籤名釣魚新騙局揭祕：Uniswap Permit2合約成爲黑客天堂

Web3生態中，安全問題一直是最令人頭疼的。近期，一種利用Uniswap Permit2合約的新型釣魚手法開始活躍，其隱蔽性和危險性令人警惕。本文將詳細剖析這一騙局的原理和防範措施。

事件經過

最近有用戶反映資產被盜，但並未泄露私鑰或與可疑合約交互。調查發現，被盜資產是通過Transfer From函數轉移的，且操作與Uniswap的Permit2合約有關。

Uniswap Permit2合約解析

Permit2是Uniswap在2022年底推出的新合約，旨在提供更統一、高效和安全的代幣授權管理體驗。它允許用戶只需對Permit2合約進行一次授權，即可在多個集成該合約的應用中共享授權額度，從而大幅降低用戶交互成本。

然而，這種便利也帶來了潛在風險。Permit2將用戶操作從鏈上交互轉變爲鏈下籤名，而籤名環節往往是用戶最容易疏忽的地方。

釣魚手法詳解

黑客利用Permit2合約的Permit函數進行釣魚。該函數允許用戶通過籤名授權他人使用自己的代幣。攻擊者誘導用戶簽署看似無害的消息，實際上是在授權攻擊者操作用戶的資產。

一旦獲得籤名，攻擊者就可以調用Permit2合約的相關函數，將用戶授權給Permit2的代幣額度轉移給自己，進而盜走用戶資產。

防範措施

1. 學會識別Permit籤名格式，包括Owner、Spender、value、nonce和deadline等關鍵信息。

2. 使用冷熱錢包分離策略，將大額資產存放在冷錢包中，降低被盜風險。

3. 授權Permit2合約時，只授權所需交易金額，避免授權過多額度。

4. 了解所持代幣是否支持Permit功能，對支持該功能的代幣交易保持警惕。

5. 若不幸被盜，需制定完善的資產救援計劃，可考慮使用MEV轉移或尋求專業安全團隊協助。

隨着Permit2應用範圍的擴大，基於此的釣魚攻擊可能會越來越多。用戶應提高警惕，仔細檢查每一個籤名請求，保護自身資產安全。