签名就被盗？揭秘Uniswap Permit2签名钓鱼骗局

黑客是Web3生态中令人畏惧的存在。对项目方而言,代码开源使得任何错误都可能被利用,安全事故后果严重。对个人用户来说,不了解操作含义可能导致资产被盗。区块链的不可逆特性使得被盗资产难以追回,因此安全知识尤为重要。

近期,一种新型钓鱼手法开始活跃,仅需签名就可能被盗,手法隐蔽难防。使用过某DEX交互的地址都可能面临风险。本文将对这种签名钓鱼手法进行科普,以避免更多资产损失。

事件源于一位朋友(小A)的资产被盗。与常见被盗方式不同,小A未泄露私钥也未与钓鱼合约交互。调查发现,小A的USDT是通过Transfer From函数被转移的,意味着另一地址操作转移了Token。

关键线索是:

• 一个地址将小A资产转移到另一地址
• 操作与某DEX的Permit2合约交互

疑点在于该地址如何获得资产权限,以及为何与某DEX有关。

进一步调查发现,在转移资产前,该地址进行了Permit操作,交互对象都是某DEX的Permit2合约。Permit2是该DEX于2022年底推出的新合约,旨在实现跨应用的Token授权共享管理。

Permit2的目标是简化用户交互流程,降低Gas成本。传统方式下用户需对每个Dapp单独授权,而Permit2可省去这一步骤。它作为用户与Dapp间的中间人,用户只需授权给Permit2,所有集成的Dapp即可共享授权。

这种方式虽然提升了用户体验,但也带来风险。Permit2将用户操作变为链下签名,所有链上操作由中间角色完成。这使得用户即使没有ETH也可使用其他Token支付Gas或由中间角色承担。

然而,链下签名是最易被忽视的环节。许多用户在连接Dapp时不会仔细检查签名内容,这正是最危险之处。

小A事件的关键在于Permit函数。该函数允许用户提前签署"合同",授权他人在未来使用自己的Token。只要获得用户签名,攻击者就能转移用户授权给Permit2的Token额度。

值得注意的是,某DEX的Permit2默认请求无限授权额度。这意味着2023年后与该DEX交互并授权Permit2的用户都可能面临风险。

防范建议:

1. 学会识别Permit签名格式
2. 分离资产存储和交互钱包
3. 限制授权给Permit2的额度或及时取消授权
4. 了解所持Token是否支持permit功能
5. 制定完善的资产拯救计划

随着Permit2应用范围扩大,相关钓鱼手法可能增多。这种签名钓鱼方式极其隐蔽且难防,暴露在风险下的地址会越来越多。希望读者能将此信息传播给更多人,避免更多资产损失。