揭秘Uniswap Permit2签名钓鱼骗局

黑客是Web3生态中令人恐惧的存在。对项目方而言,代码开源特性使他们战战兢兢,生怕出现漏洞导致安全事故。对个人来说,不了解操作含义可能导致每次链上交互或签名都有资产被盗风险。安全问题一直是加密世界的痛点之一,且区块链特性导致资产被盗几乎无法追回,因此具备安全知识尤为重要。

近期,一种新型钓鱼手法开始活跃,仅需签名即可导致资产被盗,手法隐蔽难防。使用过某DEX交互的地址都可能面临风险。本文将对这种签名钓鱼手法进行剖析,以避免更多资产损失。

事件经过

一位朋友(小A)钱包资产被盗后寻求帮助。与常见被盗方式不同,小A并未泄露私钥也未与钓鱼网站合约交互。

调查发现,小A的USDT是通过Transfer From函数转移的。这意味着另一个地址操作转移了Token,而非钱包私钥泄露。

交易细节显示:

• 尾号fd51地址将小A资产转移至尾号a0c8地址
• 操作与某DEX的Permit2合约交互

关键问题是:fd51地址如何获得资产权限?为何与某DEX有关?

进一步调查发现,fd51地址在转移资产前进行了Permit操作,两个操作都与某DEX的Permit2合约交互。

Permit2是某DEX在2022年底推出的新合约,允许跨应用共享和管理代币授权,旨在提供更统一、低成本、安全的用户体验。

Permit2作为用户与DApp间的中间人,用户只需授权给Permit2合约,所有集成Permit2的DApp可共享授权额度。这降低了交互成本,提升用户体验,但也可能成为双刃剑。

Permit2将用户操作变为链下签名,链上操作由中间角色完成。这使无ETH用户也可使用其他Token支付Gas或完全免Gas。

然而,链下签名是用户最易疏忽的环节。许多人不会仔细检查或理解签名内容,这正是最危险之处。

要触发这个钓鱼手法,关键前提是钱包需授权Token给Permit2合约。目前只要在集成Permit2的DApp或某DEX上Swap,都需要此授权。

更可怕的是,不论Swap金额多少,某DEX的Permit2合约默认请求全部余额授权。虽然钱包会提示自定义输入金额,但多数人可能直接选择最大或默认值,而Permit2默认值是无限额度。

这意味着,2023年后与某DEX交互并授权Permit2合约的用户都可能面临风险。

黑客利用Permit函数,通过受害者签名将授权给Permit2合约的Token额度转移。只要获得签名,黑客就能转移受害者资产。

如何防范?

1. 理解并识别签名内容: 学会识别Permit签名格式,包含Owner、Spender、value、nonce和deadline等关键信息。使用安全插件有助于识别。

2. 资产钱包与交互钱包分离: 建议将大量资产存放冷钱包,交互钱包仅保留少量资金,可大幅减少潜在损失。

3. 限制Permit2合约授权或取消授权: 进行Swap时,仅授权所需金额。虽增加交互成本,但可避免Permit2签名钓鱼风险。已授权用户可用安全插件取消授权。

4. 识别代币是否支持permit功能: 关注所持代币是否支持该功能,如支持需格外谨慎交易操作,严格检查未知签名。

5. 制定完善的资产拯救计划: 若发现被骗但其他平台仍有代币,需谨慎提取转移。黑客可能实时监控地址余额,建议使用MEV转移或寻求专业安全公司协助。

未来基于Permit2的钓鱼可能增多,这种签名钓鱼方式隐蔽难防。随Permit2应用范围扩大,暴露风险的地址将增加。希望读者传播本文,避免更多人遭受损失。