- 话题
18218 热度
1663 热度
1763 热度
75429 热度
20695 热度
- 置顶
- 📢 Gate广场专属 #WXTM创作大赛# 正式开启!
聚焦 CandyDrop 第59期 —— MinoTari (WXTM),总奖池 70,000 枚 WXTM 等你赢!
🎯 关于 MinoTari (WXTM)
Tari 是一个以数字资产为核心的区块链协议,由 Rust 构建,致力于为创作者提供设计全新数字体验的平台。
通过 Tari,数字稀缺资产(如收藏品、游戏资产等)将成为创作者拓展商业价值的新方式。
🎨 活动时间:
2025年8月7日 17:00 - 8月12日 24:00(UTC+8)
📌 参与方式:
在 Gate广场发布与 WXTM 或相关活动(充值 / 交易 / CandyDrop)相关的原创内容
内容不少于 100 字,形式不限(观点分析、教程分享、图文创意等)
添加标签: #WXTM创作大赛# 和 #WXTM#
附本人活动截图(如充值记录、交易页面或 CandyDrop 报名图)
🏆 奖励设置(共计 70,000 枚 WXTM):
一等奖(1名):20,000 枚 WXTM
二等奖(3名):10,000 枚 WXTM
三等奖(10名):2,000 枚 WXTM
📋 评选标准:
内容质量(主题相关、逻辑清晰、有深度)
用户互动热度(点赞、评论)
附带参与截图者优先
📄 活动说明:
内容必须原创,禁止抄袭和小号刷量行为
获奖用户需完成 Gate广场实名 - 「没有对手?我有话说!」Gate广场挑战赛——秀操作赢$2,000,百万流量加持!
你是下一个明星交易员吗?
想让自己的名字闪耀广场热搜?想吸引数万追随者?百万流量已就位,就等你来承接!
🎉 双重豪礼,赢家通吃!
1️⃣ 晒单排行榜奖励
收益率排名前10的用户,瓜分 $1,500合约体验券!巅峰对决等你来战!
2️⃣ 晒单幸运奖
随机抽取10位用户,每人赠送 $50跟单包赔券!即使不是大神,也有机会躺赢!
🎮 参与方式超简单!
✅ 在 Gate广场 晒出你的交易战绩,并成为带单员!
✨ 发帖要求:
内容必须原创,并带上 #CopyTrading# 或 #跟单# 标签
附上 收益率截图 或 交易卡片,并分享你的 独家交易心得
严禁AI生成虚假交易,一经发现取消资格
观点犀利、逻辑清晰,干货越多越吸粉!
⏰ 活动截止:8月15日 10:00(UTC+8)
【立即发帖】 展现你的王者操作,承接百万流量,成为下一个交易传奇!
💬 还在等什么?Gate广场,等你来战! 💪 - Gate 链上赚币:ETH 挖矿限时高收益!
✅ 年化收益近 5% + 额外奖励单人额度 1000 ETH
💎 最低 0.00000001 ETH 起投,无赎回期,随存随取!
立即上车,稳赚链上收益:https://www.gate.com/staking/ETH - Gate 合约开仓激励计划火热上线!零门槛瓜分 50,000 ERA
开仓即有奖,交易越多奖励越多!
新用户享 20% 加成!
立即参与:https://www.gate.com/campaigns/1692?pid=X&ch=NGhnNGTf
活动详情:https://www.gate.com/announcements/article/46429
#Gate # #合约交易 # #ERA#
Permit2签名钓鱼新骗局:交易平台用户需警惕
揭秘Uniswap Permit2签名钓鱼骗局:小心签名就被盗
黑客是Web3生态中令人恐惧的存在。对项目方而言,代码开源使得漏洞难以避免;对个人用户来说,每次链上交互都可能带来资产被盗风险。因此,安全问题一直是加密世界的痛点,而区块链特性又使得被盗资产难以追回,掌握安全知识尤为重要。
近期出现了一种新型钓鱼手法,仅需签名就可能导致资产被盗,手法隐蔽且难以防范。曾与某交易平台交互过的地址都可能面临风险。本文将对这种签名钓鱼手法进行剖析,以帮助读者避免更多资产损失。
事件经过
一位朋友(小A)的钱包资产被盗,但并未泄露私钥或与可疑合约交互。调查发现,小A的USDT是通过Transfer From函数被转移的,这意味着是第三方操作转移了资产,而非钱包私钥泄露。
进一步查询交易细节,发现:
关键问题是:这个地址如何获得了小A资产的权限?为何会与该交易平台有关?
调查显示,在转移小A资产前,该地址还进行了一个Permit操作,且两个操作都与该交易平台的Permit2合约交互。
Permit2合约是该交易平台于2022年底推出的新合约,旨在实现代币授权在不同应用间共享和管理,提供更统一、高效、安全的用户体验。未来随着更多项目集成,Permit2有望实现跨应用的标准化Token批准,降低交易成本并提升安全性。
Permit2的推出可能改变Dapp生态规则。传统模式下用户每次与Dapp交互都需单独授权,而Permit2作为中间人,用户只需向其授权一次,所有集成Permit2的Dapp即可共享授权额度。这提升了用户体验,但也可能带来风险,问题出在与Permit2的交互方式上。
Permit2将用户操作转为链下签名,链上操作由中间角色完成。这使得用户无需ETH也能支付Gas或由中间角色代付,但链下签名也是用户最易忽视的环节。
回到小A的案例,资产被盗与Permit2合约交互有关。关键前提是被钓鱼的钱包需已授权给Permit2合约。值得注意的是,目前在集成Permit2的Dapp或该交易平台上进行Swap,都需要授权给Permit2合约。
更令人担忧的是,无论Swap金额多少,该交易平台的Permit2合约默认要求授权全部余额。虽然钱包会提示自定义输入金额,但多数用户可能直接选择最大或默认值,而Permit2的默认值是无限额度。
这意味着,只要在2023年后与该交易平台有过交互并授权给Permit2合约,就可能面临这个钓鱼骗局的风险。
骗局核心在于Permit函数,它允许通过签名将授权给Permit2合约的Token额度转移给其他地址。黑客获得签名后,就能操控用户钱包中的Token并转移资产。
事件详细分析
Permit函数类似在线签署合同,允许提前授权他人(spender)未来使用一定数量的代币。函数会检查签名有效期、验证签名真实性,然后更新授权记录。
verify函数从签名信息中提取v、r、s数据,用于恢复签名地址并与代币拥有者地址比对,验证通过则继续调用_updateApproval函数。
_updateApproval函数在通过签名校验后更新授权值,实现权限转移。此时被授权方可调用transferfrom函数将代币转移到指定地址。
分析链上真实交易可见:
回溯小A的交互记录发现,他之前使用该交易平台时默认授权了几乎无限的额度。
简言之,小A先前授权给Permit2合约无限USDT额度,后误入黑客设计的Permit2签名钓鱼陷阱。黑客获得签名后,在Permit2合约中执行Permit和Transfer From操作,转移了小A的资产。目前该交易平台的Permit2合约似乎已成为钓鱼温床,这种钓鱼手法约两个月前开始活跃。
如何防范?
考虑到Permit2合约未来可能更加普及,越来越多项目可能集成该合约进行授权共享,有效的防范措施包括:
分离资产存储和交互钱包: 建议将大量资产存储在冷钱包中,交互钱包仅保留少量资金,以减少潜在损失。
限制授权额度或取消授权: 在该交易平台进行Swap时,仅授权所需交互金额。虽然每次交互都需重新授权会增加成本,但可避免Permit2签名钓鱼风险。已授权用户可使用安全插件取消授权。
识别代币是否支持permit功能: 关注自持代币是否支持该功能,如支持则需格外谨慎,严格检查每条未知签名。
制定完善的资产拯救计划: 若发现被骗但仍有代币存在其他平台,需谨慎提取和转移。考虑使用MEV转移或寻求专业安全团队协助,避免黑客再次截取。
未来基于Permit2的钓鱼可能会更加普遍,这种签名钓鱼方式极其隐蔽且难防。随着Permit2应用范围扩大,暴露风险的地址也将增多。希望读者能将此信息广为传播,避免更多人遭受损失。