Uniswap Permit2签名钓鱼新手法深度剖析及防范策略

签名安全再敲警钟:深度解析Uniswap Permit2签名钓鱼事件

近期,一种利用Uniswap Permit2合约进行的新型签名钓鱼手法引起了广泛关注。这种攻击方式极其隐蔽且难以防范,对于曾使用过Uniswap进行交互的地址都可能存在风险。本文将深入剖析这一新型攻击手法,并提供相应的防范建议。

事件经过

事件源于一位用户(小A)的资产被盗。与常见被盗方式不同,小A并未泄露私钥,也未与钓鱼网站的合约进行交互。通过区块链浏览器可以看到,小A钱包中的USDT是通过Transfer From函数被转移的,这意味着是第三方地址操作将Token转移走的,而非钱包私钥泄露。

进一步调查发现,这次操作是与Uniswap的Permit2合约进行交互的。关键问题在于:执行转移的地址是如何获得资产权限的?为何会涉及Uniswap?

签名就被盗?揭秘Uniswap Permit2签名钓鱼骗局

Uniswap Permit2解析

Uniswap Permit2是Uniswap于2022年底推出的新智能合约。它旨在实现代币授权的统一管理,提高用户体验并降低交易成本。Permit2作为用户与DApp之间的中介,允许用户只需对Permit2合约进行一次授权,就能在所有集成Permit2的DApp中共享这个授权额度。

这种机制虽然提高了用户体验,但也带来了潜在风险。传统交互方式下,授权和资金转移都需要用户进行链上交互。而Permit2将用户操作转为链下签名,所有链上操作由中间角色(如Permit2合约)完成。这种方式虽然便利,但也让用户更容易在签名环节放松警惕。

签名就被盗?揭秘Uniswap Permit2签名钓鱼骗局

攻击手法详解

攻击者利用Permit2合约的Permit函数实施攻击。该函数允许用户通过签名授权他人在未来某个时间使用自己的代币。攻击步骤如下:

  1. 用户曾在Uniswap上进行交易,并授权给Permit2合约(通常是无限额度)。
  2. 攻击者诱导用户进行一个看似无害的签名操作。
  3. 攻击者获得签名后,通过Permit2合约的Permit函数验证签名。
  4. 验证通过后,攻击者获得用户代币的使用权。
  5. 攻击者随后通过Transfer From函数将用户的资产转移走。

签名就被盗?揭秘Uniswap Permit2签名钓鱼骗局

防范措施

  1. 理解并识别签名内容:学会辨别Permit签名格式,包括Owner、Spender、value、nonce和deadline等关键信息。推荐使用安全插件辅助识别。

  2. 资产与交互钱包分离:将大量资产存储在冷钱包中,日常交互使用仅含少量资金的热钱包,以降低潜在损失。

  3. 限制Permit2授权额度:在Uniswap上进行Swap时,只授权所需交易金额,避免授权过多额度。如已授权,可通过安全插件取消授权。

  4. 识别代币是否支持permit功能:关注所持代币是否支持该功能,对支持permit功能的代币交易需格外谨慎。

  5. 制定应急方案:如发现被骗但仍有资产在其他平台,需制定完善的资产转移计划,可考虑使用MEV转移或寻求专业安全团队协助。

随着Permit2应用范围的扩大,基于此的钓鱼攻击可能会越来越多。这种签名钓鱼方式极其隐蔽且难以防范,用户需提高警惕,加强安全意识,避免成为下一个受害者。

签名就被盗?揭秘Uniswap Permit2签名钓鱼骗局

UNI2.71%
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见声明
  • 赞赏
  • 3
  • 分享
评论
0/400
YieldWhisperervip
· 07-21 15:06
在'18年看到了同样的攻击模式... 有些人从来没有学习过签名卫生,真是无奈
查看原文回复0
SerumSquirrelvip
· 07-21 14:56
话说钓鱼这么花里胡哨了吗
回复0
Satoshi挑战者vip
· 07-21 14:43
钓鱼永恒主题 数据会说话 百分之98受害者签完就G [冷笑]
回复0
交易,随时随地
qrCode
扫码下载 Gate APP
社群列表
简体中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)