希望屏幕前的你看到本文后可以传播给更多人,避免更多人被盗。

作者:菠菜菠菜,Sivan,Beosin 安全研究员

*本文由 Beosin 特邀独立研究员菠菜菠菜!(twitter@wzxznl)与 Beosin 安全研究员 Sivan 共同创作发布。

黑客,这是一个让 Web3 生态中每个人都闻风丧胆的存在,对于项目方来说,在全世界黑客都可能盯着你的情况下,代码开源的特性使得项目方开发的时候生怕写错一行代码留下漏洞,一旦出现安全事故后果难以承担。

对于个人来说,如果你不懂得你正在做的操作意味着什么,那么你进行的每一个链上交互或签名都有可能使你的资产被盗。因此安全问题一直是加密世界中最头疼的问题之一,并且由于区块链的特性,一旦资产被盗几乎是没有办法可以追回的,所以在加密世界中具备安全知识尤其重要。

就在最近,Beosin 的好朋友菠菜发现了一个近两个月开始活跃的新钓鱼手法,只要签名就会被盗,手法极其隐蔽且难以防范,并且用过 Uniswap 交互的地址都有可能暴露在风险之下,本文 Beosin 联合独立研究员菠菜对这种签名钓鱼手法进行科普,尽量避免大家更多的资产损失。

图片

以下为菠菜的亲身经历复述:

事件经过

最近,一位朋友(暂称小 A)钱包里的资产被盗后找到菠菜,与常见被盗方式不同的是,小 A 并没有泄漏私钥也没有和钓鱼网站的合约进行交互,于是菠菜开始调查起了这个资产被盗事件。

图片

在区块链浏览器中可以看到小 A 钱包被盗的这笔 USDT 是通过 Transfer From 函数进行转移的,在这进行科普一下,当我们在以太坊上进行 Token 转账的时候,其实是调用了该 Token 智能合约的 Transfer 函数,这两者的区别简单来说 Transfer 是资产拥有者本人进行操作把 Token 转移给其他地址,而 Transfer From 是第三方将地址内的 Token 转移给其他地址。这也就意味着这笔被盗的资产是另外一个地址进行操作把 Token 转移走的,而非钱包私钥泄漏。

图片

通过查询交易细节,我们可以发现一些关键线索:

  • 尾号 fd51 的地址将小 A 的资产转移到了尾号 a0c8 的地址中
  • 这个操作是与 Uniswap 的 Permit2 合约进行交互的

那么疑点来了,尾号 fd51 的地址是如何拿到这笔资产的权限的?为什么会和 Uniswap 有关系?

图片

首先我们需要知道,要想成功调用 Transfer From 这个函数的前提是调用方需要拥有这个 Token 的额度权限,也就是 approve,相信大家有过链上操作的一定熟悉不过了,当我们去使用一些 Dapp 的时候,一旦涉及到资产的转移就需要我们先进行一个授权(approve)操作,这样 Dapp 的合约才有权限对我们的资产进行转移。

要解开这个谜题,我们需要继续挖掘,而答案就在尾号 fd51 的地址的交互记录中,在该地址进行 Transfer From 转走小 A 的资产之前,可以看到该地址还进行了一个 Permit 的操作,并且这两个操作的交互对象都是 Uniswap 的 Permit2 合约,那么这个 Permit 函数和 Uniswap Permit2 又是什么情况?

Uniswap Permit2 合约是 Uniswap 在 2022 年年底推出的新的智能合约,根据官方的说法,这是一个代币审批合约,允许代币授权在不同的应用程序中共享和管理,创造一个更统一、更具成本效益、更安全的用户体验。

并且未来随着越来越多的项目与 Permit2 集成,Permit2 可以在所有应用程序中实现标准化 Token 批准。Permit2 将通过降低交易成本来改善用户体验,同时提高智能合约的安全性。

图片

我们先要了解一下为什么 Uniswap 要推出 Permit2,我们来假设一个场景,当我们要在某 Dex 上进行 Swap 时,传统的交互方式是我们需要先授权 (approve) 给这个 Dex,然后再进行 Swap,这通常需要花费我们两笔 Gas 费,对于用户来说摩擦成本太大了,相信大家都有过这样的体验。

图片来源:https://github.com/dragonfly-xyz/useful-solidity-patterns/tree/main/patterns/permit2

而 Permit2 的推出将有可能改变整个 Dapp 生态的游戏规则,简单来说就是传统的方法是你每跟一个 Dapp 进行资产转移的交互你都需要进行一次授权,而 Permit2 可以把这个步骤给省去,这样可以非常有效的降低用户的交互成本,带来更好的用户体验。

解决方案是 Permit2 作为用户和 Dapp 之间的中间人,用户只需要把 Token 的权限授权给 Permit2 合约,所有集成 Permit2 合约的 Dapp 都可以共享这个授权额度,对于用户来说,减少了交互成本和提高了用户体验,对于 Dapp 来说,用户体验的提升带来更多的用户和资金,这本是一个双赢的局面,但同时这也可以是一个双刃剑,而问题就出在和 Permit2 交互方式上。

在传统的交互方式中,不管是授权还是进行资金的转移对于操作的用户来说都是链上的交互。而 Permit2 则将用户的操作变为了链下签名,而所有链上的操作都由中间角色(如 Permit2 合约和集成了 Permit2 的项目方等)来完成,这种方案带来的好处是由于链上交互的角色从用户转移为了中间角色,用户即使钱包里没有 ETH 也可以使用其他 Token 来支付 Gas 费或完全由中间角色报销,这取决于中间角色的选择。

图片来源:https://github.com/dragonfly-xyz/useful-solidity-patterns/tree/main/patterns/permit2

虽然 Permit2 的出现有可能改变未来 Dapp 的游戏规则,但是可以看出的是这是一把很强的双刃剑,对于用户来说,链下签名是最容易放下防备的环节,比如当我们用钱包登入某些 Dapp 的时候会需要签名进行连接,而绝大多数人并不会仔细检查签名的内容也并不理解签名的内容,而这就是最可怕的地方。

明白了 Permit2 合约,回到小 A 的事件中我们就明白了为什么资产被盗都是与 Permit2 合约进行交互了,那么就让菠菜来重现这个 Permit2 签名钓鱼手法,首先一个至关重要的前提条件是被钓鱼的钱包需要有 Token 授权给 Uniswap 的 Permit2 合约,菠菜发现目前只要在与 Permit2 集成的 Dapp 或 Uniswap 上进行 Swap 的话,都是需要授权给 Permit2 合约的(下图菠菜使用了安全插件)。

图片

另外一个很可怕的点是,不管你要 Swap 的金额是多少,Uniswap 的 Permit2 合约都会默认让你授权该 Token 全部余额的额度,虽然 MetaMask 会让你自定义输入金额,但我相信大部分人都会直接点击最大或默认值,而 Permit2 的默认值是无限的额度…….

图片
图片

这也就意味着,只要你在 2023 年之后与 Uniswap 有过交互并授权额度给 Permit2 合约,你就会暴露在这个钓鱼骗局的风险之下。

因为重点就在于之前在尾号 fd51 的地址中与 Permit2 合约交互的 Permit 函数上,这个函数简单来说就是利用你的钱包将你授权给 Permit2 合约的 Token 额度转移给别的地址,也就是说只要拿到了你的签名,黑客就可以拿到你钱包中 Token 的权限并把你的资产转移走。

事件详细分析

permit 函数:

你可以把 Permit 函数看作是一种在线签署合同的方式。这个函数让你 (PermitSingle) 可以提前签署一个"合同",允许其他人(spender)在未来的某个时间花费你的一些代币。

同时,你还需要提供一个签名(signature),就像在纸质合同上签名一样,用来证明这个"合同"真的是你签署的。

那么这个函数是怎么工作的呢?

  1. 首先,它会检查现在的时间是否超过了你的签名的有效期 (sigDeadline)。就像你签署的合同有个有效期一样,如果现在的时间超过了有效期,那么这个"合同"就不能再用了,程序会直接停止。
  2. 接着,它会检查你的签名是否真的是你签的。程序会用一个特殊的方法(signature.verify)来检查这个签名,确保这个签名真的是你签的,没有被别人伪造。
  3. 最后,如果检查都通过了,那么程序就会更新一下记录,记下你已经允许其他人使用你的一些代币。

重点则主要在于 verify 函数和_updateApproval 函数。

verify 函数:

图片

可以看到,verify 函数会从签名信息参数中获取出 v、r、s 三个数据,v、r、s 是交易签名的值,它们可以用来恢复交易签名的地址,上图代码中可以看到,合约恢复了交易签名的地址后,与传入的代币拥有者地址进行比较,如果相同,则验证通过,继续_updateApproval 函数的调用,如果不同,则回滚交易。

_updateApproval 函数:

图片

当通过了签名校验后,会调用_updateApproval 函数更新授权值,这也就意味着你的权限发生了转移。此时,被授权方便可以调用 transferfrom 函数将代币转移到制定地址,如下图代码。

好了,解释完 permit 函数,我们来看看链上真实交易,我们查看这个交互的细节可以发现:

owner 就是小 A 的钱包地址 (尾号 308a)

Details 中可以看到授权的 Token 合约地址 (USDT) 和金额等信息

Spender 就是尾号 fd51 的黑客地址

sigDeadline 是签名的有效时间,而 signature 就是小 A 的签名信息

图片

而往回翻小 A 的交互记录我们会发现,小 A 之前使用 Uniswap 的时候点击了默认的授权额度,也就是几乎无限的额度。

图片

简单复盘一下就是,小 A 在之前使用 Uniswap 的过程中授权给了 Uniswap Permit2 无限的 USDT 额度,而小 A 在进行钱包操作的时候不小心掉入了黑客设计的 Permit2 签名钓鱼陷阱,黑客拿到了小 A 的签名后利用小 A 的签名在 Permit2 合约中进行了 Permit 和 Transfer From 两个操作把小 A 的资产转移走了,而目前菠菜观察到的是 Uniswap 的 Permit2 合约已经沦为了钓鱼天堂,这个 Permit2 签名钓鱼似乎在两个月前才开始活跃。

来源:https://etherscan.io/address/0x000000000022d473030f116ddee9f6b43ac78ba3

并且在交互记录中可以发现几乎大部分都是被标记的钓鱼地址 (Fake_Phishing),不断有人上当。

来源:https://etherscan.io/address/0x000000000022d473030f116ddee9f6b43ac78ba3

如何防范?

考虑到 Uniswap Permit2 合约可能会在未来更加普及,会有更多项目集成 Permit2 合约进行授权共享,菠菜能想到有效的防范手段有:

1 理解并识别签名内容:

Permit 的签名格式通常包含 Owner、Spender、value、nonce 和 deadline 这几个关键格式,如果你想享受 Permit2 带来的便利和低成本的话一定要学会识别这种签名格式。(下载安全插件是一个很好的选择)

我们向各位读者朋友推荐下面这款 Beosin Alert 反钓鱼插件,可以识别 Web3 领域的大部分钓鱼网站,守护大家的钱包和资产安全。

图片

反钓鱼插件下载:

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=en

2 放资产的钱包和交互的钱包分离使用:

如果你有大量资产的话,建议资产都放在一个冷钱包中,链上交互的钱包放少量资金,可以大幅减少遇到钓鱼骗局时的损失。

3 不要授权过多额度给 Permit2 合约或取消授权:

当你在 Uniswap 上进行 Swap 的时候,只授权你要交互的金额数量,这样虽然每次交互都需要重新授权会多出一些交互成本,但是可以免于遭受 Permit2 的签名钓鱼。如果你已经授权了额度,可以找相应的安全插件进行取消授权。

4 识别代币性质,是否支持 permit 功能:

后续可能越来越多的 ERC20 代币使用该扩展协议实现 permit 功能,对于你来说需要关注自己所持有的代币是否支持该功能,如果支持,那么对于该代币的交易或操纵一定要格外小心,对于每条未知签名也要严格检查是否是对 permit 函数的签名。

5 若被骗后还有代币存在其他平台,需制定完善的拯救计划:

当你发现自己被诈骗,代币被黑客转移出去后,但自己还有代币通过例如质押等方式存在其他平台上,需要提取出来转移到安全地址上,这时需要知道黑客可能时刻监控着你的地址代币余额,因为他拥有你的签名,只要你的被盗地址上出现了代币,那么黑客可以直接转移出去。这时需要制定完善的代币拯救过程,在提取代币和转移代币两个过程需要一起执行,不能让黑客交易插入其中,可以使用 MEV 转移,这需要一些区块链知识以及代码功底,也可以寻找专业的安全公司比如 Beosin 团队利用交易抢跑脚本来实现。

案例阅读:加密大 V 遭遇 “清道夫” 攻击,Beosin 安全团队如何帮其追回资金?

相信在未来基于 Permit2 的钓鱼可能会越来越多,这种签名钓鱼方式极其隐蔽且难防,并且随着 Permit2 的应用范围越来越广,暴露在风险下的地址也会越来越多,希望屏幕前的你看到本文后可以传播给更多人,避免更多人被盗。

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。本文内容仅用于信息分享,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。