揭祕Uniswap Permit2籤名釣魚騙局

黑客是Web3生態中令人恐懼的存在。對項目方而言,開源代碼意味着全球黑客都可能在審視,稍有疏忽就可能釀成大禍。對個人用戶來說,每次鏈上交互或籤名都可能存在風險,一不小心就可能導致資產被盜。因此,安全問題一直是加密世界的痛點之一。由於區塊鏈的特性,被盜資產幾乎無法追回,所以具備安全知識尤爲重要。

近期,一種新型釣魚手法開始活躍,僅需籤名就可能被盜,手法極其隱蔽且難以防範。使用過Uniswap的地址都可能暴露在風險之下。本文將對這種籤名釣魚手法進行科普,以避免更多資產損失。

事件經過

最近,一位朋友(小A)的錢包資產被盜。與常見被盜方式不同,小A並未泄露私鑰,也未與釣魚網站合約交互。

區塊鏈瀏覽器顯示,小A的USDT是通過Transfer From函數轉移的。這意味着是第三方地址操作轉移了Token,而非錢包私鑰泄露。

交易細節顯示:

• 尾號fd51的地址將小A資產轉移到尾號a0c8地址
• 操作是與Uniswap的Permit2合約交互

關鍵問題是:尾號fd51地址如何獲得資產權限?爲何與Uniswap有關?

進一步調查發現,在轉移小A資產前,該地址還進行了Permit操作,交互對象都是Uniswap的Permit2合約。

Uniswap Permit2是2022年底推出的新合約,允許代幣授權在不同應用間共享和管理,旨在創造更統一、高效、安全的用戶體驗。隨着更多項目集成,Permit2有望實現跨應用的標準化Token批準,降低交易成本並提高安全性。

Permit2作爲用戶和Dapp間的中間人,用戶只需授權給Permit2合約,所有集成的Dapp都可共享授權額度。這降低了用戶交互成本,提升了體驗。但這也是把雙刃劍,問題出在與Permit2的交互方式上。

傳統交互方式中,授權和資金轉移都是鏈上操作。Permit2將用戶操作變爲鏈下籤名,鏈上操作由中間角色完成。這使得即使用戶錢包沒有ETH,也可使用其他Token支付Gas或由中間角色報銷。

然而,鏈下籤名是用戶最容易忽視的環節。大多數人不會仔細檢查籤名內容,也不理解其含義,這正是最危險之處。

要利用這個漏洞,關鍵前提是錢包需要授權給Uniswap的Permit2合約。目前只要在集成Permit2的Dapp或Uniswap上Swap,都需要這樣授權。更可怕的是,無論Swap金額多少,Permit2合約默認請求授權全部餘額。雖然MetaMask允許自定義金額,但大多數人會直接選擇最大或默認值,而Permit2的默認值是無限額度。

這意味着,只要你在2023年後與Uniswap交互並授權給Permit2合約,就可能暴露在這個釣魚風險中。黑客利用Permit函數,通過你的籤名將你授權給Permit2的Token額度轉移給其他地址。

如何防範?

1. 理解並識別籤名內容:學會識別Permit籤名格式,包含Owner、Spender、value、nonce和deadline等關鍵信息。使用安全插件是個好選擇。

2. 資產錢包與交互錢包分離:將大量資產存放在冷錢包,交互錢包僅保留少量資金,可大幅減少損失。

3. 限制授權額度或取消授權:在Uniswap上Swap時,只授權所需金額。雖然每次都需重新授權會增加成本,但可避免Permit2籤名釣魚風險。已授權的可使用安全插件取消。

4. 了解代幣是否支持permit功能:關注所持代幣是否支持該功能,如支持則需格外謹慎,仔細檢查每條未知籤名。

5. 制定應急計劃:若被騙但仍有代幣在其他平台,需謹慎提取並轉移。黑客可能隨時監控你的地址,一旦出現代幣就會轉移。建議尋求專業安全團隊協助,使用MEV轉移等技術手段。

未來基於Permit2的釣魚可能會越來越多。這種籤名釣魚方式極其隱蔽且難防,隨着Permit2應用範圍擴大,暴露風險的地址也會增加。希望讀者能將這些信息傳播給更多人,共同提高安全意識。