Web3籤名釣魚的底層邏輯：認識授權釣魚、Permit與Permit2

在Web3領域，"籤名釣魚"已成爲黑客最常用的詐騙手段之一。盡管安全專家和錢包公司不斷宣傳相關知識，但每天仍有許多用戶上當受騙。造成這種情況的一個重要原因是，大多數人對錢包交互的底層原理缺乏了解，而對非技術人員來說，相關知識的學習門檻又較高。

爲了幫助更多人理解這個問題，本文將嘗試用通俗易懂的方式解釋籤名釣魚的底層邏輯。

首先，我們需要明白使用錢包時主要有兩種操作："籤名"和"交互"。簡單來說，籤名發生在區塊鏈外（鏈下），不需要支付Gas費；而交互發生在區塊鏈上（鏈上），需要支付Gas費。

籤名的典型場景是身分驗證，如登入錢包或連接DApp。例如，當你想在某DEX上交換代幣時，首先需要連接錢包，這時就需要籤名以證明你是該錢包的所有者。這個過程不會對區塊鏈產生任何影響，因此無需支付費用。

相比之下，交互涉及實際的鏈上操作。以在DEX上交換代幣爲例，你首先需要支付一筆費用，授權DEX的智能合約可以移動你的代幣（稱爲"授權"）。然後，你還需要再支付一筆費用來執行實際的交換操作。

了解了籤名和交互的區別後，我們來看看幾種常見的釣魚方式：授權釣魚、Permit籤名釣魚和Permit2籤名釣魚。

授權釣魚是一種經典的詐騙手法，利用了授權（approve）機制。黑客可能會創建一個假冒的網站，僞裝成NFT項目或空投活動。當用戶點擊"領取空投"按鈕時，實際上是在授權黑客地址操作自己的代幣。雖然這種方法需要支付Gas費，但仍有不少用戶會不小心上當。

Permit和Permit2籤名釣魚則更加隱蔽，也更難防範。因爲用戶習慣了在使用DApp前籤名登入錢包，很容易形成"這個操作是安全的"的慣性思維。加上籤名不需要支付費用，許多人並不了解每個籤名背後的含義，這就爲黑客創造了可乘之機。

Permit是ERC-20標準的一個擴展功能，允許用戶通過籤名批準他人移動自己的代幣。簡單來說，就像在一張"條子"上籤名，允許某人移動你的代幣。持有這個"條子"的人可以向智能合約證明他有權限移動你的代幣。黑客可以利用這一機制，誘導用戶簽署Permit，從而獲取轉移代幣的權限。

Permit2是某DEX爲提升用戶體驗而推出的功能。它允許用戶一次性授權大額度給Permit2智能合約，之後每次交易只需籤名即可，無需再次授權。這雖然簡化了操作流程，但也爲釣魚創造了條件。如果用戶曾經使用過該DEX並授權了無限額度給Permit2合約（這是該DEX的默認設置），那麼黑客只需誘導用戶籤名就可以轉移其代幣。

總的來說，授權釣魚是讓你直接授權黑客移動你的代幣，而籤名釣魚則是誘導你簽署一個允許他人移動你資產的"條子"。Permit是ERC-20的授權擴展功能，Permit2是某DEX推出的新功能，兩者都是當前籤名釣魚的重災區。

那麼，如何防範這些釣魚攻擊呢？

1. 培養安全意識至關重要。每次進行錢包操作時，都要仔細檢查你正在執行的操作究竟是什麼。

2. 將大額資金與日常使用的錢包分開，以降低潛在損失。

3. 學會識別Permit和Permit2的籤名格式。當你看到包含以下信息的籤名請求時，要特別警惕：

   • Interactive：交互網址
   • Owner：授權方地址
   • Spender：被授權方地址
   • Value：授權數量
   • Nonce：隨機數
   • Deadline：過期時間

通過了解這些底層邏輯和防範措施，我們可以更好地保護自己的數字資產，避免成爲籤名釣魚的受害者。