揭祕Uniswap Permit2籤名釣魚騙局:小心籤名就被盜

黑客是Web3生態中令人恐懼的存在。對項目方而言,代碼開源使得漏洞難以避免;對個人用戶來說,每次鏈上交互都可能帶來資產被盜風險。因此,安全問題一直是加密世界的痛點,而區塊鏈特性又使得被盜資產難以追回,掌握安全知識尤爲重要。

近期出現了一種新型釣魚手法,僅需籤名就可能導致資產被盜,手法隱蔽且難以防範。曾與某交易平台交互過的地址都可能面臨風險。本文將對這種籤名釣魚手法進行剖析,以幫助讀者避免更多資產損失。

事件經過

一位朋友(小A)的錢包資產被盜,但並未泄露私鑰或與可疑合約交互。調查發現,小A的USDT是通過Transfer From函數被轉移的,這意味着是第三方操作轉移了資產,而非錢包私鑰泄露。

進一步查詢交易細節,發現:

• 一個地址將小A的資產轉移到另一地址
• 這個操作是與某交易平台的Permit2合約交互的

關鍵問題是:這個地址如何獲得了小A資產的權限?爲何會與該交易平台有關?

調查顯示,在轉移小A資產前,該地址還進行了一個Permit操作,且兩個操作都與該交易平台的Permit2合約交互。

Permit2合約是該交易平台於2022年底推出的新合約,旨在實現代幣授權在不同應用間共享和管理,提供更統一、高效、安全的用戶體驗。未來隨着更多項目集成,Permit2有望實現跨應用的標準化Token批準,降低交易成本並提升安全性。

Permit2的推出可能改變Dapp生態規則。傳統模式下用戶每次與Dapp交互都需單獨授權,而Permit2作爲中間人,用戶只需向其授權一次,所有集成Permit2的Dapp即可共享授權額度。這提升了用戶體驗,但也可能帶來風險,問題出在與Permit2的交互方式上。

Permit2將用戶操作轉爲鏈下籤名,鏈上操作由中間角色完成。這使得用戶無需ETH也能支付Gas或由中間角色代付,但鏈下籤名也是用戶最易忽視的環節。

回到小A的案例,資產被盜與Permit2合約交互有關。關鍵前提是被釣魚的錢包需已授權給Permit2合約。值得注意的是,目前在集成Permit2的Dapp或該交易平台上進行Swap,都需要授權給Permit2合約。

更令人擔憂的是,無論Swap金額多少,該交易平台的Permit2合約默認要求授權全部餘額。雖然錢包會提示自定義輸入金額,但多數用戶可能直接選擇最大或默認值,而Permit2的默認值是無限額度。

這意味着,只要在2023年後與該交易平台有過交互並授權給Permit2合約,就可能面臨這個釣魚騙局的風險。

騙局核心在於Permit函數,它允許通過籤名將授權給Permit2合約的Token額度轉移給其他地址。黑客獲得籤名後,就能操控用戶錢包中的Token並轉移資產。

事件詳細分析

Permit函數類似在線簽署合同,允許提前授權他人(spender)未來使用一定數量的代幣。函數會檢查籤名有效期、驗證籤名真實性,然後更新授權記錄。

verify函數從籤名信息中提取v、r、s數據,用於恢復籤名地址並與代幣擁有者地址比對,驗證通過則繼續調用_updateApproval函數。

_updateApproval函數在通過籤名校驗後更新授權值,實現權限轉移。此時被授權方可調用transferfrom函數將代幣轉移到指定地址。

分析鏈上真實交易可見:

• owner是小A的錢包地址
• Details顯示授權的Token合約地址(USDT)和金額等信息
• Spender是黑客地址
• sigDeadline是籤名有效時間
• signature是小A的籤名信息

回溯小A的交互記錄發現,他之前使用該交易平台時默認授權了幾乎無限的額度。

簡言之,小A先前授權給Permit2合約無限USDT額度,後誤入黑客設計的Permit2籤名釣魚陷阱。黑客獲得籤名後,在Permit2合約中執行Permit和Transfer From操作,轉移了小A的資產。目前該交易平台的Permit2合約似乎已成爲釣魚溫牀,這種釣魚手法約兩個月前開始活躍。

如何防範?

考慮到Permit2合約未來可能更加普及,越來越多項目可能集成該合約進行授權共享,有效的防範措施包括:

1. 理解並識別籤名內容: Permit籤名通常包含Owner、Spender、value、nonce和deadline等關鍵信息。使用安全插件有助於識別這種籤名格式。

2. 分離資產存儲和交互錢包: 建議將大量資產存儲在冷錢包中,交互錢包僅保留少量資金,以減少潛在損失。

3. 限制授權額度或取消授權: 在該交易平台進行Swap時,僅授權所需交互金額。雖然每次交互都需重新授權會增加成本,但可避免Permit2籤名釣魚風險。已授權用戶可使用安全插件取消授權。

4. 識別代幣是否支持permit功能: 關注自持代幣是否支持該功能,如支持則需格外謹慎,嚴格檢查每條未知籤名。

5. 制定完善的資產拯救計劃: 若發現被騙但仍有代幣存在其他平台,需謹慎提取和轉移。考慮使用MEV轉移或尋求專業安全團隊協助,避免黑客再次截取。

未來基於Permit2的釣魚可能會更加普遍,這種籤名釣魚方式極其隱蔽且難防。隨着Permit2應用範圍擴大,暴露風險的地址也將增多。希望讀者能將此信息廣爲傳播,避免更多人遭受損失。