# Uniswap Permit2署名フィッシング目薬: 1つの署名で資産が盗まれる可能性がありますハッカーはWeb3エコシステムにおいて恐ろしい存在です。プロジェクトにとって、オープンソースコードは世界中のハッカーが脆弱性を探している可能性があることを意味し、1行のコードの間違いが深刻な結果を引き起こす可能性があります。一般ユーザーにとって、チェーン上でのインタラクションや署名のたびに資産がリスクにさらされる可能性があります。そのため、安全性の問題は暗号世界の痛点の一つであり、ブロックチェーンの不可逆的な特性は盗まれた資産を取り戻すことを難しくし、安全知識の重要性をさらに際立たせています。最近、研究者は署名だけで資産が盗まれる可能性のある新しいフィッシング手法を発見しました。この手法は非常に巧妙で防ぎにくく、Uniswapと相互作用したアドレスはすべてリスクにさらされる可能性があります。この記事では、この署名フィッシング手法について詳しく説明し、読者がさらなる資産の損失を避けられるようにします。###イベント事の発端は、友人(の小A)の資産が盗まれたことにあります。一般的な盗難方法とは異なり、小Aは秘密鍵を漏らしておらず、疑わしい契約とやり取りも行っていませんでした。さらに調査したところ、盗まれたUSDTはTransfer From関数を通じて移動されたことが判明しました。これは、資産が第三者によって移動されたことを意味し、ウォレットの秘密鍵が漏洩したわけではありません。取引の詳細が表示されています:- アドレス(fd51)が小Aの資産を別のアドレス(a0c8)に移動します。- この操作は、UniswapのPermit2コントラクトと相互作用します重要な問題は:fd51アドレスはどのように小Aの資産の権限を取得したのか?なぜUniswapと関係があるのか?fd51アドレスのインタラクション記録を掘り続けると、小Aの資産を移転する前にそのアドレスがPermit操作を行っていたことが発見され、両方の操作がUniswapのPermit2契約とインタラクションしていた。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0cc586809f131d9dfab81df33fd1835e)Uniswap Permit2は2022年末に導入された新しい契約で、アプリケーション間の統一された権限管理を実現し、ユーザーエクスペリエンスを向上させ、取引コストを削減することを目的としています。その仕組みは、ユーザーがPermit2契約に権限を与えるだけで、Permit2を統合したすべてのアプリケーションがこの権限の限度を共有できるというものです。このデザインは便利さを向上させましたが、リスクも伴います。従来のインタラクション方式では、権限付与と資金移動はすべてオンチェーン操作を必要とします。しかし、Permit2はユーザー操作をオフチェーン署名に変え、オンチェーン操作は仲介役によって行われます。これは多くの利点をもたらしますが、オフチェーン署名が最も見落とされやすいセキュリティリスクとなる要因にもなります。調査によると、この脆弱性を引き起こすための重要な前提条件は、ウォレットがUniswapのPermit2契約に対して既に承認されている必要があるということです。注意すべきは、2023年以降にUniswapと相互作用し、Permit2に承認を与えた場合、このリスクに直面する可能性があるということです。さらに懸念すべきは、UniswapのPermit2コントラクトがデフォルトで無制限の権限を要求することです。MetaMaskはカスタム金額を許可していますが、多くのユーザーは最大またはデフォルトの値を選択する可能性があります。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-bb348691082594ecc577f91d7f9dc800)### テクニカル分析Permit関数のコアロジックは:1. サインが有効期限内かどうかを確認する2. 署名の真偽を確認する3. 検証を通過した場合、権限記録を更新しますverify関数は、署名情報からv、r、sデータを抽出し、署名アドレスを復元してトークン所有者のアドレスと照合します。一致する場合は、_updateApproval関数を続行します。_updateApproval 関数は、権限の転送を実装するために認証値を更新します。 その後、許可された当事者はtransferFrom関数を呼び出してトークンを転送できます。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-30520c8399a6ee69aa22424476c5870c)### どのように防ぐか1. サイン内容を識別し理解することを学び、特にPermitサイン形式に注意してください。セキュリティプラグインを使用すると、識別に役立ちます。2. ホットウォレットとコールドウォレットを分離する戦略を採用し、大口資産をコールドウォレットに保管します。3. 注意してPermit2契約を承認し、必要な金額のみを承認してください。すでに承認済みの場合は、安全プラグインを使用してキャンセルできます。4. 所持しているトークンがpermit機能をサポートしているかを確認し、サポートされているトークンの取引には特に注意が必要です。5. 不幸にも目薬にあった場合でも、他のプラットフォームに資産が残っている場合は、資産移転計画を策定する必要があります。MEV移転を使用するか、専門のセキュリティチームの支援を求めることを検討してください。Permit2の適用範囲が広がるにつれて、これに基づくフィッシング攻撃がより一般的になる可能性があります。この署名フィッシング方式は非常に巧妙で、防ぐのが難しく、リスクにさらされるアドレスも増えるでしょう。読者が警戒を高め、これらの情報をより多くの人と共有し、資産の安全を共に守ることを願っています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-730db044a34a8dc242f04cf8ae4d394c)
Uniswap Permit2 シグネチャーフィッシング手法:1回の認証で資産が全損する可能性があります
Uniswap Permit2署名フィッシング目薬: 1つの署名で資産が盗まれる可能性があります
ハッカーはWeb3エコシステムにおいて恐ろしい存在です。プロジェクトにとって、オープンソースコードは世界中のハッカーが脆弱性を探している可能性があることを意味し、1行のコードの間違いが深刻な結果を引き起こす可能性があります。一般ユーザーにとって、チェーン上でのインタラクションや署名のたびに資産がリスクにさらされる可能性があります。そのため、安全性の問題は暗号世界の痛点の一つであり、ブロックチェーンの不可逆的な特性は盗まれた資産を取り戻すことを難しくし、安全知識の重要性をさらに際立たせています。
最近、研究者は署名だけで資産が盗まれる可能性のある新しいフィッシング手法を発見しました。この手法は非常に巧妙で防ぎにくく、Uniswapと相互作用したアドレスはすべてリスクにさらされる可能性があります。この記事では、この署名フィッシング手法について詳しく説明し、読者がさらなる資産の損失を避けられるようにします。
###イベント
事の発端は、友人(の小A)の資産が盗まれたことにあります。一般的な盗難方法とは異なり、小Aは秘密鍵を漏らしておらず、疑わしい契約とやり取りも行っていませんでした。さらに調査したところ、盗まれたUSDTはTransfer From関数を通じて移動されたことが判明しました。これは、資産が第三者によって移動されたことを意味し、ウォレットの秘密鍵が漏洩したわけではありません。
取引の詳細が表示されています:
重要な問題は:fd51アドレスはどのように小Aの資産の権限を取得したのか?なぜUniswapと関係があるのか?
fd51アドレスのインタラクション記録を掘り続けると、小Aの資産を移転する前にそのアドレスがPermit操作を行っていたことが発見され、両方の操作がUniswapのPermit2契約とインタラクションしていた。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Uniswap Permit2は2022年末に導入された新しい契約で、アプリケーション間の統一された権限管理を実現し、ユーザーエクスペリエンスを向上させ、取引コストを削減することを目的としています。その仕組みは、ユーザーがPermit2契約に権限を与えるだけで、Permit2を統合したすべてのアプリケーションがこの権限の限度を共有できるというものです。
このデザインは便利さを向上させましたが、リスクも伴います。従来のインタラクション方式では、権限付与と資金移動はすべてオンチェーン操作を必要とします。しかし、Permit2はユーザー操作をオフチェーン署名に変え、オンチェーン操作は仲介役によって行われます。これは多くの利点をもたらしますが、オフチェーン署名が最も見落とされやすいセキュリティリスクとなる要因にもなります。
調査によると、この脆弱性を引き起こすための重要な前提条件は、ウォレットがUniswapのPermit2契約に対して既に承認されている必要があるということです。注意すべきは、2023年以降にUniswapと相互作用し、Permit2に承認を与えた場合、このリスクに直面する可能性があるということです。
さらに懸念すべきは、UniswapのPermit2コントラクトがデフォルトで無制限の権限を要求することです。MetaMaskはカスタム金額を許可していますが、多くのユーザーは最大またはデフォルトの値を選択する可能性があります。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
テクニカル分析
Permit関数のコアロジックは:
verify関数は、署名情報からv、r、sデータを抽出し、署名アドレスを復元してトークン所有者のアドレスと照合します。一致する場合は、_updateApproval関数を続行します。
_updateApproval 関数は、権限の転送を実装するために認証値を更新します。 その後、許可された当事者はtransferFrom関数を呼び出してトークンを転送できます。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
どのように防ぐか
サイン内容を識別し理解することを学び、特にPermitサイン形式に注意してください。セキュリティプラグインを使用すると、識別に役立ちます。
ホットウォレットとコールドウォレットを分離する戦略を採用し、大口資産をコールドウォレットに保管します。
注意してPermit2契約を承認し、必要な金額のみを承認してください。すでに承認済みの場合は、安全プラグインを使用してキャンセルできます。
所持しているトークンがpermit機能をサポートしているかを確認し、サポートされているトークンの取引には特に注意が必要です。
不幸にも目薬にあった場合でも、他のプラットフォームに資産が残っている場合は、資産移転計画を策定する必要があります。MEV移転を使用するか、専門のセキュリティチームの支援を求めることを検討してください。
Permit2の適用範囲が広がるにつれて、これに基づくフィッシング攻撃がより一般的になる可能性があります。この署名フィッシング方式は非常に巧妙で、防ぐのが難しく、リスクにさらされるアドレスも増えるでしょう。読者が警戒を高め、これらの情報をより多くの人と共有し、資産の安全を共に守ることを願っています。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く