揭祕Uniswap Permit2籤名釣魚騙局

黑客一直是Web3生態中最令人恐懼的存在。對項目方而言,代碼開源的特性使他們在開發時如履薄冰,生怕留下安全漏洞。對個人用戶來說,每一次鏈上交互或籤名都可能導致資產被盜,若不了解操作含義更是危險。因此,安全問題一直是加密世界最棘手的問題之一。由於區塊鏈的不可逆性,被盜資產幾乎無法追回,這更突顯了安全知識的重要性。

近期,一種新型釣魚手法開始活躍,僅需籤名即可導致資產被盜。這種手法極其隱蔽且難以防範,並且曾與Uniswap交互過的地址都可能面臨風險。本文將詳細介紹這種籤名釣魚手法,以減少更多用戶的資產損失。

事件經過

最近,一位朋友(暫稱小A)的錢包資產被盜。與常見被盜方式不同,小A並未泄露私鑰,也未與可疑合約交互。通過區塊鏈瀏覽器可以看到,小A錢包中的USDT是通過Transfer From函數被轉移的。這意味着是第三方地址操作將Token轉走,而非錢包私鑰泄露。

交易細節顯示:

• 尾號fd51的地址將小A的資產轉移到尾號a0c8的地址
• 這個操作是與某交易平台的Permit2合約交互的

關鍵問題是:尾號fd51的地址如何獲得了這筆資產的權限?爲什麼會與某交易平台有關?

進一步調查發現,在轉移小A資產之前,尾號fd51的地址還進行了一個Permit操作,且這兩個操作的交互對象都是某交易平台的Permit2合約。

Permit2合約是某交易平台在2022年底推出的新智能合約。它允許代幣授權在不同應用程序間共享和管理,旨在創造更統一、更具成本效益、更安全的用戶體驗。隨着更多項目集成Permit2,它可能在所有應用中實現標準化Token審批,通過降低交易成本改善用戶體驗,同時提高智能合約安全性。

Permit2的出現可能改變Dapp生態的遊戲規則。傳統方式下,用戶每與一個Dapp交互都需要單獨授權。而Permit2可以省去這一步驟,有效降低用戶交互成本,帶來更好體驗。Permit2作爲用戶和Dapp間的中間人,用戶只需將Token權限授予Permit2合約,所有集成該合約的Dapp就可共享這個授權額度。

然而,Permit2也是把雙刃劍。它將用戶操作變爲鏈下籤名,所有鏈上操作由中間角色完成。這使得用戶即使錢包內無ETH也可使用其他Token支付Gas費或由中間角色報銷。但鏈下籤名也是用戶最容易疏忽的環節,大多數人不會仔細檢查籤名內容,這正是最危險之處。

釣魚手法重現

要觸發這種Permit2籤名釣魚,關鍵前提是被釣魚錢包需已將Token授權給某交易平台的Permit2合約。目前,只要在與Permit2集成的Dapp或某交易平台上進行Swap,都需要授權給Permit2合約。

更可怕的是,無論Swap金額多少,某交易平台的Permit2合約都會默認讓用戶授權該Token全部餘額。雖然錢包會提示自定義輸入金額,但多數人會直接選擇最大或默認值,而Permit2的默認值是無限額度。

這意味着,只要你在2023年後與某交易平台有過交互並授權給Permit2合約,就可能面臨這種釣魚風險。

核心在於Permit函數,它允許將授權給Permit2合約的Token額度轉移給其他地址。黑客只需獲得用戶籤名,就能獲取用戶錢包中Token的權限並轉移資產。

防範措施

1. 理解並識別籤名內容:學會識別Permit籤名格式,包含Owner、Spender、value、nonce和deadline等關鍵信息。使用安全插件有助於識別。

2. 分離資產存儲和交互錢包:將大量資產存放在冷錢包中,交互錢包僅保留少量資金,可大幅減少遇到釣魚時的損失。

3. 限制授權額度或取消授權:在某交易平台進行Swap時,只授權所需交互金額。雖然每次都需重新授權會增加成本,但可避免Permit2籤名釣魚風險。已授權用戶可通過安全插件取消授權。

4. 識別代幣是否支持permit功能:關注所持代幣是否支持該功能,對支持的代幣交易要格外謹慎,嚴格檢查每條未知籤名。

5. 制定完善的資產救援計劃:如果被騙後還有代幣存在其他平台,需要謹慎提取和轉移。黑客可能隨時監控你的地址餘額,一旦出現代幣就會轉移。考慮使用MEV轉移或尋求專業安全團隊協助。

隨着Permit2應用範圍擴大,基於它的釣魚可能會越來越多。這種籤名釣魚方式極其隱蔽且難以防範,暴露在風險中的地址也會越來越多。希望讀者能將這些信息傳播給更多人,避免更多人遭受損失。