籤名就被盜？揭祕Uniswap Permit2籤名釣魚騙局

黑客是Web3生態中令人畏懼的存在。對項目方而言,代碼開源使得任何錯誤都可能被利用,安全事故後果嚴重。對個人用戶來說,不了解操作含義可能導致資產被盜。區塊鏈的不可逆特性使得被盜資產難以追回,因此安全知識尤爲重要。

近期,一種新型釣魚手法開始活躍,僅需籤名就可能被盜,手法隱蔽難防。使用過某DEX交互的地址都可能面臨風險。本文將對這種籤名釣魚手法進行科普,以避免更多資產損失。

事件源於一位朋友(小A)的資產被盜。與常見被盜方式不同,小A未泄露私鑰也未與釣魚合約交互。調查發現,小A的USDT是通過Transfer From函數被轉移的,意味着另一地址操作轉移了Token。

關鍵線索是:

• 一個地址將小A資產轉移到另一地址
• 操作與某DEX的Permit2合約交互

疑點在於該地址如何獲得資產權限,以及爲何與某DEX有關。

進一步調查發現,在轉移資產前,該地址進行了Permit操作,交互對象都是某DEX的Permit2合約。Permit2是該DEX於2022年底推出的新合約,旨在實現跨應用的Token授權共享管理。

Permit2的目標是簡化用戶交互流程,降低Gas成本。傳統方式下用戶需對每個Dapp單獨授權,而Permit2可省去這一步驟。它作爲用戶與Dapp間的中間人,用戶只需授權給Permit2,所有集成的Dapp即可共享授權。

這種方式雖然提升了用戶體驗,但也帶來風險。Permit2將用戶操作變爲鏈下籤名,所有鏈上操作由中間角色完成。這使得用戶即使沒有ETH也可使用其他Token支付Gas或由中間角色承擔。

然而,鏈下籤名是最易被忽視的環節。許多用戶在連接Dapp時不會仔細檢查籤名內容,這正是最危險之處。

小A事件的關鍵在於Permit函數。該函數允許用戶提前簽署"合同",授權他人在未來使用自己的Token。只要獲得用戶籤名,攻擊者就能轉移用戶授權給Permit2的Token額度。

值得注意的是,某DEX的Permit2默認請求無限授權額度。這意味着2023年後與該DEX交互並授權Permit2的用戶都可能面臨風險。

防範建議:

1. 學會識別Permit籤名格式
2. 分離資產存儲和交互錢包
3. 限制授權給Permit2的額度或及時取消授權
4. 了解所持Token是否支持permit功能
5. 制定完善的資產拯救計劃

隨着Permit2應用範圍擴大,相關釣魚手法可能增多。這種籤名釣魚方式極其隱蔽且難防,暴露在風險下的地址會越來越多。希望讀者能將此信息傳播給更多人,避免更多資產損失。