揭秘Uniswap Permit2签名钓鱼骗局

黑客是Web3生态中令人闻风丧胆的存在。对项目方而言,代码开源的特性使他们在开发时如履薄冰,生怕一行代码出错留下漏洞。对个人用户来说,如果不了解正在进行的操作含义,每次链上交互或签名都可能导致资产被盗。因此安全问题一直是加密世界中最棘手的问题之一。由于区块链的特性,一旦资产被盗几乎无法追回,所以在加密世界中掌握安全知识尤为重要。

最近,有研究者发现了一种近两个月开始活跃的新型钓鱼手法,只要签名就会被盗,手法极其隐蔽且难以防范,并且使用过某DEX交互的地址都可能暴露在风险之下。本文将对这种签名钓鱼手法进行剖析,以避免更多用户遭受资产损失。

事件经过

近期,一位用户(暂称小A)的钱包资产被盗。与常见被盗方式不同,小A并未泄露私钥也未与钓鱼网站的合约交互。

通过区块链浏览器可以看到,小A钱包被盗的USDT是通过Transfer From函数转移的。这意味着这笔被盗资产是由另一个地址操作转移的,而非钱包私钥泄露。

交易细节显示:

• 一个尾号为fd51的地址将小A的资产转移到了尾号为a0c8的地址
• 这个操作是与某DEX的Permit2合约交互的

关键问题是:尾号fd51的地址如何获得了这笔资产的权限?为什么会与某DEX有关?

进一步调查发现,在转移小A资产之前,该地址还进行了一个Permit操作,且这两个操作的交互对象都是某DEX的Permit2合约。

Permit2合约是某DEX在2022年底推出的新合约。它允许代币授权在不同应用程序中共享和管理,旨在创造更统一、更具成本效益、更安全的用户体验。随着越来越多项目与Permit2集成,它有望在所有应用中实现标准化Token批准,通过降低交易成本改善用户体验,同时提高智能合约安全性。

Permit2的推出可能改变整个DApp生态的游戏规则。传统方式下,用户每次与DApp进行资产交互都需要单独授权。而有了Permit2,用户只需将Token授权给Permit2合约,所有集成Permit2的DApp就可以共享这个授权额度,大大降低了用户交互成本,带来更好体验。

然而,Permit2也是一把双刃剑。它将用户操作从链上交互变为链下签名,所有链上操作由中间角色(如Permit2合约和集成项目)完成。这带来的好处是,即使用户钱包没有ETH,也可用其他Token支付Gas或由中间角色报销。但链下签名也是用户最容易忽视的环节,大多数人不会仔细检查签名内容,这正是最危险之处。

钓鱼手法重现

要重现这个Permit2签名钓鱼手法,首先需要被钓鱼钱包有Token授权给某DEX的Permit2合约。目前只要在与Permit2集成的DApp或某DEX上进行Swap,都需要授权给Permit2合约。

更可怕的是,无论Swap金额多少,某DEX的Permit2合约都会默认让用户授权该Token全部余额。虽然钱包会提示自定义输入金额,但多数人会直接选择最大或默认值,而Permit2的默认值是无限额度。

这意味着,只要你在2023年之后与某DEX有过交互并授权给Permit2合约,就可能暴露在这个钓鱼骗局的风险之下。

核心在于Permit函数。简言之,它利用用户钱包将授权给Permit2合约的Token额度转移给其他地址。黑客只要获得用户签名,就可以拿到用户钱包中Token的权限并转移资产。

防范措施

考虑到Permit2合约未来可能更加普及,更多项目会集成它进行授权共享,有效的防范手段包括:

1. 理解并识别签名内容:Permit签名通常包含Owner、Spender、value、nonce和deadline等关键信息。使用安全插件有助于识别。

2. 资产钱包与交互钱包分离:建议将大量资产存放在冷钱包,日常交互钱包只保留少量资金,可大幅减少遇到钓鱼时的损失。

3. 限制授权额度或取消授权:在DEX上Swap时,只授权交互所需金额。虽然每次都需重新授权会增加成本,但可避免Permit2签名钓鱼风险。已授权的可使用安全插件取消。

4. 识别代币是否支持permit功能:关注所持代币是否支持该功能,如支持则需格外谨慎,严格检查每条未知签名。

5. 制定完善的资产拯救计划:若被骗后还有代币在其他平台,需谨慎提取并转移到安全地址。可能需要使用MEV转移或寻求专业安全团队协助,避免黑客截取。

未来基于Permit2的钓鱼可能会越来越多。这种签名钓鱼方式极其隐蔽且难防,随着Permit2应用范围扩大,暴露风险的地址也会增加。希望读者能将这些信息传播给更多人,避免更多人遭受损失。