籤名釣魚新手法:Uniswap Permit2合約引發的安全隱患

近期,一種利用Uniswap Permit2合約的新型籤名釣魚手法開始活躍,其隱蔽性和危害性都很高。這種攻擊只需要受害者進行一次籤名就可能導致資產被盜,而且曾經與Uniswap交互過的地址都有風險。

案例分析

最近一位用戶(小A)的錢包資產被盜,但他並未泄露私鑰或與可疑合約交互。調查發現,這筆被盜的USDT是通過Transfer From函數轉移的,說明是第三方地址操作轉走的資產。

進一步分析交易細節發現:

• 一個中間地址將小A的資產轉移到了另一個地址
• 這個操作是與Uniswap的Permit2合約交互的

關鍵在於這個中間地址在轉移資產前,還進行了一個Permit操作,交互對象也是Uniswap的Permit2合約。

Permit2合約介紹

Uniswap Permit2是一個代幣審批合約,允許代幣授權在不同應用間共享和管理,可以降低交易成本、提高用戶體驗。但它也帶來了新的安全風險。

使用Permit2時,用戶的操作變爲鏈下籤名,鏈上操作由中間角色完成。這種方式雖然便利,但也容易讓用戶在籤名時放松警惕。

釣魚手法還原

1. 受害者需要先授權Token給Uniswap的Permit2合約(通常是全額授權)

2. 黑客誘導用戶進行一次看似無害的籤名

3. 黑客利用這個籤名調用Permit2合約的permit函數,獲得用戶Token的使用權

4. 黑客再調用transferFrom函數將Token轉走

這意味着只要你在2023年後與Uniswap交互過,就可能面臨這種風險。

防範建議

1. 學會識別Permit籤名的格式,包含Owner、Spender、value、nonce和deadline等字段

2. 資產與交互錢包分離使用

3. 授權Permit2合約時只授權所需金額,或取消多餘授權

4. 了解自己持有的代幣是否支持permit功能

5. 若被盜後還有資產在其他平台,需制定完善的提取方案

未來基於Permit2的釣魚可能會越來越多,這種方式極其隱蔽且難防,希望大家提高警惕,謹慎籤名。