- 話題
52471 熱度
1172 熱度
388 熱度
172 熱度
94470 熱度
- 置頂
- 「沒有對手?我有話說!」Gate廣場挑戰賽——秀操作贏$2,000,百萬流量加持!
你是下一個明星交易員嗎?
想讓自己的名字閃耀廣場熱搜?想吸引數萬追隨者?百萬流量已就位,就等你來承接!
🎉 雙重豪禮,贏家通喫!
1️⃣ 曬單排行榜獎勵
收益率排名前10的用戶,瓜分 $1,500合約體驗券!巔峯對決等你來戰!
2️⃣ 曬單幸運獎
隨機抽取10位用戶,每人贈送 $50跟單包賠券!即使不是大神,也有機會躺贏!
🎮 參與方式超簡單!
✅ 在 Gate廣場 曬出你的交易戰績,並成爲帶單員!
✨ 發帖要求:
內容必須原創,並帶上 #CopyTrading# 或 #跟单# 標籤
附上 收益率截圖 或 交易卡片,並分享你的 獨家交易心得
嚴禁AI生成虛假交易,一經發現取消資格
觀點犀利、邏輯清晰,乾貨越多越吸粉!
⏰ 活動截止:8月15日 10:00(UTC+8)
【立即發帖】 展現你的王者操作,承接百萬流量,成爲下一個交易傳奇!
💬 還在等什麼?Gate廣場,等你來戰! 💪 - Gate 鏈上賺幣:ETH 挖礦限時高收益!
✅ 年化收益近 5% + 額外獎勵單人額度 1000 ETH
💎 最低 0.00000001 ETH 起投,無贖回期,隨存隨取!
立即上車,穩賺鏈上收益:https://www.gate.com/staking/ETH - Gate 合約開倉激勵計劃火熱上線!零門檻瓜分 50,000 ERA
開倉即有獎,交易越多獎勵越多!
新用戶享 20% 加成!
立即參與:https://www.gate.com/campaigns/1692?pid=X&ch=NGhnNGTf
活動詳情:https://www.gate.com/announcements/article/46429
#Gate # #合约交易 # #ERA# - 👀 家人們,最近你們都攢了多少 Alpha 積分啦?
空投領到了沒?沒搶到也別急,廣場給你整點額外福利!
🎁 曬出你的 Alpha 收益,咱們就送你$200U代幣盲盒獎勵!
🥇 積分最高曬圖用戶 1 名 → $100 代幣盲盒
✨ 積分榜前五優質分享者 5 名 → 各得 $20 代幣盲盒
📍【怎麼玩】
1️⃣ 帶上話題 #晒出我的Alpha积分收益# 發廣場貼
2️⃣ 曬 Alpha 積分截圖 + 一句話總結:“我靠 Gate Alpha 賺了 ____,真的香!”
👉 還可以分享你的攢分技巧、兌換經驗、積分玩法,越乾貨越容易中獎!
📆【活動時間】
8月4日 18:00 - 8月10日 24:00 (UTC+8) - 🎉 #CandyDrop合约挑战# 正式開啓!參與即可瓜分 6 BTC 豪華獎池!
📢 在 Gate 廣場帶話題發布你的合約體驗
🎁 優質貼文用戶瓜分$500 合約體驗金券,20位名額等你上榜!
📅 活動時間:2025 年 8 月 1 日 15:00 - 8 月 15 日 19:00 (UTC+8)
👉 活動連結:https://www.gate.com/candy-drop/detail/BTC-98
敢合約,敢盈利
Permit2籤名釣魚新騙局:交易平台用戶需警惕
揭祕Uniswap Permit2籤名釣魚騙局:小心籤名就被盜
黑客是Web3生態中令人恐懼的存在。對項目方而言,代碼開源使得漏洞難以避免;對個人用戶來說,每次鏈上交互都可能帶來資產被盜風險。因此,安全問題一直是加密世界的痛點,而區塊鏈特性又使得被盜資產難以追回,掌握安全知識尤爲重要。
近期出現了一種新型釣魚手法,僅需籤名就可能導致資產被盜,手法隱蔽且難以防範。曾與某交易平台交互過的地址都可能面臨風險。本文將對這種籤名釣魚手法進行剖析,以幫助讀者避免更多資產損失。
事件經過
一位朋友(小A)的錢包資產被盜,但並未泄露私鑰或與可疑合約交互。調查發現,小A的USDT是通過Transfer From函數被轉移的,這意味着是第三方操作轉移了資產,而非錢包私鑰泄露。
進一步查詢交易細節,發現:
關鍵問題是:這個地址如何獲得了小A資產的權限?爲何會與該交易平台有關?
調查顯示,在轉移小A資產前,該地址還進行了一個Permit操作,且兩個操作都與該交易平台的Permit2合約交互。
Permit2合約是該交易平台於2022年底推出的新合約,旨在實現代幣授權在不同應用間共享和管理,提供更統一、高效、安全的用戶體驗。未來隨着更多項目集成,Permit2有望實現跨應用的標準化Token批準,降低交易成本並提升安全性。
Permit2的推出可能改變Dapp生態規則。傳統模式下用戶每次與Dapp交互都需單獨授權,而Permit2作爲中間人,用戶只需向其授權一次,所有集成Permit2的Dapp即可共享授權額度。這提升了用戶體驗,但也可能帶來風險,問題出在與Permit2的交互方式上。
Permit2將用戶操作轉爲鏈下籤名,鏈上操作由中間角色完成。這使得用戶無需ETH也能支付Gas或由中間角色代付,但鏈下籤名也是用戶最易忽視的環節。
回到小A的案例,資產被盜與Permit2合約交互有關。關鍵前提是被釣魚的錢包需已授權給Permit2合約。值得注意的是,目前在集成Permit2的Dapp或該交易平台上進行Swap,都需要授權給Permit2合約。
更令人擔憂的是,無論Swap金額多少,該交易平台的Permit2合約默認要求授權全部餘額。雖然錢包會提示自定義輸入金額,但多數用戶可能直接選擇最大或默認值,而Permit2的默認值是無限額度。
這意味着,只要在2023年後與該交易平台有過交互並授權給Permit2合約,就可能面臨這個釣魚騙局的風險。
騙局核心在於Permit函數,它允許通過籤名將授權給Permit2合約的Token額度轉移給其他地址。黑客獲得籤名後,就能操控用戶錢包中的Token並轉移資產。
事件詳細分析
Permit函數類似在線簽署合同,允許提前授權他人(spender)未來使用一定數量的代幣。函數會檢查籤名有效期、驗證籤名真實性,然後更新授權記錄。
verify函數從籤名信息中提取v、r、s數據,用於恢復籤名地址並與代幣擁有者地址比對,驗證通過則繼續調用_updateApproval函數。
_updateApproval函數在通過籤名校驗後更新授權值,實現權限轉移。此時被授權方可調用transferfrom函數將代幣轉移到指定地址。
分析鏈上真實交易可見:
回溯小A的交互記錄發現,他之前使用該交易平台時默認授權了幾乎無限的額度。
簡言之,小A先前授權給Permit2合約無限USDT額度,後誤入黑客設計的Permit2籤名釣魚陷阱。黑客獲得籤名後,在Permit2合約中執行Permit和Transfer From操作,轉移了小A的資產。目前該交易平台的Permit2合約似乎已成爲釣魚溫牀,這種釣魚手法約兩個月前開始活躍。
如何防範?
考慮到Permit2合約未來可能更加普及,越來越多項目可能集成該合約進行授權共享,有效的防範措施包括:
分離資產存儲和交互錢包: 建議將大量資產存儲在冷錢包中,交互錢包僅保留少量資金,以減少潛在損失。
限制授權額度或取消授權: 在該交易平台進行Swap時,僅授權所需交互金額。雖然每次交互都需重新授權會增加成本,但可避免Permit2籤名釣魚風險。已授權用戶可使用安全插件取消授權。
識別代幣是否支持permit功能: 關注自持代幣是否支持該功能,如支持則需格外謹慎,嚴格檢查每條未知籤名。
制定完善的資產拯救計劃: 若發現被騙但仍有代幣存在其他平台,需謹慎提取和轉移。考慮使用MEV轉移或尋求專業安全團隊協助,避免黑客再次截取。
未來基於Permit2的釣魚可能會更加普遍,這種籤名釣魚方式極其隱蔽且難防。隨着Permit2應用範圍擴大,暴露風險的地址也將增多。希望讀者能將此信息廣爲傳播,避免更多人遭受損失。