揭祕Uniswap Permit2籤名釣魚騙局

黑客是Web3生態中令人畏懼的存在。對項目方而言,代碼開源使得他們開發時如履薄冰,生怕留下漏洞導致安全事故。對個人用戶來說,每次鏈上交互或籤名都可能使資產面臨被盜風險。因此安全問題一直是加密世界的痛點之一。區塊鏈的不可逆特性也意味着被盜資產幾乎無法追回,這更凸顯了安全知識的重要性。

近期,一位區塊鏈安全研究者發現了一種新型釣魚手法,僅需一次籤名就可能導致資產被盜。這種手法非常隱蔽且難以防範,而且曾經使用過Uniswap的地址都可能暴露在風險之下。本文將詳細解析這種籤名釣魚手法,以幫助大家避免更多資產損失。

事件經過

近期,一位用戶(小A)的錢包資產被盜後尋求幫助。與常見被盜方式不同,小A並未泄露私鑰,也沒有與可疑合約交互。經調查發現,小A的USDT是通過Transfer From函數被轉移的,這意味着是第三方地址操作轉移了資產,而非私鑰泄露。

進一步查詢交易細節,發現關鍵線索:

• 尾號fd51的地址將小A的資產轉移到了尾號a0c8的地址
• 這個操作是與Uniswap的Permit2合約交互的

問題在於,尾號fd51的地址如何獲得了小A資產的操作權限?爲什麼會涉及Uniswap?

答案在尾號fd51地址的交互記錄中。在轉移小A資產之前,該地址還進行了一個Permit操作,交互對象同樣是Uniswap的Permit2合約。

Uniswap Permit2是2022年底推出的新合約,旨在實現跨應用的統一授權管理,提升用戶體驗並降低交易成本。它的核心是將用戶操作從鏈上交互變爲鏈下籤名,由中間角色(如Permit2合約)完成鏈上操作。

這種方案雖然可以降低用戶交互成本,但也帶來了新的風險。鏈下籤名是用戶最容易忽視的環節,很多人並不會仔細檢查籤名內容。

重現這個釣魚手法的關鍵前提是:被釣魚的錢包需要有Token授權給Uniswap的Permit2合約。目前只要在集成了Permit2的Dapp或Uniswap上進行Swap,都需要進行這種授權。

更值得注意的是,Uniswap的Permit2合約會默認讓用戶授權該Token的全部餘額額度。雖然錢包會提示自定義輸入金額,但大多數人可能會直接選擇最大或默認值,而Permit2的默認值是無限額度。

這意味着,只要你在2023年之後與Uniswap有過交互並授權給Permit2合約,就可能暴露在這個釣魚騙局的風險之下。

黑客利用Permit函數,通過用戶的籤名將用戶授權給Permit2合約的Token額度轉移給其他地址。一旦獲得籤名,黑客就可以操控用戶錢包中的Token權限並轉移資產。

如何防範?

考慮到Uniswap Permit2合約可能會更加普及,更多項目可能會集成它進行授權共享,以下是一些有效的防範措施:

1. 理解並識別籤名內容:學會識別Permit籤名格式,使用安全插件輔助識別。

2. 資產錢包與交互錢包分離:將大額資產存放在冷錢包中,日常交互錢包僅保留少量資金。

3. 限制授權額度或取消授權:在Uniswap上Swap時只授權所需金額,或使用安全插件取消已有授權。

4. 識別代幣是否支持permit功能:關注自己持有的代幣是否支持該功能,對支持的代幣交易需格外謹慎。

5. 制定完善的資產拯救計劃:若被盜後還有代幣存在其他平台,需謹慎制定提取和轉移方案,可考慮使用MEV轉移或尋求專業安全團隊協助。

隨着Permit2應用範圍擴大,基於它的釣魚手法可能會越來越多。這種籤名釣魚方式極其隱蔽且難以防範,暴露在風險中的地址也會不斷增加。希望本文能幫助更多人了解並防範這種新型騙局,保護好自己的數字資產。