揭祕Uniswap Permit2籤名釣魚騙局

黑客是Web3生態中令人畏懼的存在。對項目方而言,開源代碼的特性使他們在開發時如履薄冰,生怕一行錯誤代碼留下漏洞。對個人用戶來說,如果不了解操作的含義,每次鏈上交互或籤名都可能導致資產被盜。因此安全問題一直是加密世界的痛點之一。由於區塊鏈的特性,被盜資產幾乎無法追回,所以在加密世界中具備安全知識尤爲重要。

近期,一種新型釣魚手法開始活躍,僅需籤名就可能導致資產被盜。這種手法極其隱蔽且難以防範,曾與Uniswap有交互的地址都可能面臨風險。本文將對這種籤名釣魚手法進行剖析,以避免更多人遭受損失。

事件經過

最近,一位朋友(小A)的錢包資產被盜。與常見被盜方式不同,小A並未泄露私鑰,也沒有與釣魚網站合約交互。

在區塊鏈瀏覽器中可以看到,小A錢包被盜的USDT是通過Transfer From函數轉移的。這意味着是另一個地址操作將Token轉走,而非錢包私鑰泄露。

通過查詢交易細節,發現了關鍵線索:

• 一個地址將小A的資產轉移到另一個地址
• 這個操作是與Uniswap的Permit2合約交互的

要想成功調用Transfer From函數,調用方需要擁有Token的額度權限(approve)。答案就在那個轉移資產的地址的交互記錄中。在轉移小A資產之前,該地址還進行了一個Permit操作,且這兩個操作的交互對象都是Uniswap的Permit2合約。

Uniswap Permit2是2022年底推出的新合約,允許代幣授權在不同應用間共享和管理,旨在創造更統一、更具成本效益、更安全的用戶體驗。隨着更多項目集成,Permit2可在所有應用中實現標準化Token審批,通過降低交易成本改善用戶體驗,同時提高智能合約安全性。

Permit2的出現可能改變Dapp生態規則,但也是一把雙刃劍。對用戶而言,鏈下籤名最容易放松警惕。大多數人不會仔細檢查籤名內容,也不理解其含義,這正是最危險之處。

只要在2023年後與Uniswap交互並授權給Permit2合約,就可能面臨這個釣魚騙局的風險。黑客只需獲得用戶籤名,就可以通過Permit2合約轉移用戶授權的Token。

事件詳細分析

Permit函數允許用戶提前簽署"合同",授權他人在未來使用一定數量的代幣。函數會檢查籤名有效期、驗證籤名真實性,然後更新授權記錄。

驗證通過後,_updateApproval函數會更新授權值,實現權限轉移。被授權方隨後可調用transferfrom函數將代幣轉移到指定地址。

查看實際交易細節,可以看到:

• owner是小A的錢包地址
• Details顯示授權的Token合約地址(USDT)和金額等信息
• Spender是黑客地址
• sigDeadline是籤名有效時間
• signature是小A的籤名信息

小A此前使用Uniswap時點擊了默認的授權額度,即幾乎無限的額度。

簡單復盤:小A之前授權給Uniswap Permit2無限USDT額度,後來不慎掉入黑客設計的Permit2籤名釣魚陷阱。黑客獲得籤名後,在Permit2合約中進行Permit和Transfer From操作,轉移了小A的資產。目前Uniswap的Permit2合約已成爲釣魚溫牀,這種釣魚手法約兩個月前開始活躍。

如何防範?

考慮到Permit2合約未來可能更普及,有效的防範手段包括:

1. 理解並識別籤名內容:學會識別Permit籤名格式,包含Owner、Spender、value、nonce和deadline等關鍵信息。

2. 資產錢包與交互錢包分離:建議將大量資產存放在冷錢包,交互錢包僅保留少量資金,可大幅減少損失。

3. 限制授權額度或取消授權:在Uniswap上Swap時,只授權所需交互金額。如已授權過多額度,可使用安全插件取消授權。

4. 識別代幣是否支持permit功能:關注所持代幣是否支持該功能,如支持則需格外謹慎,嚴格檢查每條未知籤名。

5. 制定完善的資產拯救計劃:若被騙但仍有代幣在其他平台,需謹慎提取並轉移到安全地址,可考慮使用MEV轉移或尋求專業安全團隊協助。

未來基於Permit2的釣魚可能會增多。這種籤名釣魚方式極其隱蔽且難防,隨着Permit2應用範圍擴大,暴露風險的地址也會增加。希望讀者能將此信息傳播,避免更多人遭受損失。