揭祕Uniswap Permit2籤名釣魚騙局

黑客是Web3生態中令人聞風喪膽的存在。對項目方而言,代碼開源的特性使他們在開發時如履薄冰,生怕一行代碼出錯留下漏洞。對個人用戶來說,如果不了解正在進行的操作含義,每次鏈上交互或籤名都可能導致資產被盜。因此安全問題一直是加密世界中最棘手的問題之一。由於區塊鏈的特性,一旦資產被盜幾乎無法追回,所以在加密世界中掌握安全知識尤爲重要。

最近,有研究者發現了一種近兩個月開始活躍的新型釣魚手法,只要籤名就會被盜,手法極其隱蔽且難以防範,並且使用過某DEX交互的地址都可能暴露在風險之下。本文將對這種籤名釣魚手法進行剖析,以避免更多用戶遭受資產損失。

事件經過

近期,一位用戶(暫稱小A)的錢包資產被盜。與常見被盜方式不同,小A並未泄露私鑰也未與釣魚網站的合約交互。

通過區塊鏈瀏覽器可以看到,小A錢包被盜的USDT是通過Transfer From函數轉移的。這意味着這筆被盜資產是由另一個地址操作轉移的,而非錢包私鑰泄露。

交易細節顯示:

• 一個尾號爲fd51的地址將小A的資產轉移到了尾號爲a0c8的地址
• 這個操作是與某DEX的Permit2合約交互的

關鍵問題是:尾號fd51的地址如何獲得了這筆資產的權限?爲什麼會與某DEX有關?

進一步調查發現,在轉移小A資產之前,該地址還進行了一個Permit操作,且這兩個操作的交互對象都是某DEX的Permit2合約。

Permit2合約是某DEX在2022年底推出的新合約。它允許代幣授權在不同應用程序中共享和管理,旨在創造更統一、更具成本效益、更安全的用戶體驗。隨着越來越多項目與Permit2集成,它有望在所有應用中實現標準化Token批準,通過降低交易成本改善用戶體驗,同時提高智能合約安全性。

Permit2的推出可能改變整個DApp生態的遊戲規則。傳統方式下,用戶每次與DApp進行資產交互都需要單獨授權。而有了Permit2,用戶只需將Token授權給Permit2合約,所有集成Permit2的DApp就可以共享這個授權額度,大大降低了用戶交互成本,帶來更好體驗。

然而,Permit2也是一把雙刃劍。它將用戶操作從鏈上交互變爲鏈下籤名,所有鏈上操作由中間角色(如Permit2合約和集成項目)完成。這帶來的好處是,即使用戶錢包沒有ETH,也可用其他Token支付Gas或由中間角色報銷。但鏈下籤名也是用戶最容易忽視的環節,大多數人不會仔細檢查籤名內容,這正是最危險之處。

釣魚手法重現

要重現這個Permit2籤名釣魚手法,首先需要被釣魚錢包有Token授權給某DEX的Permit2合約。目前只要在與Permit2集成的DApp或某DEX上進行Swap,都需要授權給Permit2合約。

更可怕的是,無論Swap金額多少,某DEX的Permit2合約都會默認讓用戶授權該Token全部餘額。雖然錢包會提示自定義輸入金額,但多數人會直接選擇最大或默認值,而Permit2的默認值是無限額度。

這意味着,只要你在2023年之後與某DEX有過交互並授權給Permit2合約,就可能暴露在這個釣魚騙局的風險之下。

核心在於Permit函數。簡言之,它利用用戶錢包將授權給Permit2合約的Token額度轉移給其他地址。黑客只要獲得用戶籤名,就可以拿到用戶錢包中Token的權限並轉移資產。

防範措施

考慮到Permit2合約未來可能更加普及,更多項目會集成它進行授權共享,有效的防範手段包括:

1. 理解並識別籤名內容:Permit籤名通常包含Owner、Spender、value、nonce和deadline等關鍵信息。使用安全插件有助於識別。

2. 資產錢包與交互錢包分離:建議將大量資產存放在冷錢包,日常交互錢包只保留少量資金,可大幅減少遇到釣魚時的損失。

3. 限制授權額度或取消授權:在DEX上Swap時,只授權交互所需金額。雖然每次都需重新授權會增加成本,但可避免Permit2籤名釣魚風險。已授權的可使用安全插件取消。

4. 識別代幣是否支持permit功能:關注所持代幣是否支持該功能,如支持則需格外謹慎,嚴格檢查每條未知籤名。

5. 制定完善的資產拯救計劃:若被騙後還有代幣在其他平台,需謹慎提取並轉移到安全地址。可能需要使用MEV轉移或尋求專業安全團隊協助,避免黑客截取。

未來基於Permit2的釣魚可能會越來越多。這種籤名釣魚方式極其隱蔽且難防,隨着Permit2應用範圍擴大,暴露風險的地址也會增加。希望讀者能將這些信息傳播給更多人,避免更多人遭受損失。