Permit2籤名釣魚新手法:DEX用戶資產安全警報

robot
摘要生成中

隱蔽的籤名陷阱 - 揭祕Uniswap Permit2釣魚騙局

在Web3生態中,黑客一直是讓項目方和普通用戶都提心吊膽的存在。由於區塊鏈的不可逆性,一旦資產被盜幾乎無法追回,因此具備安全知識對於每個加密世界參與者來說都至關重要。

近期,一種新型的釣魚手法開始活躍,僅需籤名就可能導致資產被盜,手法極其隱蔽且難以防範。更令人擔憂的是,所有與某DEX有過交互的地址都可能暴露在這種風險之下。本文將深入剖析這種籤名釣魚手法的原理和防範措施。

事件經過

事情源於一位朋友(小A)的資產被盜事件。與常見被盜方式不同,小A並未泄露私鑰,也沒有與可疑網站或合約進行交互。通過區塊鏈瀏覽器可以看到,小A錢包中的USDT是通過Transfer From函數被轉走的,這意味着是第三方地址操作轉移了資產,而非錢包私鑰泄露。

進一步查詢交易細節發現:

  • 一個尾號爲fd51的地址將小A的資產轉移到了另一個地址
  • 這個操作是與某DEX的Permit2合約進行交互的

關鍵問題在於,fd51地址是如何獲得小A資產的操作權限的?爲什麼會與某DEX的合約有關?

籤名就被盜?揭祕Uniswap Permit2籤名釣魚騙局

釣魚手法剖析

要理解這個釣魚手法,我們需要先了解Permit2合約的作用。Permit2是某DEX在2022年底推出的一個代幣審批合約,旨在讓不同應用程序共享和管理代幣授權,從而創造更統一、更具成本效益、更安全的用戶體驗。

傳統交互方式下,用戶每次與不同DApp交互時都需要單獨授權。而Permit2作爲中間人,用戶只需將Token授權給Permit2合約,所有集成Permit2的DApp就可以共享這個授權額度。這大大降低了用戶的交互成本,提升了體驗。

籤名就被盜?揭祕Uniswap Permit2籤名釣魚騙局

然而,Permit2也帶來了新的風險。它將用戶操作從鏈上交互變爲了鏈下籤名,而所有鏈上操作由中間角色(如Permit2合約)來完成。這種方案雖然便利,但鏈下籤名恰恰是用戶最容易放松警惕的環節。

在小A的案例中,關鍵就在於黑客利用Permit2合約的Permit函數。這個函數允許通過籤名將用戶授權給Permit2的Token額度轉移給其他地址。也就是說,只要獲得用戶的籤名,黑客就可以操控用戶錢包中的Token。

籤名就被盜?揭祕Uniswap Permit2籤名釣魚騙局

防範措施

考慮到Permit2未來可能更加普及,以下是一些有效的防範建議:

  1. 學會識別Permit籤名格式。Permit籤名通常包含Owner、Spender、value、nonce和deadline等關鍵信息。使用安全插件可以幫助識別。

  2. 分離資產存儲和交互錢包。將大額資產存放在冷錢包中,交互錢包僅保留少量資金,可以大幅降低損失風險。

  3. 限制授權額度或取消授權。在交互時只授權所需金額,雖然會增加一些成本,但可以避免遭受Permit2籤名釣魚。已授權的可通過安全插件取消。

  4. 了解所持代幣是否支持permit功能。對支持該功能的代幣交易要格外謹慎,嚴格檢查每個未知籤名。

  5. 制定應急預案。如果發現被騙但還有資產在其他平台,需要快速制定完善的資產拯救計劃,可考慮使用MEV轉移或尋求專業安全團隊協助。

隨着Permit2應用範圍擴大,基於此的釣魚手法可能會越來越多。這種籤名釣魚方式極其隱蔽且難以防範,希望更多人了解相關風險,提高警惕,避免遭受損失。

籤名就被盜?揭祕Uniswap Permit2籤名釣魚騙局

查看原文
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見聲明
  • 讚賞
  • 6
  • 分享
留言
0/400
Crypto段子手vip
· 14小時前
笑死,韭菜遇到智能合约叫爸爸
回復0
地板价梦魇vip
· 07-13 04:24
签名提醒第800遍
回復0
Rug_Resistantvip
· 07-13 04:21
又一批韭菜要被收割了
回復0
Wallet_Detectivevip
· 07-13 04:21
又有韭菜掉坑里了
回復0
码农挖矿摆烂君vip
· 07-13 04:14
又是签名翻车 菜鸟吃瘪啦
回復0
幻想矿工vip
· 07-13 04:08
又圈钱新套路 搞得我都不敢签名了
回復0
交易,隨時隨地
qrCode
掃碼下載 Gate APP
社群列表
繁體中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)