Mengungkap Penipuan Tanda Tangan Permit2 Uniswap

Hacker adalah keberadaan yang menakutkan di ekosistem Web3. Bagi pengembang proyek, kode sumber terbuka membuat mereka merasa seperti berjalan di atas es tipis saat mengembangkan, takut meninggalkan celah yang dapat menyebabkan kecelakaan keamanan. Bagi pengguna individu, setiap interaksi atau tanda tangan di blockchain dapat membuat aset mereka menghadapi risiko dicuri. Oleh karena itu, masalah keamanan selalu menjadi salah satu titik sakit di dunia kripto. Karakteristik blockchain yang tidak dapat diubah juga berarti bahwa aset yang dicuri hampir tidak dapat dipulihkan, yang lebih menekankan pentingnya pengetahuan keamanan.

Baru-baru ini, seorang peneliti keamanan blockchain menemukan metode phishing baru yang hanya memerlukan satu tanda tangan untuk dapat mengakibatkan pencurian aset. Metode ini sangat tersembunyi dan sulit untuk dicegah, dan alamat yang pernah menggunakan Uniswap mungkin terpapar pada risiko. Artikel ini akan menjelaskan secara rinci metode phishing tanda tangan ini, untuk membantu semua orang menghindari kerugian aset yang lebih banyak.

Jalannya Peristiwa

Baru-baru ini, seorang pengguna ( kecil A ) mencari bantuan setelah aset dompetnya dicuri. Berbeda dengan cara pencurian yang umum, kecil A tidak membocorkan kunci pribadi, dan juga tidak berinteraksi dengan kontrak yang mencurigakan. Setelah diselidiki, ditemukan bahwa USDT kecil A dipindahkan melalui fungsi Transfer From, yang berarti bahwa alamat pihak ketiga yang mengoperasikan pemindahan aset, bukan karena kebocoran kunci pribadi.

Melakukan pencarian lebih lanjut tentang rincian transaksi, menemukan petunjuk kunci:

• Alamat dengan akhiran fd51 telah memindahkan aset kecil A ke alamat dengan akhiran a0c8
• Operasi ini berinteraksi dengan kontrak Permit2 dari Uniswap

Masalahnya adalah, bagaimana alamat dengan akhiran fd51 mendapatkan izin untuk mengoperasikan aset kecil A? Mengapa itu melibatkan Uniswap?

Jawaban ada di catatan interaksi alamat dengan nomor akhir fd51. Sebelum mentransfer aset kecil A, alamat tersebut juga melakukan operasi Permit, dan objek interaksinya juga merupakan kontrak Permit2 dari Uniswap.

Uniswap Permit2 adalah kontrak baru yang diluncurkan pada akhir 2022, bertujuan untuk mewujudkan manajemen otorisasi yang terpadu antar aplikasi, meningkatkan pengalaman pengguna dan mengurangi biaya transaksi. Intinya adalah mengubah operasi pengguna dari interaksi di blockchain menjadi tanda tangan di luar blockchain, yang dilakukan oleh peran perantara ( seperti kontrak Permit2 ) untuk menyelesaikan operasi di blockchain.

Meskipun solusi ini dapat mengurangi biaya interaksi pengguna, tetapi juga membawa risiko baru. Tanda tangan off-chain adalah langkah yang paling mudah diabaikan oleh pengguna, banyak orang tidak akan memeriksa konten tanda tangan dengan cermat.

Prasyarat kunci untuk mereproduksi teknik phishing ini adalah: dompet yang dipancing perlu memberikan otorisasi Token kepada kontrak Permit2 Uniswap. Saat ini, selama melakukan Swap di Dapp yang terintegrasi dengan Permit2 atau di Uniswap, otorisasi semacam ini diperlukan.

Lebih penting lagi, kontrak Permit2 dari Uniswap secara default akan mengizinkan pengguna untuk memberikan wewenang atas seluruh saldo token tersebut. Meskipun dompet akan memberi tahu untuk memasukkan jumlah kustom, tetapi kebanyakan orang mungkin akan langsung memilih nilai maksimum atau default, dan nilai default dari Permit2 adalah batas tanpa batas.

Ini berarti, selama Anda telah berinteraksi dengan Uniswap setelah tahun 2023 dan memberikan otorisasi kepada kontrak Permit2, Anda mungkin terpapar pada risiko penipuan ini.

Peretas memanfaatkan fungsi Permit, dengan tanda tangan pengguna, untuk mentransfer kuota Token yang diberikan pengguna kepada kontrak Permit2 ke alamat lain. Setelah mendapatkan tanda tangan, peretas dapat mengendalikan izin Token dalam dompet pengguna dan mentransfer aset.

Bagaimana cara mencegah?

Mengingat bahwa kontrak Uniswap Permit2 mungkin akan semakin umum, lebih banyak proyek mungkin akan mengintegrasikannya untuk berbagi otorisasi, berikut adalah beberapa langkah pencegahan yang efektif:

1. Memahami dan mengenali isi tanda tangan: Pelajari cara mengenali format tanda tangan Permit, gunakan plugin keamanan untuk membantu identifikasi.

2. Memisahkan dompet aset dan dompet interaksi: Menyimpan aset besar di dompet dingin, sementara dompet interaksi sehari-hari hanya menyimpan sejumlah kecil dana.

3. Batasi jumlah otorisasi atau batalkan otorisasi: Saat Swap di Uniswap, hanya otorisasi jumlah yang diperlukan, atau gunakan plugin keamanan untuk membatalkan otorisasi yang sudah ada.

4. Kenali apakah token mendukung fungsi permit: Perhatikan apakah token yang Anda miliki mendukung fungsi ini, dan perlu lebih berhati-hati dalam perdagangan token yang mendukung.

5. Menyusun rencana penyelamatan aset yang lengkap: Jika setelah dicuri masih ada token yang ada di platform lain, perlu hati-hati dalam menyusun rencana penarikan dan pemindahan, dapat mempertimbangkan untuk menggunakan pemindahan MEV atau mencari bantuan dari tim keamanan profesional.

Seiring dengan meluasnya penggunaan Permit2, metode phishing yang berdasarkan padanya mungkin akan semakin banyak. Cara phishing dengan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah, alamat yang terpapar pada risiko juga akan terus meningkat. Semoga artikel ini dapat membantu lebih banyak orang memahami dan mencegah jenis eyewaash baru ini, serta melindungi aset digital mereka.