警惕Uniswap Permit2签名钓鱼新骗局

近期,一种利用Uniswap Permit2合约的新型钓鱼手法正在兴起。这种方法极其隐蔽,难以防范,而且所有与Uniswap交互过的地址都可能面临风险。本文将详细解析这一骗局,帮助大家提高警惕。

事件经过

最近,一位用户(小A)的钱包资产被盗,但他并未泄露私钥或与可疑合约交互。调查发现,这笔被盗的USDT是通过Transfer From函数转移的,说明是第三方操作的转账。

进一步查看交易细节,发现:

• 资产被转移到了一个陌生地址
• 这个操作是与Uniswap的Permit2合约交互的

关键问题是:这个陌生地址是如何获得资产权限的?为什么会涉及Uniswap?

Uniswap Permit2合约简介

Uniswap Permit2是2022年底推出的新合约,旨在实现跨应用的代币授权共享和管理。它可以:

• 降低用户交互成本
• 提升用户体验
• 增强智能合约安全性

Permit2作为用户和Dapp之间的中间层,用户只需授权给Permit2,所有集成Permit2的Dapp就可以共享这个授权。这大大简化了用户操作流程。

然而,Permit2也带来了新的安全隐患。它将用户操作变为链下签名,所有链上操作由中间角色完成。这种模式下,用户更容易忽视签名内容的重要性。

钓鱼手法分析

这种钓鱼方式的关键在于Permit函数。攻击者利用用户的签名,将用户授权给Permit2的代币额度转移给自己。只要获得签名,黑客就能转移用户资产。

具体步骤如下:

1. 用户之前在Uniswap上授权了Permit2合约
2. 用户不慎签署了黑客精心设计的Permit签名
3. 黑客利用签名调用Permit2合约的Permit函数
4. 黑客获得用户代币的使用权限
5. 黑客调用Transfer From函数转移资产

这种方法的可怕之处在于,只要用户曾与Uniswap交互并授权Permit2,就可能成为受害者。

防范建议

1. 学会识别Permit签名格式,包含Owner、Spender、value、nonce和deadline等关键信息

2. 使用冷热钱包分离策略,交互钱包只存少量资金

3. 对Permit2合约授权时限制额度,或及时取消多余授权

4. 了解所持代币是否支持permit功能,对相关操作格外谨慎

5. 若不幸被骗,需制定完善的资产拯救计划,可寻求专业安全团队协助

随着Permit2应用范围扩大,这类钓鱼案例可能会越来越多。请大家提高警惕,保护好自己的数字资产安全。