揭秘Uniswap Permit2签名钓鱼骗局

黑客是Web3生态中令人恐惧的存在。对项目方而言,代码开源的特性使他们开发时战战兢兢,生怕一个错误就留下漏洞。对个人用户来说,如果不了解自己的操作含义,每次链上交互或签名都可能导致资产被盗。因此安全问题一直是加密世界的痛点之一。由于区块链的特性,被盗资产几乎无法追回,所以具备安全知识尤为重要。

近期,一位研究者发现了一种新型钓鱼手法,仅需签名即可导致资产被盗。这种手法极其隐蔽且难以防范,而且与Uniswap交互过的地址都可能面临风险。本文将对这种签名钓鱼手法进行科普,以尽量避免更多资产损失。

事件经过

一位朋友(小A)的钱包资产被盗后寻求帮助。与常见被盗方式不同,小A并未泄露私钥,也没有与可疑合约交互。

调查发现,小A的USDT是通过TransferFrom函数被转移的。这意味着是第三方地址操作转移了Token,而非钱包私钥泄露。

交易细节显示:

• 一个地址(fd51)将小A的资产转移到另一地址(a0c8)
• 这个操作是与Uniswap的Permit2合约交互的

关键问题是:fd51地址如何获得了资产权限?为何与Uniswap有关?

进一步调查发现,在转移资产前,fd51地址还进行了一个Permit操作,且两个操作都与Uniswap Permit2合约交互。

Uniswap Permit2是2022年底推出的新合约,旨在实现跨应用的代币授权共享与管理,创造更统一、高效、安全的用户体验。随着更多项目集成,Permit2有望实现代币授权标准化,降低交易成本并提高安全性。

Permit2的出现可能改变Dapp生态规则。传统上用户需对每个Dapp单独授权,而Permit2作为中间人,用户只需授权给Permit2,所有集成的Dapp即可共享授权。这降低了用户交互成本,提升体验。

然而,Permit2也是把双刃剑。它将用户操作变为链下签名,链上操作由中间角色完成。这允许用户无需ETH即可使用其他Token支付Gas或由中间角色报销,但也使链下签名成为最易被忽视的安全隐患。

分析表明,只要在2023年后与Uniswap交互并授权Permit2,就可能面临这种钓鱼风险。关键在于Permit函数,它允许黑客通过用户签名获取Token权限并转移资产。

事件详细分析

Permit函数类似在线签署合同,允许提前授权他人未来使用代币。它会检查签名有效期、验证签名真实性,然后更新授权记录。

verify函数从签名中提取v、r、s数据,恢复签名地址并与代币拥有者地址比对。_updateApproval函数则在验证通过后更新授权值。

实际交易中:

• owner是小A的钱包地址
• Details显示授权的Token合约地址和金额
• Spender是黑客地址
• sigDeadline是签名有效期
• signature是小A的签名信息

小A此前使用Uniswap时授予了几乎无限的额度。黑客利用这一点,通过钓鱼获取签名,在Permit2合约中执行Permit和TransferFrom操作转移资产。

目前Uniswap Permit2合约已成为钓鱼热点,大量交互来自标记的钓鱼地址。

防范建议

1. 学会识别Permit签名格式,包含Owner、Spender、value、nonce和deadline等关键信息。

2. 使用资产钱包与交互钱包分离,减少潜在损失。

3. 谨慎授权Permit2合约,仅授权必要额度或取消多余授权。

4. 了解所持代币是否支持permit功能,对支持的代币交易要格外谨慎。

5. 若发现被骗但仍有资产在其他平台,需制定完善的资金转移计划,可考虑使用MEV转移或寻求专业安全团队协助。

随着Permit2应用范围扩大,基于它的钓鱼可能会增多。这种签名钓鱼方式隐蔽难防,暴露风险的地址也将增加。请提高警惕并传播相关知识,避免更多损失。