籤名就被盜？揭祕某DEX Permit2籤名釣魚騙局

黑客是Web3生態中令人聞風喪膽的存在。對項目方而言,開源代碼增加了安全隱患;對個人用戶來說,每次鏈上交互都可能帶來資產被盜風險。因此,安全問題一直是加密世界的重中之重。

近期,一位研究人員發現了一種新型釣魚手法,僅需籤名就可能導致資產被盜。這種手法極其隱蔽難防,並且使用過某DEX的地址都可能面臨風險。本文將對這種籤名釣魚手法進行分析,以幫助大家避免更多資產損失。

事件經過

一位用戶(小A)的錢包資產被盜後尋求幫助。與常見被盜方式不同,小A並未泄露私鑰或與釣魚網站交互。通過區塊鏈瀏覽器可以看到,小A的USDT是通過Transfer From函數被轉移的,這意味着是第三方操作轉移了資產,而非私鑰泄露。

進一步查詢發現:

• 一個地址(fd51)將小A的資產轉移到另一地址(a0c8)
• 這個操作是與某DEX的Permit2合約交互的

關鍵問題是:fd51地址如何獲得資產權限?爲何與某DEX有關?

分析fd51地址的交互記錄,發現在轉移小A資產前,該地址進行了Permit操作,且兩次交互對象都是某DEX的Permit2合約。

Permit2合約分析

某DEX的Permit2是一個代幣審批合約,允許在不同應用間共享和管理授權,旨在提供更統一、高效、安全的用戶體驗。未來隨着集成度提高,Permit2有望實現跨應用的標準化代幣授權。

Permit2的主要優勢是:用戶只需向Permit2合約授權一次,所有集成該合約的應用都可共享授權額度。這大大降低了用戶交互成本,提升了體驗。但這也可能是把雙刃劍。

傳統交互方式中,授權和資金轉移都是用戶的鏈上操作。而Permit2將用戶操作變爲鏈下籤名,鏈上操作由中間方(如Permit2合約或集成項目)完成。這使得用戶無需持有ETH也能支付gas或完成交易。

然而,鏈下籤名恰恰是用戶最容易忽視的環節。大多數人不會仔細檢查籤名內容,這正是最危險之處。

釣魚手法重現

該釣魚手法的關鍵前提是:被釣魚錢包需已授權代幣給Permit2合約。目前只要在集成Permit2的應用或某DEX上進行Swap,都會要求授權給Permit2。

更糟糕的是,無論Swap金額多少,某DEX的Permit2都會默認請求全部餘額的授權。雖然錢包會提示自定義金額,但多數用戶會直接選擇最大或默認值。

這意味着,只要在2023年後與某DEX交互並授權給Permit2,就可能暴露在這個釣魚風險之下。

核心原理是利用Permit函數,通過用戶籤名將授權給Permit2的代幣額度轉移給其他地址。黑客只需獲取籤名,就能轉移用戶資產。

防範建議

1. 理解並識別籤名內容:學會識別Permit籤名格式,使用安全插件輔助。

2. 分離資產存儲和交互錢包:大額資產存冷錢包,交互錢包少量資金。

3. 控制Permit2授權額度:僅授權所需金額,或取消多餘授權。

4. 了解代幣是否支持permit功能:對支持的代幣交易需格外謹慎。

5. 制定應急預案:若發現被盜,需快速安全地轉移其他平台上的資產。

隨着Permit2應用範圍擴大,基於此的釣魚攻擊可能會增多。這種籤名釣魚方式隱蔽難防,暴露風險的地址也會越來越多。希望讀者能傳播本文,幫助更多人避免被盜風險。