签名钓鱼新手法:Uniswap Permit2合约引发的安全隐患

近期,一种利用Uniswap Permit2合约的新型签名钓鱼手法开始活跃,其隐蔽性和危害性都很高。这种攻击只需要受害者进行一次签名就可能导致资产被盗,而且曾经与Uniswap交互过的地址都有风险。

案例分析

最近一位用户(小A)的钱包资产被盗,但他并未泄露私钥或与可疑合约交互。调查发现,这笔被盗的USDT是通过Transfer From函数转移的,说明是第三方地址操作转走的资产。

进一步分析交易细节发现:

• 一个中间地址将小A的资产转移到了另一个地址
• 这个操作是与Uniswap的Permit2合约交互的

关键在于这个中间地址在转移资产前,还进行了一个Permit操作,交互对象也是Uniswap的Permit2合约。

Permit2合约介绍

Uniswap Permit2是一个代币审批合约,允许代币授权在不同应用间共享和管理,可以降低交易成本、提高用户体验。但它也带来了新的安全风险。

使用Permit2时,用户的操作变为链下签名,链上操作由中间角色完成。这种方式虽然便利,但也容易让用户在签名时放松警惕。

钓鱼手法还原

1. 受害者需要先授权Token给Uniswap的Permit2合约(通常是全额授权)

2. 黑客诱导用户进行一次看似无害的签名

3. 黑客利用这个签名调用Permit2合约的permit函数,获得用户Token的使用权

4. 黑客再调用transferFrom函数将Token转走

这意味着只要你在2023年后与Uniswap交互过,就可能面临这种风险。

防范建议

1. 学会识别Permit签名的格式,包含Owner、Spender、value、nonce和deadline等字段

2. 资产与交互钱包分离使用

3. 授权Permit2合约时只授权所需金额,或取消多余授权

4. 了解自己持有的代币是否支持permit功能

5. 若被盗后还有资产在其他平台,需制定完善的提取方案

未来基于Permit2的钓鱼可能会越来越多,这种方式极其隐蔽且难防,希望大家提高警惕,谨慎签名。