揭祕Uniswap Permit2籤名釣魚騙局

黑客是Web3生態中令人恐懼的存在。對項目方而言,代碼開源特性使他們戰戰兢兢,生怕出現漏洞導致安全事故。對個人來說,不了解操作含義可能導致每次鏈上交互或籤名都有資產被盜風險。安全問題一直是加密世界的痛點之一,且區塊鏈特性導致資產被盜幾乎無法追回,因此具備安全知識尤爲重要。

近期,一種新型釣魚手法開始活躍,僅需籤名即可導致資產被盜,手法隱蔽難防。使用過某DEX交互的地址都可能面臨風險。本文將對這種籤名釣魚手法進行剖析,以避免更多資產損失。

事件經過

一位朋友(小A)錢包資產被盜後尋求幫助。與常見被盜方式不同,小A並未泄露私鑰也未與釣魚網站合約交互。

調查發現,小A的USDT是通過Transfer From函數轉移的。這意味着另一個地址操作轉移了Token,而非錢包私鑰泄露。

交易細節顯示:

• 尾號fd51地址將小A資產轉移至尾號a0c8地址
• 操作與某DEX的Permit2合約交互

關鍵問題是:fd51地址如何獲得資產權限?爲何與某DEX有關?

進一步調查發現,fd51地址在轉移資產前進行了Permit操作,兩個操作都與某DEX的Permit2合約交互。

Permit2是某DEX在2022年底推出的新合約,允許跨應用共享和管理代幣授權,旨在提供更統一、低成本、安全的用戶體驗。

Permit2作爲用戶與DApp間的中間人,用戶只需授權給Permit2合約,所有集成Permit2的DApp可共享授權額度。這降低了交互成本,提升用戶體驗,但也可能成爲雙刃劍。

Permit2將用戶操作變爲鏈下籤名,鏈上操作由中間角色完成。這使無ETH用戶也可使用其他Token支付Gas或完全免Gas。

然而,鏈下籤名是用戶最易疏忽的環節。許多人不會仔細檢查或理解籤名內容,這正是最危險之處。

要觸發這個釣魚手法,關鍵前提是錢包需授權Token給Permit2合約。目前只要在集成Permit2的DApp或某DEX上Swap,都需要此授權。

更可怕的是,不論Swap金額多少,某DEX的Permit2合約默認請求全部餘額授權。雖然錢包會提示自定義輸入金額,但多數人可能直接選擇最大或默認值,而Permit2默認值是無限額度。

這意味着,2023年後與某DEX交互並授權Permit2合約的用戶都可能面臨風險。

黑客利用Permit函數,通過受害者籤名將授權給Permit2合約的Token額度轉移。只要獲得籤名,黑客就能轉移受害者資產。

如何防範?

1. 理解並識別籤名內容: 學會識別Permit籤名格式,包含Owner、Spender、value、nonce和deadline等關鍵信息。使用安全插件有助於識別。

2. 資產錢包與交互錢包分離: 建議將大量資產存放冷錢包,交互錢包僅保留少量資金,可大幅減少潛在損失。

3. 限制Permit2合約授權或取消授權: 進行Swap時,僅授權所需金額。雖增加交互成本,但可避免Permit2籤名釣魚風險。已授權用戶可用安全插件取消授權。

4. 識別代幣是否支持permit功能: 關注所持代幣是否支持該功能,如支持需格外謹慎交易操作,嚴格檢查未知籤名。

5. 制定完善的資產拯救計劃: 若發現被騙但其他平台仍有代幣,需謹慎提取轉移。黑客可能實時監控地址餘額,建議使用MEV轉移或尋求專業安全公司協助。

未來基於Permit2的釣魚可能增多,這種籤名釣魚方式隱蔽難防。隨Permit2應用範圍擴大,暴露風險的地址將增加。希望讀者傳播本文,避免更多人遭受損失。