Uniswap Permit2 İmza Balonunu Ortaya Çıkarma

Hackerlar, Web3 ekosisteminde korkutucu bir varlık. Proje sahipleri için, kodun açık kaynak olması, geliştirirken dikkatli olmalarını gerektiriyor; güvenlik kazalarına yol açacak açıklar bırakmaktan korkuyorlar. Bireysel kullanıcılar için, her zincir üzerindeki etkileşim veya imza, varlıklarının çalınma riski ile karşı karşıya kalabileceği anlamına geliyor. Bu nedenle güvenlik sorunları, kripto dünyasının en can alıcı noktalarından biri olmuştur. Blok zincirinin geri alınamaz özelliği, çalınan varlıkların neredeyse geri alınamayacağı anlamına geliyor; bu da güvenlik bilgisinin önemini daha da vurguluyor.

Son günlerde, bir blockchain güvenlik araştırmacısı, yalnızca bir imza ile varlıkların çalınmasına neden olabilecek yeni bir phishing tekniği keşfetti. Bu teknik son derece gizli ve önlenmesi zor, ayrıca daha önce Uniswap kullanmış adresler risk altında olabilir. Bu makalede, bu imza phishing tekniği ayrıntılı olarak incelenecek, böylece herkesin daha fazla varlık kaybından kaçınmasına yardımcı olunacaktır.

Olayın Gelişimi

Son günlerde, bir kullanıcı ( olan küçük A'nın ) cüzdan varlıkları çalındıktan sonra yardım arayışına girdi. Yaygın hırsızlık yöntemlerinden farklı olarak, küçük A özel anahtarını ifşa etmedi ve şüpheli bir sözleşmeyle etkileşime girmedi. Yapılan araştırmalar sonucunda, küçük A'nın USDT'sinin Transfer From fonksiyonu aracılığıyla transfer edildiği tespit edildi, bu da varlıkların özel anahtarın ifşası yerine üçüncü taraf bir adres tarafından transfer edildiği anlamına geliyor.

İleri düzeyde işlem detaylarını sorguladım, önemli ipuçları buldum:

• Sonu fd51 olan adres, küçük A'nın varlıklarını sonu a0c8 olan adrese transfer etti.
• Bu işlem Uniswap'ın Permit2 sözleşmesiyle etkileşimde bulunuyor.

Sorun şu ki, fd51 sonlu adres, küçük A varlığının işlem yetkisini nasıl elde etti? Neden Uniswap ile ilgili?

Cevap fd51 son haneli adresin etkileşim kayıtlarında. Küçük A'nın varlıklarını transfer etmeden önce, bu adres ayrıca Uniswap'ın Permit2 sözleşmesi ile bir Permit işlemi gerçekleştirdi.

Uniswap Permit2, 2022'nin sonlarında piyasaya sürülen yeni bir sözleşmedir ve uygulamalar arası yetkilendirme yönetimini birleştirerek kullanıcı deneyimini artırmayı ve işlem maliyetlerini düşürmeyi amaçlamaktadır. Temelinde kullanıcı işlemlerini zincir üzerindeki etkileşimlerden zincir dışı imzalara dönüştürmek yatar ve aracı rolü ( gibi Permit2 sözleşmesi ) ile zincir üzerindeki işlemleri tamamlar.

Bu çözüm kullanıcı etkileşim maliyetlerini azaltabilir, ancak yeni riskler de getirmektedir. Zincir dışı imza, kullanıcıların en kolay göz ardı ettiği aşamadır; birçok kişi imza içeriğini dikkatlice kontrol etmeyecektir.

Bu oltalama yöntemini yeniden oluşturmanın ana koşulu, oltalanan cüzdanın Uniswap'ın Permit2 sözleşmesine Token yetkisi vermesidir. Şu anda, Permit2'yi entegre eden Dapp veya Uniswap üzerinde Swap işlemi gerçekleştirirken, bu tür bir yetkilendirme gerekmektedir.

Dikkate değer bir diğer husus, Uniswap'ın Permit2 sözleşmesinin kullanıcıların bu Token'ın tüm bakiyesini yetkilendirmesine izin vermesidir. Cüzdan, özelleştirilmiş bir miktar girmeyi önerse de, çoğu kişi doğrudan maksimum veya varsayılan değeri seçebilir ve Permit2'nin varsayılan değeri sınırsızdır.

Bu, 2023'ten sonra Uniswap ile etkileşimde bulunduysanız ve Permit2 sözleşmesine yetki verdiyseniz, bu oltalama eyewash'ının riski altında olabileceğiniz anlamına geliyor.

Korsanlar, Permit fonksiyonunu kullanarak kullanıcıların imzaları aracılığıyla kullanıcıların Permit2 sözleşmesine verilen Token limitlerini başka adreslere aktarır. İmza alındıktan sonra, korsan kullanıcı cüzdanındaki Token izinlerini kontrol edebilir ve varlıkları transfer edebilir.

Nasıl Önlem Alınır?

Uniswap Permit2 sözleşmesinin daha yaygın hale geleceği ve daha fazla projenin yetkilendirme paylaşımı için onu entegre edebileceği göz önüne alındığında, işte bazı etkili önlemler:

1. İmza içeriğini anlama ve tanıma: Permit imza formatını tanımayı öğrenin, tanımayı desteklemek için güvenli eklentiler kullanın.

2. Varlık cüzdanı ile etkileşim cüzdanı ayrılması: Büyük miktarda varlık soğuk cüzdanda tutulmalı, günlük etkileşim cüzdanında yalnızca az miktarda para bulundurulmalıdır.

3. Yetki limitini kısıtlama veya yetkiyi iptal etme: Uniswap'ta Swap yaparken yalnızca gerekli miktarı yetkilendirin veya mevcut yetkiyi iptal etmek için güvenli eklentiyi kullanın.

4. Tokenlerin permit işlevini destekleyip desteklemediğini tanıyın: Sahip olduğunuz tokenlerin bu işlevi destekleyip desteklemediğine dikkat edin, destekleyen tokenlerle yapılan işlemlerde özellikle dikkatli olun.

5. Tamamlayıcı bir varlık kurtarma planı oluşturun: Eğer çalındıktan sonra diğer platformlarda hala token varsa, dikkatli bir şekilde çekim ve transfer planı oluşturmalısınız, MEV transferi kullanmayı veya profesyonel güvenlik ekiplerinden yardım almayı düşünebilirsiniz.

Permit2 uygulamasının kapsamı genişledikçe, ona dayalı oltalama yöntemleri de artabilir. Bu imza oltalama yöntemi son derece gizli ve önlenmesi zor olup, risk altında olan adreslerin sayısı da sürekli artacaktır. Umarım bu makale, daha fazla kişinin bu yeni tür eyewash'ı anlamasına ve önlemesine yardımcı olur, dijital varlıklarını koruyabilir.