揭祕Uniswap Permit2籤名釣魚騙局

黑客是Web3生態中令人恐懼的存在。對項目方而言,代碼開源的特性使他們開發時戰戰兢兢,生怕一個錯誤就留下漏洞。對個人用戶來說,如果不了解自己的操作含義,每次鏈上交互或籤名都可能導致資產被盜。因此安全問題一直是加密世界的痛點之一。由於區塊鏈的特性,被盜資產幾乎無法追回,所以具備安全知識尤爲重要。

近期,一位研究者發現了一種新型釣魚手法,僅需籤名即可導致資產被盜。這種手法極其隱蔽且難以防範,而且與Uniswap交互過的地址都可能面臨風險。本文將對這種籤名釣魚手法進行科普,以盡量避免更多資產損失。

事件經過

一位朋友(小A)的錢包資產被盜後尋求幫助。與常見被盜方式不同,小A並未泄露私鑰,也沒有與可疑合約交互。

調查發現,小A的USDT是通過TransferFrom函數被轉移的。這意味着是第三方地址操作轉移了Token,而非錢包私鑰泄露。

交易細節顯示:

• 一個地址(fd51)將小A的資產轉移到另一地址(a0c8)
• 這個操作是與Uniswap的Permit2合約交互的

關鍵問題是:fd51地址如何獲得了資產權限?爲何與Uniswap有關?

進一步調查發現,在轉移資產前,fd51地址還進行了一個Permit操作,且兩個操作都與Uniswap Permit2合約交互。

Uniswap Permit2是2022年底推出的新合約,旨在實現跨應用的代幣授權共享與管理,創造更統一、高效、安全的用戶體驗。隨着更多項目集成,Permit2有望實現代幣授權標準化,降低交易成本並提高安全性。

Permit2的出現可能改變Dapp生態規則。傳統上用戶需對每個Dapp單獨授權,而Permit2作爲中間人,用戶只需授權給Permit2,所有集成的Dapp即可共享授權。這降低了用戶交互成本,提升體驗。

然而,Permit2也是把雙刃劍。它將用戶操作變爲鏈下籤名,鏈上操作由中間角色完成。這允許用戶無需ETH即可使用其他Token支付Gas或由中間角色報銷,但也使鏈下籤名成爲最易被忽視的安全隱患。

分析表明,只要在2023年後與Uniswap交互並授權Permit2,就可能面臨這種釣魚風險。關鍵在於Permit函數,它允許黑客通過用戶籤名獲取Token權限並轉移資產。

事件詳細分析

Permit函數類似在線簽署合同,允許提前授權他人未來使用代幣。它會檢查籤名有效期、驗證籤名真實性,然後更新授權記錄。

verify函數從籤名中提取v、r、s數據,恢復籤名地址並與代幣擁有者地址比對。_updateApproval函數則在驗證通過後更新授權值。

實際交易中:

• owner是小A的錢包地址
• Details顯示授權的Token合約地址和金額
• Spender是黑客地址
• sigDeadline是籤名有效期
• signature是小A的籤名信息

小A此前使用Uniswap時授予了幾乎無限的額度。黑客利用這一點,通過釣魚獲取籤名,在Permit2合約中執行Permit和TransferFrom操作轉移資產。

目前Uniswap Permit2合約已成爲釣魚熱點,大量交互來自標記的釣魚地址。

防範建議

1. 學會識別Permit籤名格式,包含Owner、Spender、value、nonce和deadline等關鍵信息。

2. 使用資產錢包與交互錢包分離,減少潛在損失。

3. 謹慎授權Permit2合約,僅授權必要額度或取消多餘授權。

4. 了解所持代幣是否支持permit功能,對支持的代幣交易要格外謹慎。

5. 若發現被騙但仍有資產在其他平台,需制定完善的資金轉移計劃,可考慮使用MEV轉移或尋求專業安全團隊協助。

隨着Permit2應用範圍擴大,基於它的釣魚可能會增多。這種籤名釣魚方式隱蔽難防,暴露風險的地址也將增加。請提高警惕並傳播相關知識,避免更多損失。