资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Uniswap Permit2签名:从便利工具到DeFi生态系统的常见攻击媒介
Uniswap Permit2签名最初作为简化代币批准的工具而推出,如今却已成为DeFi生态系统中常见的攻击媒介。一位PEPE代币持有者成为了最新的钓鱼诈骗受害者,在不知情的情况下签署了恶意的Uniswap Permit2交易,损失了价值139万美元的加密货币。
攻击事件详情
据网络安全公司ScamSniffer报告,被盗资产包括PEPE、MSTR和APU代币,在受害者批准交易后仅一小时就被转移到了一个新的钱包地址。这一事件凸显了Uniswap的Permit和Permit2功能存在的漏洞。这些功能本意是减少加密货币交易中的摩擦,却可能因一次签名就清空用户的钱包。
受害者无意中签署了一个链外的Permit2签名,这使得攻击者获得了对其钱包的无限制访问权限。在不到一小时内,诈骗者将被盗代币转移至新地址,给受害者造成了重大损失。
Permit2的双刃剑效应
Uniswap于2022年推出Permit2,旨在通过一次性批准多个代币来改善用户体验,节省gas费用。然而,这种便利性已成为一把双刃剑。
根据Gate.io的报告,在典型的Permit2钓鱼攻击中,诈骗者通过钓鱼网站或虚假的去中心化应用(dApp)界面诱导用户签署链外签名。这个签名看似无害,实际上却授权攻击者在Permit2合约中执行两个关键操作——Permit和Transfer From,从而获得对受害者代币的控制权。
一旦交易签署,诈骗者会迅速将代币转移到自己的地址。由于Permit2签名批准发生在链外,用户不会立即在区块链上看到任何可疑活动。当交易到达区块链并完成代币转移时,损失已经造成。
这种链外批准过程使得Permit2钓鱼攻击极为危险,因为攻击者可以通过单一签名转移整个钱包的资金。默认情况下,Permit2授权访问整个代币余额,除非用户手动设置限额,但这一步骤往往被忽视。
Permit钓鱼诈骗的趋势
这并非孤立事件,而是利用Permit2功能进行钓鱼诈骗的上升趋势的一部分。仅在本月,就发生了另外两起涉及Permit2的事件:10月11日,一名投资者在Permit钓鱼诈骗中损失了15,079 fwdETH(约合3600万美元);前一天,另一名受害者在类似的钓鱼攻击中损失了价值247万美元的Aave Ethereum sDAI。
9月的情况更为严重:一名用户在签署欺诈性Permit2签名后损失了12,083 spWETH(价值3243万美元);另一起案件中,因使用Uniswap Permit2批准的钓鱼诈骗,价值127,141美元的Neiro代币从用户钱包中被盗。
应对措施与行业趋势
针对这些持续的攻击,据报道MetaMask已经改进了Permit和Permit2签名的可读性,使用户更容易识别他们授予的权限。
CertiK最近的Web3安全报告强调了加密领域中钓鱼和其他攻击媒介的威胁。报告显示,钓鱼诈骗和私钥泄露是造成损失的主要原因,其中仅钓鱼诈骗就造成了3.43亿美元的损失。
