- 话题
17533 热度
17714 热度
139254 热度
2202 热度
17386 热度
- 置顶
- 🎉 亲爱的广场小伙伴们,福利不停,精彩不断!目前广场上这些热门发帖赢奖活动火热进行中,发帖越多,奖励越多,快来 GET 你的专属好礼吧!🚀
🆘 #Gate 2025年中社区盛典# |广场十强内容达人评选
决战时刻到!距离【2025年中社区盛典】广场达人评选只剩 1 天,你喜爱的达人,就差你这一票冲进 C 位!在广场发帖、点赞、评论就能攒助力值,帮 Ta 上榜的同时,你自己还能抽大奖!iPhone 16 Pro Max、金牛雕塑、潮流套装、合约体验券 等你抱走!
详情 👉 https://www.gate.com/activities/community-vote
1️⃣ #晒出我的Alpha积分# |晒出 Alpha 积分&收益
Alpha 积分党集合!带话题晒出你的 Alpha 积分图、空投中奖图,即可瓜分 $200 Alpha 代币盲盒,积分最高直接抱走 $100!分享攒分秘籍 / 兑换经验,中奖率直线上升!
详情 👉 https://www.gate.com/post/status/12763074
2️⃣ #ETH百万矿王争霸赛# |ETH 链上挖矿晒收益
矿工集结!带话题晒出你的 Gate ETH 链上挖矿收益图,瓜分 $400 晒图奖池,收益榜第一独享 $200!谁才是真 ETH 矿王?开晒见分晓!
详情 👉 https://www.gate.com/pos - 🎉 亲爱的广场小伙伴们!【Gate 2025年中社区盛典】内容达人TOP 10更新啦!
行情分析派?币种研究派?新闻挖掘派?还是活动分享派?风格各异,总有你喜欢的!
⏳ 投票只剩2天,快来为你心中的达人加油助力!
👉 https://www.gate.com/activities/community-vote
在【广场】互动就能拿助力值,每30值就能抽一次大奖!
🎁 iPhone 16 Pro Max、金牛雕塑、潮流套装、合约体验券等你抱走!
📌 https://www.gate.com/announcements/article/45974 - 🏆 Gate 广场 #ETH百万矿王争霸赛# 开战,谁能问鼎百万矿王宝座?
现在参与 Gate ETH 链上挖矿 + 在广场晒挖矿收益图,就有机会瓜分 $400 晒图登榜奖池!
百万额度质押,稳稳拿 5% 收益 👉 https://www.gate.com/announcements/article/46446
🥇 收益最高晒图用户 1 位 * $200 合约体验券
✨ 优质晒收益用户 10 位 * $20 合约体验券每人
📸 参与方式:
1️⃣ 带话题 #ETH百万矿王争霸赛# 发广场贴
2️⃣ 晒 Gate ETH 挖矿截图 + 一句话感言:“我靠 Gate ETH 挖矿赚了 ____,ETH百万矿王谁敢来挑战!”
💡 想更容易中奖?可以分享质押教程、挖矿技巧、经验心得、活动推广!
⏳ 8月12日 12:00 - 8月16日 24:00(UTC+8)
⛏️ 矿王们,开挖!看看谁才是真正的 ETH 收益之王!
#ETH# - 🚀 以太坊今晨冲上 $4,600,24h 涨幅 +8.69%!
距离历史高点 $4,891 只差一点,你觉得这波能冲破吗?
📍 关注 Gate广场_Official,投票 + 留言理由
🎁 抽 4 位瓜分 $100 合约体验券! - 还不知道如何参与Gate广场内容挖矿赚取收益?
速速码住下图:内容挖矿参与五部曲 👇️
教你快速掌握赚取最高达 10% 挖矿返佣收益技巧!
Uniswap Permit2新型签名钓鱼手法:机制、风险与防范
揭秘Uniswap Permit2签名钓鱼骗局
黑客是Web3生态中令人恐惧的存在。对项目方而言,代码开源意味着全球黑客都可能盯上你,写错一行代码就可能留下漏洞,安全事故后果严重。对个人用户来说,如果不了解自己的操作含义,每次链上交互或签名都可能导致资产被盗。因此安全问题一直是加密世界最棘手的问题之一。由于区块链的特性,一旦资产被盗几乎无法追回,所以在加密世界中具备安全知识尤为重要。
近期发现了一种近两个月开始活跃的新钓鱼手法,只要签名就会被盗,手法极其隐蔽且难以防范,并且用过Uniswap交互的地址都可能面临风险。本文将对这种签名钓鱼手法进行科普,以尽量避免更多的资产损失。
事件经过
最近,一位朋友(小A)钱包里的资产被盗。与常见被盗方式不同,小A并未泄露私钥也没有与钓鱼网站的合约交互。调查发现,小A钱包被盗的USDT是通过Transfer From函数转移的,这意味着是另一个地址操作将Token转走的,而非钱包私钥泄露。
通过查询交易细节,发现关键线索:
问题在于,这个地址是如何获得资产权限的?为什么与Uniswap有关?
调用Transfer From函数的前提是调用方需要拥有Token的额度权限(approve)。答案在于执行Transfer From前,该地址还进行了一个Permit操作,两个操作都与Uniswap的Permit2合约交互。
Uniswap Permit2合约是Uniswap在2022年底推出的新合约,允许代币授权在不同应用程序中共享和管理,旨在创造更统一、更具成本效益、更安全的用户体验。随着更多项目集成Permit2,它可以在所有应用中实现标准化Token批准,通过降低交易成本改善用户体验,同时提高智能合约安全性。
Permit2的推出可能改变整个Dapp生态的游戏规则。传统方法中,每次与Dapp进行资产转移交互都需要单独授权。而Permit2可以省去这个步骤,有效降低用户交互成本,带来更好的用户体验。
Permit2作为用户和Dapp间的中间人,用户只需将Token权限授权给Permit2合约,所有集成Permit2的Dapp都可共享这个授权额度。这本是双赢局面,但也可能是双刃剑,问题出在与Permit2的交互方式上。
传统交互方式中,授权和资金转移对用户而言都是链上交互。Permit2将用户操作变为链下签名,所有链上操作由中间角色(如Permit2合约和集成Permit2的项目方)完成。这带来的好处是,即使用户钱包没有ETH也可使用其他Token支付Gas费或由中间角色报销。
然而,链下签名是用户最容易放松警惕的环节。许多人在用钱包登录Dapp时不会仔细检查签名内容,也不理解其含义,这是最危险之处。
要使用这个Permit2签名钓鱼手法,关键前提是被钓鱼的钱包需要有Token授权给Uniswap的Permit2合约。目前只要在与Permit2集成的Dapp或Uniswap上进行Swap,都需要授权给Permit2合约。
更可怕的是,无论Swap金额多少,Uniswap的Permit2合约都会默认让用户授权该Token全部余额的额度。尽管MetaMask允许自定义输入金额,但大多数人可能直接选择最大或默认值,而Permit2的默认值是无限额度。
这意味着,只要你在2023年之后与Uniswap有过交互并授权额度给Permit2合约,就可能暴露在这个钓鱼骗局的风险之下。
重点在于Permit函数,它可以利用你的钱包将授权给Permit2合约的Token额度转移给其他地址。只要获得你的签名,黑客就可以获取你钱包中Token的权限并转移你的资产。
如何防范?
考虑到Uniswap Permit2合约可能在未来更加普及,更多项目可能集成Permit2合约进行授权共享,有效的防范手段包括:
分离资产存储和交互钱包: 建议将大量资产存储在冷钱包中,链上交互的钱包只存放少量资金,可大幅减少遇到钓鱼骗局时的损失。
限制授权额度或取消授权: 在Uniswap上进行Swap时,只授权所需交互的金额。虽然每次交互都需要重新授权会增加一些成本,但可以避免遭受Permit2签名钓鱼。如果已经授权了额度,可以使用安全插件进行取消授权。
识别代币性质,了解是否支持permit功能: 随着越来越多ERC20代币可能使用该扩展协议实现permit功能,需要关注自己持有的代币是否支持该功能。如果支持,对该代币的交易或操作要格外小心,严格检查每条未知签名是否涉及permit函数。
制定完善的资产拯救计划: 如果发现被诈骗,但还有代币通过质押等方式存在其他平台,需要提取并转移到安全地址时,要注意黑客可能随时监控你的地址余额。由于黑客拥有你的签名,只要被盗地址上出现代币,就可能被立即转移。需要制定周密的代币拯救计划,确保提取和转移过程同步执行,不给黑客交易插入的机会。可以考虑使用MEV转移或寻求专业安全公司的帮助。
未来基于Permit2的钓鱼可能会越来越多,这种签名钓鱼方式极其隐蔽且难以防范。随着Permit2应用范围扩大,暴露在风险中的地址也会增多。希望读者能将这些信息传播给更多人,避免更多人遭受损失。