揭秘Uniswap Permit2签名钓鱼骗局

黑客是Web3生态中令人恐惧的存在。对项目方而言,开源代码意味着全球黑客都可能在审视,稍有疏忽就可能酿成大祸。对个人用户来说,每次链上交互或签名都可能存在风险,一不小心就可能导致资产被盗。因此,安全问题一直是加密世界的痛点之一。由于区块链的特性,被盗资产几乎无法追回,所以具备安全知识尤为重要。

近期,一种新型钓鱼手法开始活跃,仅需签名就可能被盗,手法极其隐蔽且难以防范。使用过Uniswap的地址都可能暴露在风险之下。本文将对这种签名钓鱼手法进行科普,以避免更多资产损失。

事件经过

最近,一位朋友(小A)的钱包资产被盗。与常见被盗方式不同,小A并未泄露私钥,也未与钓鱼网站合约交互。

区块链浏览器显示,小A的USDT是通过Transfer From函数转移的。这意味着是第三方地址操作转移了Token,而非钱包私钥泄露。

交易细节显示:

• 尾号fd51的地址将小A资产转移到尾号a0c8地址
• 操作是与Uniswap的Permit2合约交互

关键问题是:尾号fd51地址如何获得资产权限?为何与Uniswap有关?

进一步调查发现,在转移小A资产前,该地址还进行了Permit操作,交互对象都是Uniswap的Permit2合约。

Uniswap Permit2是2022年底推出的新合约,允许代币授权在不同应用间共享和管理,旨在创造更统一、高效、安全的用户体验。随着更多项目集成,Permit2有望实现跨应用的标准化Token批准,降低交易成本并提高安全性。

Permit2作为用户和Dapp间的中间人,用户只需授权给Permit2合约,所有集成的Dapp都可共享授权额度。这降低了用户交互成本,提升了体验。但这也是把双刃剑,问题出在与Permit2的交互方式上。

传统交互方式中,授权和资金转移都是链上操作。Permit2将用户操作变为链下签名,链上操作由中间角色完成。这使得即使用户钱包没有ETH,也可使用其他Token支付Gas或由中间角色报销。

然而,链下签名是用户最容易忽视的环节。大多数人不会仔细检查签名内容,也不理解其含义,这正是最危险之处。

要利用这个漏洞,关键前提是钱包需要授权给Uniswap的Permit2合约。目前只要在集成Permit2的Dapp或Uniswap上Swap,都需要这样授权。更可怕的是,无论Swap金额多少,Permit2合约默认请求授权全部余额。虽然MetaMask允许自定义金额,但大多数人会直接选择最大或默认值,而Permit2的默认值是无限额度。

这意味着,只要你在2023年后与Uniswap交互并授权给Permit2合约,就可能暴露在这个钓鱼风险中。黑客利用Permit函数,通过你的签名将你授权给Permit2的Token额度转移给其他地址。

如何防范?

1. 理解并识别签名内容:学会识别Permit签名格式,包含Owner、Spender、value、nonce和deadline等关键信息。使用安全插件是个好选择。

2. 资产钱包与交互钱包分离:将大量资产存放在冷钱包,交互钱包仅保留少量资金,可大幅减少损失。

3. 限制授权额度或取消授权:在Uniswap上Swap时,只授权所需金额。虽然每次都需重新授权会增加成本,但可避免Permit2签名钓鱼风险。已授权的可使用安全插件取消。

4. 了解代币是否支持permit功能:关注所持代币是否支持该功能,如支持则需格外谨慎,仔细检查每条未知签名。

5. 制定应急计划:若被骗但仍有代币在其他平台,需谨慎提取并转移。黑客可能随时监控你的地址,一旦出现代币就会转移。建议寻求专业安全团队协助,使用MEV转移等技术手段。

未来基于Permit2的钓鱼可能会越来越多。这种签名钓鱼方式极其隐蔽且难防,随着Permit2应用范围扩大,暴露风险的地址也会增加。希望读者能将这些信息传播给更多人,共同提高安全意识。