浅谈以太坊元交易的新型授权钓鱼风险
浅谈以太坊元交易的新型授权钓鱼风险
在区块链世界中,新用户想进入这个领域存在不少门槛,其中最大的门槛之一是每个操作都需要交易手续费(transaction fee),在以太坊里面叫gas,元交易(meta transaction)则是最有希望解决这个问题的方案,但是在目前也存在一定风险。

0x1 什么是元交易

设想这样一个场景:你被DeFi的高收益所吸引,所以决定将交易所里的USDC全部提到钱包,然后投入到DeFi中,在提现完成后,你钱包确实收到了USDC,但你发现你不能完成任何链上操作,不能交易,不能质押。所以,你又需要重新从交易所中购买一些ETH再提到钱包....
 
在常规情况下,用户想要在区块链上发布一笔交易,需要账户内有足够的的原生代币(native coin,ETH、BTC这类)作为交易手续费,然后才能上链。而在使用元交易的情况下,用户可以不用自己发布交易,转而委托中继者relay)代为发布,这样自然也就不需要用户自己有足够的的原生代币
要实现交易委托,需要目标智能合约支持元交易,实现的方式一般是使用消息签名技术,使用钱包进行签名是不需要任何手续费的,因为这完全是链下行为,用户构造相应的元交易数据,并签名,然后将这些信息发送给中继者,接着中继者再对目标合约进行调用,并附带数据签名,目标合约收到这些信息后进行验证后再执行相应的业务。
notion image
有一点要搞明白,元交易虽然是GasLess(免gas)的,但并不代表无需手续费,是否需要付出手续费,以及付出何种资产作为手续费,主要取决于中继者,一般来说,可以用主流token支付,所以你需要再签署一笔向中继者支付手续费的元交易
 
总而言之,元交易的本质是一组信息凭证,是用户期望行为的一种证明,且具有真实的可执行力,第三方可以拿这些信息用户执行想要执行的动作。
 

0x2 ERC20-permit(EIP-2612)

场景继续:当你准备购买ETH作为手续费时,你突然发现,USDC居然支持元交易,只需要签署一则消息即可完成授权,简直不要太方便!
notion image
 
ERC20是在以太坊上面创建token的实现标准,但是它并不支持元交易,如果token需要支持授权元交易,则需要按照EIP-2612的规范来进行扩展,如下:
notion image
新增了3个函数:
function permit(address owner, address spender, uint value, uint deadline, uint8 v, bytes32 r, bytes32 s) external
function nonces(address owner) external view returns (uint)
function DOMAIN_SEPARATOR() external view returns (bytes32)
  • permit函数:一般由中继者调用,负责验证参数与签名是否相符,然后进行授权(approve)操作
  • nonces函数:返回指定用户的nonce,在每次permit之后,nonce递增,为了防止一笔元交易被重复执行
  • DOMAIN_SEPARATOR函数:根据chainId合约地址等信息生成一个唯一散列,防止一笔元交易在其他EVM链(ETC、BSC等)上被重放
 
最重要的是permit函数,所以看一下这个函数的具体实现,这里参考uniswap:
function permit(address owner, address spender, uint value, uint deadline, uint8 v, bytes32 r, bytes32 s) external {
        require(deadline >= block.timestamp, 'UniswapV2: EXPIRED');
        bytes32 digest = keccak256(
            abi.encodePacked(
                '\x19\x01',
                DOMAIN_SEPARATOR,
                keccak256(abi.encode(PERMIT_TYPEHASH, owner, spender, value, nonces[owner]++, deadline))
            )
        );
        address recoveredAddress = ecrecover(digest, v, r, s);
        require(recoveredAddress != address(0) && recoveredAddress == owner, 'UniswapV2: INVALID_SIGNATURE');
        _approve(owner, spender, value);
    }
很短几行代码,可以看到,在进行了验签以及其他检测后,会执行授权操作,所以整个流程其实很简单,用户完成链下签名,中继进行链上调用,仅此而已。
 
 

0x3 隐患

场景最后:钱包弹出了”请求签名“,上面的信息你有些看不懂,但是钱包并没有任何警告信息,也不用花钱,你很轻易的完成了确认,两分钟后,你钱包里的USDC全都消失了...
 
毫无疑问,与approve授权钓鱼类似,元交易也是存在钓鱼风险的,只要窃取到了签名,就窃取到了授权,更加危险,更容易中招,相对来说,元交易钓鱼目前存在以下”优势“
 

1、主流币种支持

虽然元交易尚未普及,但也有不少主流币种支持了ERC20-permit
  1. USDC
  1. DAI
  1. UNI
  1. 1INCH
  1. ENS
 

2、警告信息缺失

相对于approve授权钓鱼,钱包对于元交易授权的警告几乎没有,以下测试了最新版本的主流钱包告警情况
MetaMask,无特别提醒
notion image
TokenPocket,无特别提醒,签名内容未处理
notion image
imtoken,无特别提醒
notion image
 

3、隐蔽性强

传统的授权钓鱼会在链上留下approve记录,而元交易钓鱼完全是链下行为,却又能够影响链上,对于元交易签名已泄露的用户来说,是一个定时炸弹,而且还不自知。
 

4、成本低廉

对于需要上链的操作,由于操作成本等原因,用户会相对谨慎,但对于链下签名,就会放松很多了,且无需成本,用户也很难会意识到签名操作也会影响到资产安全。
 

5、难以理解

除了基于EIP-2612实现的ERC20授权元交易外,还有很多项目方自己设计的元交易实现,而这些实现是非标准的,所以也无法被钱包所理解,并形成相应的警告,用户也很难理解其中含义。