警惕Uniswap Permit2籤名釣魚新騙局

近期,一種利用Uniswap Permit2合約的新型釣魚手法正在興起。這種方法極其隱蔽,難以防範,而且所有與Uniswap交互過的地址都可能面臨風險。本文將詳細解析這一騙局,幫助大家提高警惕。

事件經過

最近,一位用戶(小A)的錢包資產被盜,但他並未泄露私鑰或與可疑合約交互。調查發現,這筆被盜的USDT是通過Transfer From函數轉移的,說明是第三方操作的轉帳。

進一步查看交易細節,發現:

• 資產被轉移到了一個陌生地址
• 這個操作是與Uniswap的Permit2合約交互的

關鍵問題是:這個陌生地址是如何獲得資產權限的?爲什麼會涉及Uniswap?

Uniswap Permit2合約簡介

Uniswap Permit2是2022年底推出的新合約,旨在實現跨應用的代幣授權共享和管理。它可以:

• 降低用戶交互成本
• 提升用戶體驗
• 增強智能合約安全性

Permit2作爲用戶和Dapp之間的中間層,用戶只需授權給Permit2,所有集成Permit2的Dapp就可以共享這個授權。這大大簡化了用戶操作流程。

然而,Permit2也帶來了新的安全隱患。它將用戶操作變爲鏈下籤名,所有鏈上操作由中間角色完成。這種模式下,用戶更容易忽視籤名內容的重要性。

釣魚手法分析

這種釣魚方式的關鍵在於Permit函數。攻擊者利用用戶的籤名,將用戶授權給Permit2的代幣額度轉移給自己。只要獲得籤名,黑客就能轉移用戶資產。

具體步驟如下:

1. 用戶之前在Uniswap上授權了Permit2合約
2. 用戶不慎簽署了黑客精心設計的Permit籤名
3. 黑客利用籤名調用Permit2合約的Permit函數
4. 黑客獲得用戶代幣的使用權限
5. 黑客調用Transfer From函數轉移資產

這種方法的可怕之處在於,只要用戶曾與Uniswap交互並授權Permit2,就可能成爲受害者。

防範建議

1. 學會識別Permit籤名格式,包含Owner、Spender、value、nonce和deadline等關鍵信息

2. 使用冷熱錢包分離策略,交互錢包只存少量資金

3. 對Permit2合約授權時限制額度,或及時取消多餘授權

4. 了解所持代幣是否支持permit功能,對相關操作格外謹慎

5. 若不幸被騙,需制定完善的資產拯救計劃,可尋求專業安全團隊協助

隨着Permit2應用範圍擴大,這類釣魚案例可能會越來越多。請大家提高警惕,保護好自己的數字資產安全。