📢 Gate廣場 #MBG任务挑战# 發帖贏大獎活動火熱開啓!
想要瓜分1,000枚MBG?現在就來參與,展示你的洞察與實操,成爲MBG推廣達人!
💰️ 本期將評選出20位優質發帖用戶,每人可輕鬆獲得50枚MBG!
如何參與:
1️⃣ 調研MBG項目
對MBG的基本面、社區治理、發展目標、代幣經濟模型等方面進行研究,分享你對項目的深度研究。
2️⃣ 參與並分享真實體驗
參與MBG相關活動(包括CandyDrop、Launchpool或現貨交易),並曬出你的參與截圖、收益圖或實用教程。可以是收益展示、簡明易懂的新手攻略、小竅門,也可以是現貨行情點位分析,內容詳實優先。
3️⃣ 鼓勵帶新互動
如果你的帖子吸引到他人參與活動,或者有好友評論“已參與/已交易”,將大幅提升你的獲獎概率!
MBG熱門活動(帖文需附下列活動連結):
Gate第287期Launchpool:MBG — 質押ETH、MBG即可免費瓜分112,500 MBG,每小時領取獎勵!參與攻略見公告:https://www.gate.com/announcements/article/46230
Gate CandyDrop第55期:CandyDrop x MBG — 通過首次交易、交易MBG、邀請好友註冊交易即可分187,500 MBG!參與攻略見公告:https://www.gate.com/announcements
Web3籤名釣魚全解析:授權陷阱到Permit2風險
Web3籤名釣魚手法剖析:從授權到Permit2
近期,"籤名釣魚"成爲了Web3黑客最青睞的攻擊方式之一。盡管安全專家和錢包公司不斷普及相關知識,但每天仍有許多用戶落入陷阱。造成這種情況的一個主要原因是,大多數用戶對錢包交互的底層邏輯缺乏了解,且學習門檻較高。
爲了幫助更多人理解這一問題,本文將以通俗易懂的方式解析Web3籤名釣魚的底層邏輯,特別是針對不熟悉技術的用戶。
首先,我們需要明白使用錢包時主要有兩種操作:"籤名"和"交互"。簡單來說,籤名發生在區塊鏈外(鏈下),不需要支付Gas費;而交互發生在區塊鏈上(鏈上),需要支付Gas費。
籤名通常用於身分驗證,例如登入錢包或連接某個DApp。這個過程不會對區塊鏈產生任何影響,因此無需支付費用。而交互則涉及實際的鏈上操作,如在DEX上進行代幣交換,這需要支付Gas費用。
了解了籤名和交互的區別後,我們來看看幾種常見的釣魚方式:
Permit籤名釣魚: Permit是ERC-20標準的一個擴展功能,允許用戶通過籤名授權他人操作自己的代幣。黑客可以利用這一機制,誘導用戶簽署一個看似無害的消息,實際上卻是授權黑客轉移用戶資產的"條子"。
Permit2籤名釣魚: Permit2是某DEX推出的一項功能,旨在簡化用戶操作流程。然而,如果用戶曾經對Permit2合約進行過無限額度授權,黑客就可以利用這一點進行釣魚攻擊。
爲了防範這些釣魚攻擊,用戶可以採取以下措施:
總的來說,籤名釣魚的本質是誘導用戶簽署一個允許他人操作自己資產的"條子"。理解這些攻擊原理並保持警惕,對於保護自己的數字資產至關重要。