签名就被盗？揭秘某DEX Permit2签名钓鱼骗局

黑客是Web3生态中令人闻风丧胆的存在。对项目方而言,开源代码增加了安全隐患;对个人用户来说,每次链上交互都可能带来资产被盗风险。因此,安全问题一直是加密世界的重中之重。

近期,一位研究人员发现了一种新型钓鱼手法,仅需签名就可能导致资产被盗。这种手法极其隐蔽难防,并且使用过某DEX的地址都可能面临风险。本文将对这种签名钓鱼手法进行分析,以帮助大家避免更多资产损失。

事件经过

一位用户(小A)的钱包资产被盗后寻求帮助。与常见被盗方式不同,小A并未泄露私钥或与钓鱼网站交互。通过区块链浏览器可以看到,小A的USDT是通过Transfer From函数被转移的,这意味着是第三方操作转移了资产,而非私钥泄露。

进一步查询发现:

• 一个地址(fd51)将小A的资产转移到另一地址(a0c8)
• 这个操作是与某DEX的Permit2合约交互的

关键问题是:fd51地址如何获得资产权限?为何与某DEX有关?

分析fd51地址的交互记录,发现在转移小A资产前,该地址进行了Permit操作,且两次交互对象都是某DEX的Permit2合约。

Permit2合约分析

某DEX的Permit2是一个代币审批合约,允许在不同应用间共享和管理授权,旨在提供更统一、高效、安全的用户体验。未来随着集成度提高,Permit2有望实现跨应用的标准化代币授权。

Permit2的主要优势是:用户只需向Permit2合约授权一次,所有集成该合约的应用都可共享授权额度。这大大降低了用户交互成本,提升了体验。但这也可能是把双刃剑。

传统交互方式中,授权和资金转移都是用户的链上操作。而Permit2将用户操作变为链下签名,链上操作由中间方(如Permit2合约或集成项目)完成。这使得用户无需持有ETH也能支付gas或完成交易。

然而,链下签名恰恰是用户最容易忽视的环节。大多数人不会仔细检查签名内容,这正是最危险之处。

钓鱼手法重现

该钓鱼手法的关键前提是:被钓鱼钱包需已授权代币给Permit2合约。目前只要在集成Permit2的应用或某DEX上进行Swap,都会要求授权给Permit2。

更糟糕的是,无论Swap金额多少,某DEX的Permit2都会默认请求全部余额的授权。虽然钱包会提示自定义金额,但多数用户会直接选择最大或默认值。

这意味着,只要在2023年后与某DEX交互并授权给Permit2,就可能暴露在这个钓鱼风险之下。

核心原理是利用Permit函数,通过用户签名将授权给Permit2的代币额度转移给其他地址。黑客只需获取签名,就能转移用户资产。

防范建议

1. 理解并识别签名内容:学会识别Permit签名格式,使用安全插件辅助。

2. 分离资产存储和交互钱包:大额资产存冷钱包,交互钱包少量资金。

3. 控制Permit2授权额度:仅授权所需金额,或取消多余授权。

4. 了解代币是否支持permit功能:对支持的代币交易需格外谨慎。

5. 制定应急预案:若发现被盗,需快速安全地转移其他平台上的资产。

随着Permit2应用范围扩大,基于此的钓鱼攻击可能会增多。这种签名钓鱼方式隐蔽难防,暴露风险的地址也会越来越多。希望读者能传播本文,帮助更多人避免被盗风险。