- 話題1/3
9903 熱度
29491 熱度
12689 熱度
5204 熱度
171128 熱度
- 置頂
- Gate 鏈上賺幣:ETH 挖礦限時高收益!
✅ 年化收益近 5% + 額外獎勵單人額度 1000 ETH
💎 最低 0.00000001 ETH 起投,無贖回期,隨存隨取!
立即上車,穩賺鏈上收益:https://www.gate.com/staking/ETH
- Gate 合約開倉激勵計劃火熱上線!零門檻瓜分 50,000 ERA
開倉即有獎,交易越多獎勵越多!
新用戶享 20% 加成!
立即參與:https://www.gate.com/campaigns/1692?pid=X&ch=NGhnNGTf
活動詳情:https://www.gate.com/announcements/article/46429
#Gate # #合约交易 # #ERA#
- 👀 家人們,最近你們都攢了多少 Alpha 積分啦?
空投領到了沒?沒搶到也別急,廣場給你整點額外福利!
🎁 曬出你的 Alpha 收益,咱們就送你$200U代幣盲盒獎勵!
🥇 積分最高曬圖用戶 1 名 → $100 代幣盲盒
✨ 積分榜前五優質分享者 5 名 → 各得 $20 代幣盲盒
📍【怎麼玩】
1️⃣ 帶上話題 #晒出我的Alpha积分收益# 發廣場貼
2️⃣ 曬 Alpha 積分截圖 + 一句話總結:“我靠 Gate Alpha 賺了 ____,真的香!”
👉 還可以分享你的攢分技巧、兌換經驗、積分玩法,越乾貨越容易中獎!
📆【活動時間】
8月4日 18:00 - 8月10日 24:00 (UTC+8)
- 🎉 #CandyDrop合约挑战# 正式開啓!參與即可瓜分 6 BTC 豪華獎池!
📢 在 Gate 廣場帶話題發布你的合約體驗
🎁 優質貼文用戶瓜分$500 合約體驗金券,20位名額等你上榜!
📅 活動時間:2025 年 8 月 1 日 15:00 - 8 月 15 日 19:00 (UTC+8)
👉 活動連結:https://www.gate.com/candy-drop/detail/BTC-98
敢合約,敢盈利
- 🎉 攢成長值,抽華爲Mate三折疊!廣場第 1️⃣ 2️⃣ 期夏季成長值抽獎大狂歡開啓!
總獎池超 $10,000+,華爲Mate三折疊手機、F1紅牛賽車模型、Gate限量週邊、熱門代幣等你來抽!
立即抽獎 👉 https://www.gate.com/activities/pointprize?now_period=12
如何快速賺成長值?
1️⃣ 進入【廣場】,點擊頭像旁標識進入【社區中心】
2️⃣ 完成發帖、評論、點讚、發言等日常任務,成長值拿不停
100%有獎,抽到賺到,大獎等你抱走,趕緊試試手氣!
截止於 8月9日 24:00 (UTC+8)
詳情: https://www.gate.com/announcements/article/46384
#成长值抽奖12期开启#
Permit2籤名釣魚新騙局:交易平台用戶需警惕
揭祕Uniswap Permit2籤名釣魚騙局:小心籤名就被盜
黑客是Web3生態中令人恐懼的存在。對項目方而言,代碼開源使得漏洞難以避免;對個人用戶來說,每次鏈上交互都可能帶來資產被盜風險。因此,安全問題一直是加密世界的痛點,而區塊鏈特性又使得被盜資產難以追回,掌握安全知識尤爲重要。
近期出現了一種新型釣魚手法,僅需籤名就可能導致資產被盜,手法隱蔽且難以防範。曾與某交易平台交互過的地址都可能面臨風險。本文將對這種籤名釣魚手法進行剖析,以幫助讀者避免更多資產損失。
事件經過
一位朋友(小A)的錢包資產被盜,但並未泄露私鑰或與可疑合約交互。調查發現,小A的USDT是通過Transfer From函數被轉移的,這意味着是第三方操作轉移了資產,而非錢包私鑰泄露。
進一步查詢交易細節,發現:
關鍵問題是:這個地址如何獲得了小A資產的權限?爲何會與該交易平台有關?
調查顯示,在轉移小A資產前,該地址還進行了一個Permit操作,且兩個操作都與該交易平台的Permit2合約交互。
Permit2合約是該交易平台於2022年底推出的新合約,旨在實現代幣授權在不同應用間共享和管理,提供更統一、高效、安全的用戶體驗。未來隨着更多項目集成,Permit2有望實現跨應用的標準化Token批準,降低交易成本並提升安全性。
Permit2的推出可能改變Dapp生態規則。傳統模式下用戶每次與Dapp交互都需單獨授權,而Permit2作爲中間人,用戶只需向其授權一次,所有集成Permit2的Dapp即可共享授權額度。這提升了用戶體驗,但也可能帶來風險,問題出在與Permit2的交互方式上。
Permit2將用戶操作轉爲鏈下籤名,鏈上操作由中間角色完成。這使得用戶無需ETH也能支付Gas或由中間角色代付,但鏈下籤名也是用戶最易忽視的環節。
回到小A的案例,資產被盜與Permit2合約交互有關。關鍵前提是被釣魚的錢包需已授權給Permit2合約。值得注意的是,目前在集成Permit2的Dapp或該交易平台上進行Swap,都需要授權給Permit2合約。
更令人擔憂的是,無論Swap金額多少,該交易平台的Permit2合約默認要求授權全部餘額。雖然錢包會提示自定義輸入金額,但多數用戶可能直接選擇最大或默認值,而Permit2的默認值是無限額度。
這意味着,只要在2023年後與該交易平台有過交互並授權給Permit2合約,就可能面臨這個釣魚騙局的風險。
騙局核心在於Permit函數,它允許通過籤名將授權給Permit2合約的Token額度轉移給其他地址。黑客獲得籤名後,就能操控用戶錢包中的Token並轉移資產。
事件詳細分析
Permit函數類似在線簽署合同,允許提前授權他人(spender)未來使用一定數量的代幣。函數會檢查籤名有效期、驗證籤名真實性,然後更新授權記錄。
verify函數從籤名信息中提取v、r、s數據,用於恢復籤名地址並與代幣擁有者地址比對,驗證通過則繼續調用_updateApproval函數。
_updateApproval函數在通過籤名校驗後更新授權值,實現權限轉移。此時被授權方可調用transferfrom函數將代幣轉移到指定地址。
分析鏈上真實交易可見:
回溯小A的交互記錄發現,他之前使用該交易平台時默認授權了幾乎無限的額度。
簡言之,小A先前授權給Permit2合約無限USDT額度,後誤入黑客設計的Permit2籤名釣魚陷阱。黑客獲得籤名後,在Permit2合約中執行Permit和Transfer From操作,轉移了小A的資產。目前該交易平台的Permit2合約似乎已成爲釣魚溫牀,這種釣魚手法約兩個月前開始活躍。
如何防範?
考慮到Permit2合約未來可能更加普及,越來越多項目可能集成該合約進行授權共享,有效的防範措施包括:
分離資產存儲和交互錢包: 建議將大量資產存儲在冷錢包中,交互錢包僅保留少量資金,以減少潛在損失。
限制授權額度或取消授權: 在該交易平台進行Swap時,僅授權所需交互金額。雖然每次交互都需重新授權會增加成本,但可避免Permit2籤名釣魚風險。已授權用戶可使用安全插件取消授權。
識別代幣是否支持permit功能: 關注自持代幣是否支持該功能,如支持則需格外謹慎,嚴格檢查每條未知籤名。
制定完善的資產拯救計劃: 若發現被騙但仍有代幣存在其他平台,需謹慎提取和轉移。考慮使用MEV轉移或尋求專業安全團隊協助,避免黑客再次截取。
未來基於Permit2的釣魚可能會更加普遍,這種籤名釣魚方式極其隱蔽且難防。隨着Permit2應用範圍擴大,暴露風險的地址也將增多。希望讀者能將此信息廣爲傳播,避免更多人遭受損失。