揭秘Uniswap Permit2签名钓鱼骗局

黑客是Web3生态中令人畏惧的存在。对项目方而言,代码开源使得他们开发时如履薄冰,生怕留下漏洞导致安全事故。对个人用户来说,每次链上交互或签名都可能使资产面临被盗风险。因此安全问题一直是加密世界的痛点之一。区块链的不可逆特性也意味着被盗资产几乎无法追回,这更凸显了安全知识的重要性。

近期,一位区块链安全研究者发现了一种新型钓鱼手法,仅需一次签名就可能导致资产被盗。这种手法非常隐蔽且难以防范,而且曾经使用过Uniswap的地址都可能暴露在风险之下。本文将详细解析这种签名钓鱼手法,以帮助大家避免更多资产损失。

事件经过

近期,一位用户(小A)的钱包资产被盗后寻求帮助。与常见被盗方式不同,小A并未泄露私钥,也没有与可疑合约交互。经调查发现,小A的USDT是通过Transfer From函数被转移的,这意味着是第三方地址操作转移了资产,而非私钥泄露。

进一步查询交易细节,发现关键线索:

• 尾号fd51的地址将小A的资产转移到了尾号a0c8的地址
• 这个操作是与Uniswap的Permit2合约交互的

问题在于,尾号fd51的地址如何获得了小A资产的操作权限?为什么会涉及Uniswap?

答案在尾号fd51地址的交互记录中。在转移小A资产之前,该地址还进行了一个Permit操作,交互对象同样是Uniswap的Permit2合约。

Uniswap Permit2是2022年底推出的新合约,旨在实现跨应用的统一授权管理,提升用户体验并降低交易成本。它的核心是将用户操作从链上交互变为链下签名,由中间角色(如Permit2合约)完成链上操作。

这种方案虽然可以降低用户交互成本,但也带来了新的风险。链下签名是用户最容易忽视的环节,很多人并不会仔细检查签名内容。

重现这个钓鱼手法的关键前提是:被钓鱼的钱包需要有Token授权给Uniswap的Permit2合约。目前只要在集成了Permit2的Dapp或Uniswap上进行Swap,都需要进行这种授权。

更值得注意的是,Uniswap的Permit2合约会默认让用户授权该Token的全部余额额度。虽然钱包会提示自定义输入金额,但大多数人可能会直接选择最大或默认值,而Permit2的默认值是无限额度。

这意味着,只要你在2023年之后与Uniswap有过交互并授权给Permit2合约,就可能暴露在这个钓鱼骗局的风险之下。

黑客利用Permit函数,通过用户的签名将用户授权给Permit2合约的Token额度转移给其他地址。一旦获得签名,黑客就可以操控用户钱包中的Token权限并转移资产。

如何防范?

考虑到Uniswap Permit2合约可能会更加普及,更多项目可能会集成它进行授权共享,以下是一些有效的防范措施:

1. 理解并识别签名内容:学会识别Permit签名格式,使用安全插件辅助识别。

2. 资产钱包与交互钱包分离:将大额资产存放在冷钱包中,日常交互钱包仅保留少量资金。

3. 限制授权额度或取消授权:在Uniswap上Swap时只授权所需金额,或使用安全插件取消已有授权。

4. 识别代币是否支持permit功能:关注自己持有的代币是否支持该功能,对支持的代币交易需格外谨慎。

5. 制定完善的资产拯救计划:若被盗后还有代币存在其他平台,需谨慎制定提取和转移方案,可考虑使用MEV转移或寻求专业安全团队协助。

随着Permit2应用范围扩大,基于它的钓鱼手法可能会越来越多。这种签名钓鱼方式极其隐蔽且难以防范,暴露在风险中的地址也会不断增加。希望本文能帮助更多人了解并防范这种新型骗局,保护好自己的数字资产。