Uniswap Permit2 İmza Dolandırıcılığını Ortaya Çıkarma: Sadece Bir İmza Varlıkların Çalınmasına Neden Olabilir

Hackerlar, Web3 ekosisteminde korkutucu bir varlık olarak kabul edilir. Proje sahipleri için, açık kaynak kodu, dünya genelindeki hackerların açıkları arayabileceği anlamına gelir; yanlış yazılan bir kod satırı ciddi sonuçlar doğurabilir. Sıradan kullanıcılar için ise, her zincir üzerindeki etkileşim veya imza, varlıkların risk altında olabileceği anlamına gelir. Bu nedenle, güvenlik sorunu kripto dünyasının en büyük sorunlarından biri olmuştur ve blok zincirinin geri alınamaz özelliği, çalınan varlıkların geri alınmasını zorlaştırır; bu da güvenlik bilgisi önemini daha da vurgular.

Son zamanlarda, bir araştırmacı imza gerektiren yeni bir oltalama tekniği keşfetti; bu, varlıkların çalınmasına yol açabilir. Bu teknik son derece gizli ve savunması zor, ayrıca Uniswap ile etkileşimde bulunmuş adresler risk altında olabilir. Bu makalede, okuyucuların daha fazla varlık kaybını önlemeleri için bu imza oltalama tekniği detaylı bir şekilde açıklanacaktır.

olayın gelişimi

Olay, bir arkadaşım ( küçük A)'nin varlıklarının çalınmasıyla başladı. Yaygın çalıntı yöntemlerinden farklı olarak, küçük A özel anahtarını sızdırmadı ve şüpheli sözleşmelerle etkileşimde de bulunmadı. Daha fazla araştırma yapıldığında, çalınan USDT'nin Transfer From fonksiyonu aracılığıyla aktarıldığı bulundu; bu, varlıkların üçüncü bir taraf tarafından aktarıldığı anlamına geliyor, cüzdanın özel anahtarının sızdırılması değil.

İşlem detayları gösteriyor:

• Bir adres (fd51), küçük A'nın varlıklarını başka bir adrese (a0c8) aktarır.
• Bu işlem Uniswap'ın Permit2 sözleşmesi ile etkileşimde bulunuyor.

Ana soru: fd51 adresi nasıl oldu da küçük A varlıklarının yetkisini aldı? Neden Uniswap ile ilgili?

fd51 adresinin etkileşim kayıtlarını kazmaya devam ettik, küçük A'nın varlıklarını transfer etmeden önce bu adresin bir Permit işlemi gerçekleştirdiğini ve her iki işlemin de Uniswap'ın Permit2 sözleşmesiyle etkileşimde bulunduğunu keşfettik.

Uniswap Permit2, kullanıcı deneyimini artırmak ve işlem maliyetlerini düşürmek amacıyla 2022'nin sonunda piyasaya sürülen yeni bir sözleşmedir. Çalışma şekli şudur: Kullanıcılar sadece Permit2 sözleşmesine yetki vermek zorundadır, Permit2'yi entegre eden tüm uygulamalar bu yetki limitini paylaşabilir.

Bu tasarım, kolaylığı artırmasına rağmen riskler de getirmektedir. Geleneksel etkileşim yöntemlerinde, yetkilendirme ve fon transferi zincir üzerinde işlem gerektirir. Ancak Permit2, kullanıcı işlemlerini zincir dışı imzaya dönüştürür ve zincir üzerindeki işlemler aracılar tarafından gerçekleştirilir. Bu birçok fayda sağlasa da, zincir dışı imzayı en kolay göz ardı edilebilecek bir güvenlik açığı haline getirmiştir.

Araştırmalar, bu açığı tetiklemek için ana ön koşulun cüzdanın Uniswap'ın Permit2 sözleşmesine izin vermiş olması gerektiğini göstermektedir. Dikkat çekici olan, 2023'ten sonra Uniswap ile etkileşimde bulunup Permit2'ye izin vermek, bu riske maruz kalma olasılığını artırmaktadır.

Daha endişe verici olanı, Uniswap'ın Permit2 sözleşmesinin varsayılan olarak sonsuz yetki limitleri talep etmesidir. MetaMask özelleştirilmiş miktarlara izin verse de, çoğu kullanıcı muhtemelen doğrudan maksimum veya varsayılan değeri seçecektir.

teknik analiz

Permit fonksiyonunun temel mantığı şudur:

1. İmzanın geçerlilik süresinin içinde olup olmadığını kontrol edin.
2. İmza doğruluğunu doğrulama
3. Eğer doğrulanırsa, yetkilendirme kayıtlarını güncelleyin.

verify fonksiyonu imza bilgilerinden v, r, s verilerini çıkarır, imza adresini geri almak ve token sahibinin adresi ile karşılaştırmak için kullanır. Eşleşirse, _updateApproval fonksiyonu devam eder.

_updateApproval fonksiyonu yetki değerini güncelleyerek izin devrini gerçekleştirir. Ardından, yetkilendirilmiş taraf transferFrom fonksiyonunu çağırarak tokenleri transfer edebilir.

nasıl önlenir

1. İmza içeriğini tanımayı ve anlamayı öğrenin, özellikle Permit imza formatını. Güvenli eklentiler tanımlamaya yardımcı olabilir.

2. Soğuk cüzdanında büyük miktardaki varlıkları saklamak için sıcak ve soğuk cüzdan ayrımı stratejisi kullanın.

3. Permit2 sözleşmesine dikkatli bir şekilde yetki verin, yalnızca gereken miktarı yetkilendirin. Eğer zaten yetki verdiyse, güvenli eklentiyi kullanarak iptal edebilirsiniz.

4. Sahip olduğunuz tokenlerin permit fonksiyonunu destekleyip desteklemediğini anlayın, destekleyen tokenlerle yapılan işlemlerde ekstra dikkatli olun.

5. Eğer şanssız bir şekilde eyewash yapılmışsa ama hala diğer platformlarda varlık varsa, kapsamlı bir varlık transfer planı oluşturulmalı, MEV transferi kullanmayı veya profesyonel bir güvenlik ekibinden yardım almayı düşünebilirsiniz.

Permit2 uygulamasının kapsamı genişledikçe, buna dayalı olarak yapılan dolandırıcılık saldırılarının daha yaygın hale gelmesi muhtemeldir. Bu tür imza dolandırıcılığı son derece gizli ve önlenmesi zor olup, riske maruz kalan adreslerin sayısı da giderek artacaktır. Okuyucuların dikkatli olmalarını ve bu bilgileri daha fazla kişiyle paylaşmalarını umuyoruz, böylece varlık güvenliğini birlikte koruyabiliriz.