのが難しく、リスクにさらされるアドレスも増え続けるでしょう。本記事がより多くの人がこの新しい目薬を理解し、防ぐ手助けとなり、自身のデジタル資産を守ることができることを願っています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-30520c8399a6ee69aa22424476c5870c)
Uniswap Permit2署名フィッシング新目薬 あなたの資産はリスクにさらされている可能性があります
Uniswap Permit2 Signature フィッシング詐欺の謎を解く
ハッカーはWeb3エコシステムにおいて恐れられる存在です。プロジェクト側にとって、コードのオープンソースは、彼らが開発する際に非常に気を使うことを意味し、脆弱性を残して安全事故を引き起こすことを恐れています。個人ユーザーにとっては、チェーン上のインタラクションや署名のたびに資産が盗まれるリスクにさらされる可能性があります。そのため、安全性の問題は暗号の世界における痛点の一つです。ブロックチェーンの不可逆的な特性は、盗まれた資産がほとんど回収できないことを意味し、これによって安全知識の重要性が一層際立っています。
最近、あるブロックチェーンセキュリティ研究者が新たなフィッシング手法を発見しました。これは一度の署名で資産が盗まれる可能性があります。この手法は非常に巧妙で防御が難しく、Uniswapを使用したことのあるアドレスはすべてリスクにさらされる可能性があります。本記事では、この署名フィッシング手法を詳しく解析し、さらなる資産損失を防ぐ手助けをします。
何が起こったのか
最近、ユーザー(小A)のウォレット資産が盗まれ、支援を求めました。一般的な盗難方法とは異なり、小Aは秘密鍵を漏らしておらず、疑わしい契約とも相互作用していませんでした。調査の結果、小AのUSDTはTransfer From関数を通じて移動されており、これは第三者のアドレスが資産を操作して移転したことを意味します。
さらに取引の詳細を調査し、重要な手がかりを発見しました:
問題は、末尾がfd51のアドレスがどのように小A資産の操作権限を得たのか?なぜUniswapが関与しているのか?
答えは尾号fd51のアドレスのインタラクション記録にあります。小Aの資産を移転する前に、そのアドレスはPermit操作を行い、インタラクション対象もUniswapのPermit2契約でした。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Uniswap Permit2は2022年末に導入された新しいコントラクトで、アプリ間の統一された権限管理を実現し、ユーザー体験を向上させ、取引コストを削減することを目的としています。その核心は、ユーザーの操作をオンチェーンインタラクションからオフチェーン署名に変えることであり、中間的な役割を果たす(のようなPermit2コントラクト)がオンチェーン操作を完了します。
この方案はユーザーのインタラクションコストを低減することができますが、新たなリスクももたらします。オフチェーン署名はユーザーが最も見落としやすい部分であり、多くの人は署名内容を注意深く確認しません。
このフィッシング手法を再現するための重要な前提は、フィッシングされるウォレットがUniswapのPermit2契約にTokenの許可を与えている必要があることです。現在、Permit2を統合したDappまたはUniswapでSwapを行う際には、このような許可が必要です。
さらに注目すべきは、UniswapのPermit2契約がデフォルトでユーザーにそのトークンの全残高を許可することです。ウォレットはカスタム入力金額を提示しますが、ほとんどの人は最大またはデフォルト値を直接選択する可能性が高く、Permit2のデフォルト値は無制限の額です。
これは、2023年以降にUniswapとやり取りをし、Permit2契約に権限を与えた場合、このフィッシング目薬のリスクにさらされる可能性があることを意味します。
ハッカーはPermit関数を利用して、ユーザーの署名を通じてユーザーがPermit2契約に対して許可したTokenの額を他のアドレスに転送します。署名を取得すると、ハッカーはユーザーのウォレット内のTokenの権限を操作し、資産を移転することができます。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
どうやって防ぐか?
Uniswap Permit2コントラクトがより普及する可能性があることを考慮すると、より多くのプロジェクトがそれを統合して権限共有を行う可能性があります。以下は、いくつかの有効な防止策です。
内容の署名を理解し識別する: Permit署名形式を識別する方法を学び、安全なプラグインを使用して識別を補助する。
資産ウォレットとインタラクションウォレットの分離: 大額の資産はコールドウォレットに保管し、日常のインタラクションウォレットには少量の資金のみを保持します。
認可限度の制限または認可のキャンセル: Uniswapでスワップする際に必要な金額のみを認可するか、安全プラグインを使用して既存の認可をキャンセルします。
トークンがpermit機能をサポートしているかを確認する: 自分が保有しているトークンがこの機能をサポートしているかに注目し、サポートされているトークンの取引には特に注意が必要です。
完全な資産救済計画を策定する: 盗まれた後に他のプラットフォームにトークンが存在する場合、慎重に引き出しと移転の計画を策定する必要があります。MEV移転を使用するか、専門のセキュリティチームの支援を求めることを検討してください。
Permit2の適用範囲が広がるにつれて、それに基づくフィッシング手法が増える可能性があります。この署名フィッシング方式は非常に巧妙で防ぐのが難しく、リスクにさらされるアドレスも増え続けるでしょう。本記事がより多くの人がこの新しい目薬を理解し、防ぐ手助けとなり、自身のデジタル資産を守ることができることを願っています。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く