籤名就被盜？揭祕Uniswap Permit2籤名釣魚騙局

黑客是Web3生態中令人畏懼的存在。對項目方而言,開源代碼的特性使他們在開發時如履薄冰,生怕寫錯一行代碼留下漏洞。一旦出現安全事故,後果難以承擔。

對個人用戶來說,如果不了解自己正在進行的操作含義,每一次鏈上交互或籤名都可能導致資產被盜。因此安全問題一直是加密世界最棘手的問題之一。由於區塊鏈的特性,一旦資產被盜幾乎無法追回,所以在加密世界中具備安全知識尤爲重要。

近期,一位研究人員發現了一個近兩個月來活躍的新型釣魚手法。這種方式只需籤名就會導致資產被盜,手法極其隱蔽且難以防範。更糟糕的是,曾與某DEX進行交互的地址都可能面臨風險。本文將對這種籤名釣魚手法進行科普,以盡量避免更多用戶遭受資產損失。

事情始於一位朋友(小A)的資產被盜事件。與常見被盜情況不同,小A並未泄露私鑰,也未與可疑合約交互。通過區塊鏈瀏覽器可以看到,小A錢包中的USDT是通過Transfer From函數被轉移的。這意味着是另一個地址操作將Token轉走,而非錢包私鑰泄露。

交易細節顯示:

• 一個地址將小A的資產轉移到了另一個地址
• 這個操作是與某DEX的Permit2合約交互的

關鍵問題在於,這個地址是如何獲得小A資產的權限的?爲什麼會與某DEX有關?

要調用Transfer From函數,前提是調用方需要擁有該Token的額度權限(approve)。在該地址轉走小A資產之前,還進行了一個Permit操作,兩個操作的交互對象都是某DEX的Permit2合約。

某DEX的Permit2合約是該交易所在2022年底推出的新智能合約。它允許代幣授權在不同應用程序中共享和管理,旨在創造更統一、更具成本效益、更安全的用戶體驗。未來隨着更多項目集成Permit2,它有望在所有應用中實現標準化Token批準,從而降低交易成本,改善用戶體驗。

傳統交互方式中,用戶每次與DApp進行資產交互都需要單獨授權。而Permit2充當用戶和DApp之間的中間人,用戶只需將Token授權給Permit2合約,所有集成該合約的DApp就可以共享這個授權額度。這大大降低了用戶的交互成本,提升了體驗。

然而,Permit2也是一把雙刃劍。它將用戶操作變爲鏈下籤名,所有鏈上操作由中間角色完成。這帶來的好處是,即使用戶錢包沒有ETH,也可以使用其他Token支付Gas費或由中間角色報銷。但鏈下籤名恰恰是用戶最容易忽視的環節。

要觸發這個Permit2籤名釣魚騙局,關鍵前提是錢包需要有Token授權給某DEX的Permit2合約。目前只要在與Permit2集成的DApp或該DEX上進行Swap,都需要進行這種授權。更令人擔憂的是,不管要Swap的金額多少,Permit2合約都會默認讓用戶授權該Token的全部餘額。

這意味着,只要你在2023年之後與該DEX有過交互並授權給Permit2合約,就可能暴露在這個釣魚騙局的風險之下。黑客利用Permit函數,通過你的籤名將你授權給Permit2合約的Token額度轉移給其他地址。一旦獲得你的籤名,就可以轉移你錢包中的資產。

目前觀察到,某DEX的Permit2合約已成爲釣魚者的"樂園",這種Permit2籤名釣魚似乎在兩個月前才開始活躍。合約交互記錄中,大部分都是被標記的釣魚地址,不斷有人上當。

考慮到Permit2合約未來可能更加普及,更多項目可能會集成它進行授權共享,以下是一些有效的防範建議:

1. 學會識別Permit籤名格式。通常包含Owner、Spender、value、nonce和deadline等關鍵信息。使用安全插件可以幫助識別。

2. 資產與交互錢包分離使用。將大額資產存放在冷錢包中,日常交互錢包只存少量資金,可大幅減少釣魚損失。

3. 謹慎授權Permit2合約額度。進行Swap時,只授權所需金額。雖然每次交互都需要重新授權會增加成本,但可避免遭受Permit2籤名釣魚。已授權的可通過安全插件取消。

4. 了解代幣是否支持permit功能。關注自己持有的代幣是否支持該功能,如支持則需格外謹慎,嚴格檢查每條未知籤名。

5. 制定完善的資產拯救計劃。若遭遇詐騙但仍有代幣存在其他平台,需要謹慎提取並轉移。可考慮使用MEV轉移或尋求專業安全團隊協助,避免黑客再次截獲。

未來基於Permit2的釣魚可能會越來越多。這種籤名釣魚方式極其隱蔽且難以防範。隨着Permit2應用範圍擴大,暴露在風險中的地址也會增加。希望讀者們能夠傳播這些信息,幫助更多人免受損失。