Révéler l'eyewash de phishing de signature Permit2 d'Uniswap : une seule signature peut entraîner le vol d'actifs

Les hackers sont une présence redoutable dans l'écosystème Web3. Pour les équipes de projet, le code source ouvert signifie que des hackers du monde entier peuvent chercher des vulnérabilités, et une seule ligne de code mal écrite peut entraîner de graves conséquences. Pour les utilisateurs ordinaires, chaque interaction ou signature sur la chaîne peut exposer leurs actifs à des risques. Ainsi, les problèmes de sécurité ont toujours été l'un des points sensibles du monde de la cryptographie, et la nature irréversible de la blockchain rend également difficile la récupération des actifs volés, ce qui souligne encore plus l'importance des connaissances en matière de sécurité.

Récemment, un chercheur a découvert une nouvelle méthode de phishing qui pourrait entraîner le vol d'actifs simplement en signant. Cette méthode est extrêmement discrète et difficile à prévenir, et toutes les adresses ayant interagi avec Uniswap pourraient être à risque. Cet article expliquera en détail cette méthode de phishing par signature, afin d'aider les lecteurs à éviter de perdre davantage d'actifs.

déroulement de l'événement

L'affaire a commencé lorsqu'un ami, (, a vu ses actifs volés. Contrairement aux méthodes de vol courantes, Xiao A n'a pas divulgué sa clé privée et n'a pas interagi avec de contrats suspects. Une enquête plus approfondie a révélé que les USDT volés avaient été transférés via la fonction Transfer From, ce qui signifie qu'un tiers a effectué le transfert des actifs, et non une fuite de la clé privée du portefeuille.

Détails de la transaction :

• Une adresse )fd51( a transféré les actifs de petit A à une autre adresse )a0c8(
• Cette opération interagit avec le contrat Permit2 d'Uniswap.

La question clé est : comment l'adresse fd51 a-t-elle obtenu les droits sur les actifs de Xiao A ? Pourquoi est-ce lié à Uniswap ?

En continuant à explorer les enregistrements d'interaction de l'adresse fd51, nous avons découvert qu'avant de transférer les actifs de Xiao A, cette adresse a également effectué une opération de Permit, et les deux opérations ont interagi avec le contrat Permit2 d'Uniswap.

![Signature volée ? Dévoilement du piège de phishing Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-0cc586809f131d9dfab81df33fd1835e.webp(

Uniswap Permit2 est un nouveau contrat lancé à la fin de 2022, visant à réaliser une gestion unifiée des autorisations inter-applications, à améliorer l'expérience utilisateur et à réduire les coûts de transaction. Son fonctionnement est le suivant : l'utilisateur n'a besoin d'autoriser que le contrat Permit2, toutes les applications intégrant Permit2 peuvent partager ce quota d'autorisation.

Bien que ce design améliore la commodité, il entraîne également des risques. Dans les méthodes d'interaction traditionnelles, l'autorisation et le transfert de fonds nécessitent des opérations sur la chaîne. Permit2 transforme les opérations des utilisateurs en signatures hors chaîne, et les opérations sur la chaîne sont effectuées par un acteur intermédiaire. Bien que cela apporte de nombreux avantages, cela fait également des signatures hors chaîne le point de vulnérabilité de sécurité le plus facilement négligé.

Les enquêtes montrent que pour déclencher cette vulnérabilité, il est essentiel que le portefeuille ait été autorisé au contrat Permit2 d'Uniswap. Il est à noter que toute interaction avec Uniswap et autorisation à Permit2 après 2023 pourrait exposer à ce risque.

Ce qui est encore plus préoccupant, c'est que le contrat Permit2 d'Uniswap demande par défaut un montant d'autorisation illimité. Bien que MetaMask permette de personnaliser le montant, la plupart des utilisateurs pourraient simplement choisir la valeur maximale ou par défaut.

![Signature volée ? Dévoilement du piège à phishing de la signature Uniswap Permit2])https://img-cdn.gateio.im/webp-social/moments-bb348691082594ecc577f91d7f9dc800.webp(

) analyse technique

La logique centrale de la fonction Permit est :

1. Vérifiez si la signature est dans la période de validité.
2. Vérifier l'authenticité de la signature
3. Si la vérification est réussie, mettez à jour l'enregistrement d'autorisation.

La fonction verify va extraire les données v, r, s des informations de signature, afin de récupérer l'adresse de signature et de la comparer à l'adresse du propriétaire du jeton. Si cela correspond, la fonction _updateApproval sera exécutée.

La fonction _updateApproval mettra à jour la valeur d'autorisation, permettant un transfert de droits. Par la suite, la partie autorisée pourra appeler la fonction transferFrom pour transférer des jetons.

![La signature est volée ? Découvrez le plan de phishing de la signature Uniswap Permit2]###https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(

) Comment se protéger

1. Apprenez à reconnaître et à comprendre le contenu des signatures, en particulier le format de signature Permit. L'utilisation d'un plugin de sécurité peut aider à l'identification.

2. Adopter une stratégie de séparation des portefeuilles chauds et froids, en plaçant les actifs importants dans un portefeuille froid.

3. Autoriser prudemment le contrat Permit2, en n'autorisant que le montant nécessaire. Si déjà autorisé, vous pouvez annuler avec le plugin de sécurité.

4. Vérifiez si les tokens détenus prennent en charge la fonction permit, et soyez particulièrement prudent lors des transactions avec les tokens pris en charge.

5. En cas de malheur, si vous avez été victime d'un eyewash mais que vous avez encore des actifs sur d'autres plateformes, il est nécessaire d'élaborer un plan de transfert d'actifs complet, et vous pouvez envisager d'utiliser le transfert MEV ou de demander l'aide d'une équipe de sécurité professionnelle.

Avec l'expansion de l'application Permit2, les attaques de phishing basées sur ce dernier pourraient devenir plus fréquentes. Ce type de phishing par signature est extrêmement furtif et difficile à prévenir, ce qui expose de plus en plus d'adresses au risque. J'espère que les lecteurs pourront rester vigilants et partager ces informations avec davantage de personnes pour préserver la sécurité des actifs.

![Signature volée ? Découvrez le phishing par signature du Permis2 d'Uniswap]###https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(