- 话题1/3
4k 热度
25k 热度
8k 热度
5k 热度
173k 热度
- 置顶
- Gate 链上赚币:ETH 挖矿限时高收益!
✅ 年化收益近 5% + 额外奖励单人额度 1000 ETH
💎 最低 0.00000001 ETH 起投,无赎回期,随存随取!
立即上车,稳赚链上收益:https://www.gate.com/staking/ETH
- Gate 合约开仓激励计划火热上线!零门槛瓜分 50,000 ERA
开仓即有奖,交易越多奖励越多!
新用户享 20% 加成!
立即参与:https://www.gate.com/campaigns/1692?pid=X&ch=NGhnNGTf
活动详情:https://www.gate.com/announcements/article/46429
#Gate # #合约交易 # #ERA#
- 👀 家人们,最近你们都攒了多少 Alpha 积分啦?
空投领到了没?没抢到也别急,广场给你整点额外福利!
🎁 晒出你的 Alpha 收益,咱们就送你$200U代币盲盒奖励!
🥇 积分最高晒图用户 1 名 → $100 代币盲盒
✨ 积分榜前五优质分享者 5 名 → 各得 $20 代币盲盒
📍【怎么玩】
1️⃣ 带上话题 #晒出我的Alpha积分收益# 发广场贴
2️⃣ 晒 Alpha 积分截图 + 一句话总结:“我靠 Gate Alpha 赚了 ____,真的香!”
👉 还可以分享你的攒分技巧、兑换经验、积分玩法,越干货越容易中奖!
📆【活动时间】
8月4日 18:00 - 8月10日 24:00 (UTC+8)
- 🎉 #CandyDrop合约挑战# 正式开启!参与即可瓜分 6 BTC 豪华奖池!
📢 在 Gate 广场带话题发布你的合约体验
🎁 优质贴文用户瓜分$500 合约体验金券,20位名额等你上榜!
📅 活动时间:2025 年 8 月 1 日 15:00 - 8 月 15 日 19:00 (UTC+8)
👉 活动链接:https://www.gate.com/candy-drop/detail/BTC-98
敢合约,敢盈利
Permit2签名钓鱼新骗局:交易平台用户需警惕
揭秘Uniswap Permit2签名钓鱼骗局:小心签名就被盗
黑客是Web3生态中令人恐惧的存在。对项目方而言,代码开源使得漏洞难以避免;对个人用户来说,每次链上交互都可能带来资产被盗风险。因此,安全问题一直是加密世界的痛点,而区块链特性又使得被盗资产难以追回,掌握安全知识尤为重要。
近期出现了一种新型钓鱼手法,仅需签名就可能导致资产被盗,手法隐蔽且难以防范。曾与某交易平台交互过的地址都可能面临风险。本文将对这种签名钓鱼手法进行剖析,以帮助读者避免更多资产损失。
事件经过
一位朋友(小A)的钱包资产被盗,但并未泄露私钥或与可疑合约交互。调查发现,小A的USDT是通过Transfer From函数被转移的,这意味着是第三方操作转移了资产,而非钱包私钥泄露。
进一步查询交易细节,发现:
关键问题是:这个地址如何获得了小A资产的权限?为何会与该交易平台有关?
调查显示,在转移小A资产前,该地址还进行了一个Permit操作,且两个操作都与该交易平台的Permit2合约交互。
Permit2合约是该交易平台于2022年底推出的新合约,旨在实现代币授权在不同应用间共享和管理,提供更统一、高效、安全的用户体验。未来随着更多项目集成,Permit2有望实现跨应用的标准化Token批准,降低交易成本并提升安全性。
Permit2的推出可能改变Dapp生态规则。传统模式下用户每次与Dapp交互都需单独授权,而Permit2作为中间人,用户只需向其授权一次,所有集成Permit2的Dapp即可共享授权额度。这提升了用户体验,但也可能带来风险,问题出在与Permit2的交互方式上。
Permit2将用户操作转为链下签名,链上操作由中间角色完成。这使得用户无需ETH也能支付Gas或由中间角色代付,但链下签名也是用户最易忽视的环节。
回到小A的案例,资产被盗与Permit2合约交互有关。关键前提是被钓鱼的钱包需已授权给Permit2合约。值得注意的是,目前在集成Permit2的Dapp或该交易平台上进行Swap,都需要授权给Permit2合约。
更令人担忧的是,无论Swap金额多少,该交易平台的Permit2合约默认要求授权全部余额。虽然钱包会提示自定义输入金额,但多数用户可能直接选择最大或默认值,而Permit2的默认值是无限额度。
这意味着,只要在2023年后与该交易平台有过交互并授权给Permit2合约,就可能面临这个钓鱼骗局的风险。
骗局核心在于Permit函数,它允许通过签名将授权给Permit2合约的Token额度转移给其他地址。黑客获得签名后,就能操控用户钱包中的Token并转移资产。
事件详细分析
Permit函数类似在线签署合同,允许提前授权他人(spender)未来使用一定数量的代币。函数会检查签名有效期、验证签名真实性,然后更新授权记录。
verify函数从签名信息中提取v、r、s数据,用于恢复签名地址并与代币拥有者地址比对,验证通过则继续调用_updateApproval函数。
_updateApproval函数在通过签名校验后更新授权值,实现权限转移。此时被授权方可调用transferfrom函数将代币转移到指定地址。
分析链上真实交易可见:
回溯小A的交互记录发现,他之前使用该交易平台时默认授权了几乎无限的额度。
简言之,小A先前授权给Permit2合约无限USDT额度,后误入黑客设计的Permit2签名钓鱼陷阱。黑客获得签名后,在Permit2合约中执行Permit和Transfer From操作,转移了小A的资产。目前该交易平台的Permit2合约似乎已成为钓鱼温床,这种钓鱼手法约两个月前开始活跃。
如何防范?
考虑到Permit2合约未来可能更加普及,越来越多项目可能集成该合约进行授权共享,有效的防范措施包括:
分离资产存储和交互钱包: 建议将大量资产存储在冷钱包中,交互钱包仅保留少量资金,以减少潜在损失。
限制授权额度或取消授权: 在该交易平台进行Swap时,仅授权所需交互金额。虽然每次交互都需重新授权会增加成本,但可避免Permit2签名钓鱼风险。已授权用户可使用安全插件取消授权。
识别代币是否支持permit功能: 关注自持代币是否支持该功能,如支持则需格外谨慎,严格检查每条未知签名。
制定完善的资产拯救计划: 若发现被骗但仍有代币存在其他平台,需谨慎提取和转移。考虑使用MEV转移或寻求专业安全团队协助,避免黑客再次截取。
未来基于Permit2的钓鱼可能会更加普遍,这种签名钓鱼方式极其隐蔽且难防。随着Permit2应用范围扩大,暴露风险的地址也将增多。希望读者能将此信息广为传播,避免更多人遭受损失。