揭秘Uniswap Permit2签名钓鱼骗局

黑客是Web3生态中令人畏惧的存在。对项目方而言,开源代码的特性使他们在开发时如履薄冰,生怕一行错误代码留下漏洞。对个人用户来说,如果不了解操作的含义,每次链上交互或签名都可能导致资产被盗。因此安全问题一直是加密世界的痛点之一。由于区块链的特性,被盗资产几乎无法追回,所以在加密世界中具备安全知识尤为重要。

近期,一种新型钓鱼手法开始活跃,仅需签名就可能导致资产被盗。这种手法极其隐蔽且难以防范,曾与Uniswap有交互的地址都可能面临风险。本文将对这种签名钓鱼手法进行剖析,以避免更多人遭受损失。

事件经过

最近,一位朋友(小A)的钱包资产被盗。与常见被盗方式不同,小A并未泄露私钥,也没有与钓鱼网站合约交互。

在区块链浏览器中可以看到,小A钱包被盗的USDT是通过Transfer From函数转移的。这意味着是另一个地址操作将Token转走,而非钱包私钥泄露。

通过查询交易细节,发现了关键线索:

• 一个地址将小A的资产转移到另一个地址
• 这个操作是与Uniswap的Permit2合约交互的

要想成功调用Transfer From函数,调用方需要拥有Token的额度权限(approve)。答案就在那个转移资产的地址的交互记录中。在转移小A资产之前,该地址还进行了一个Permit操作,且这两个操作的交互对象都是Uniswap的Permit2合约。

Uniswap Permit2是2022年底推出的新合约,允许代币授权在不同应用间共享和管理,旨在创造更统一、更具成本效益、更安全的用户体验。随着更多项目集成,Permit2可在所有应用中实现标准化Token审批,通过降低交易成本改善用户体验,同时提高智能合约安全性。

Permit2的出现可能改变Dapp生态规则,但也是一把双刃剑。对用户而言,链下签名最容易放松警惕。大多数人不会仔细检查签名内容,也不理解其含义,这正是最危险之处。

只要在2023年后与Uniswap交互并授权给Permit2合约,就可能面临这个钓鱼骗局的风险。黑客只需获得用户签名,就可以通过Permit2合约转移用户授权的Token。

事件详细分析

Permit函数允许用户提前签署"合同",授权他人在未来使用一定数量的代币。函数会检查签名有效期、验证签名真实性,然后更新授权记录。

验证通过后,_updateApproval函数会更新授权值,实现权限转移。被授权方随后可调用transferfrom函数将代币转移到指定地址。

查看实际交易细节,可以看到:

• owner是小A的钱包地址
• Details显示授权的Token合约地址(USDT)和金额等信息
• Spender是黑客地址
• sigDeadline是签名有效时间
• signature是小A的签名信息

小A此前使用Uniswap时点击了默认的授权额度,即几乎无限的额度。

简单复盘:小A之前授权给Uniswap Permit2无限USDT额度,后来不慎掉入黑客设计的Permit2签名钓鱼陷阱。黑客获得签名后,在Permit2合约中进行Permit和Transfer From操作,转移了小A的资产。目前Uniswap的Permit2合约已成为钓鱼温床,这种钓鱼手法约两个月前开始活跃。

如何防范?

考虑到Permit2合约未来可能更普及,有效的防范手段包括:

1. 理解并识别签名内容:学会识别Permit签名格式,包含Owner、Spender、value、nonce和deadline等关键信息。

2. 资产钱包与交互钱包分离:建议将大量资产存放在冷钱包,交互钱包仅保留少量资金,可大幅减少损失。

3. 限制授权额度或取消授权:在Uniswap上Swap时,只授权所需交互金额。如已授权过多额度,可使用安全插件取消授权。

4. 识别代币是否支持permit功能:关注所持代币是否支持该功能,如支持则需格外谨慎,严格检查每条未知签名。

5. 制定完善的资产拯救计划:若被骗但仍有代币在其他平台,需谨慎提取并转移到安全地址,可考虑使用MEV转移或寻求专业安全团队协助。

未来基于Permit2的钓鱼可能会增多。这种签名钓鱼方式极其隐蔽且难防,随着Permit2应用范围扩大,暴露风险的地址也会增加。希望读者能将此信息传播,避免更多人遭受损失。