签名就被盗？揭秘Uniswap Permit2签名钓鱼骗局

黑客是Web3生态中令人畏惧的存在。对项目方而言,开源代码的特性使他们在开发时如履薄冰,生怕写错一行代码留下漏洞。一旦出现安全事故,后果难以承担。

对个人用户来说,如果不了解自己正在进行的操作含义,每一次链上交互或签名都可能导致资产被盗。因此安全问题一直是加密世界最棘手的问题之一。由于区块链的特性,一旦资产被盗几乎无法追回,所以在加密世界中具备安全知识尤为重要。

近期,一位研究人员发现了一个近两个月来活跃的新型钓鱼手法。这种方式只需签名就会导致资产被盗,手法极其隐蔽且难以防范。更糟糕的是,曾与某DEX进行交互的地址都可能面临风险。本文将对这种签名钓鱼手法进行科普,以尽量避免更多用户遭受资产损失。

事情始于一位朋友(小A)的资产被盗事件。与常见被盗情况不同,小A并未泄露私钥,也未与可疑合约交互。通过区块链浏览器可以看到,小A钱包中的USDT是通过Transfer From函数被转移的。这意味着是另一个地址操作将Token转走,而非钱包私钥泄露。

交易细节显示:

• 一个地址将小A的资产转移到了另一个地址
• 这个操作是与某DEX的Permit2合约交互的

关键问题在于,这个地址是如何获得小A资产的权限的?为什么会与某DEX有关?

要调用Transfer From函数,前提是调用方需要拥有该Token的额度权限(approve)。在该地址转走小A资产之前,还进行了一个Permit操作,两个操作的交互对象都是某DEX的Permit2合约。

某DEX的Permit2合约是该交易所在2022年底推出的新智能合约。它允许代币授权在不同应用程序中共享和管理,旨在创造更统一、更具成本效益、更安全的用户体验。未来随着更多项目集成Permit2,它有望在所有应用中实现标准化Token批准,从而降低交易成本,改善用户体验。

传统交互方式中,用户每次与DApp进行资产交互都需要单独授权。而Permit2充当用户和DApp之间的中间人,用户只需将Token授权给Permit2合约,所有集成该合约的DApp就可以共享这个授权额度。这大大降低了用户的交互成本,提升了体验。

然而,Permit2也是一把双刃剑。它将用户操作变为链下签名,所有链上操作由中间角色完成。这带来的好处是,即使用户钱包没有ETH,也可以使用其他Token支付Gas费或由中间角色报销。但链下签名恰恰是用户最容易忽视的环节。

要触发这个Permit2签名钓鱼骗局,关键前提是钱包需要有Token授权给某DEX的Permit2合约。目前只要在与Permit2集成的DApp或该DEX上进行Swap,都需要进行这种授权。更令人担忧的是,不管要Swap的金额多少,Permit2合约都会默认让用户授权该Token的全部余额。

这意味着,只要你在2023年之后与该DEX有过交互并授权给Permit2合约,就可能暴露在这个钓鱼骗局的风险之下。黑客利用Permit函数,通过你的签名将你授权给Permit2合约的Token额度转移给其他地址。一旦获得你的签名,就可以转移你钱包中的资产。

目前观察到,某DEX的Permit2合约已成为钓鱼者的"乐园",这种Permit2签名钓鱼似乎在两个月前才开始活跃。合约交互记录中,大部分都是被标记的钓鱼地址,不断有人上当。

考虑到Permit2合约未来可能更加普及,更多项目可能会集成它进行授权共享,以下是一些有效的防范建议:

1. 学会识别Permit签名格式。通常包含Owner、Spender、value、nonce和deadline等关键信息。使用安全插件可以帮助识别。

2. 资产与交互钱包分离使用。将大额资产存放在冷钱包中,日常交互钱包只存少量资金,可大幅减少钓鱼损失。

3. 谨慎授权Permit2合约额度。进行Swap时,只授权所需金额。虽然每次交互都需要重新授权会增加成本,但可避免遭受Permit2签名钓鱼。已授权的可通过安全插件取消。

4. 了解代币是否支持permit功能。关注自己持有的代币是否支持该功能,如支持则需格外谨慎,严格检查每条未知签名。

5. 制定完善的资产拯救计划。若遭遇诈骗但仍有代币存在其他平台,需要谨慎提取并转移。可考虑使用MEV转移或寻求专业安全团队协助,避免黑客再次截获。

未来基于Permit2的钓鱼可能会越来越多。这种签名钓鱼方式极其隐蔽且难以防范。随着Permit2应用范围扩大,暴露在风险中的地址也会增加。希望读者们能够传播这些信息,帮助更多人免受损失。