📢 Gate广场 #MBG任务挑战# 发帖赢大奖活动火热开启!
想要瓜分1,000枚MBG?现在就来参与,展示你的洞察与实操,成为MBG推广达人!
💰️ 本期将评选出20位优质发帖用户,每人可轻松获得50枚MBG!
如何参与:
1️⃣ 调研MBG项目
对MBG的基本面、社区治理、发展目标、代币经济模型等方面进行研究,分享你对项目的深度研究。
2️⃣ 参与并分享真实体验
参与MBG相关活动(包括CandyDrop、Launchpool或现货交易),并晒出你的参与截图、收益图或实用教程。可以是收益展示、简明易懂的新手攻略、小窍门,也可以是现货行情点位分析,内容详实优先。
3️⃣ 鼓励带新互动
如果你的帖子吸引到他人参与活动,或者有好友评论“已参与/已交易”,将大幅提升你的获奖概率!
MBG热门活动(帖文需附下列活动链接):
Gate第287期Launchpool:MBG — 质押ETH、MBG即可免费瓜分112,500 MBG,每小时领取奖励!参与攻略见公告:https://www.gate.com/announcements/article/46230
Gate CandyDrop第55期:CandyDrop x MBG — 通过首次交易、交易MBG、邀请好友注册交易即可分187,500 MBG!参与攻略见公告:https://www.gate.com/announcements
Uniswap Permit2签名钓鱼新手法深度剖析及防范策略
签名安全再敲警钟:深度解析Uniswap Permit2签名钓鱼事件
近期,一种利用Uniswap Permit2合约进行的新型签名钓鱼手法引起了广泛关注。这种攻击方式极其隐蔽且难以防范,对于曾使用过Uniswap进行交互的地址都可能存在风险。本文将深入剖析这一新型攻击手法,并提供相应的防范建议。
事件经过
事件源于一位用户(小A)的资产被盗。与常见被盗方式不同,小A并未泄露私钥,也未与钓鱼网站的合约进行交互。通过区块链浏览器可以看到,小A钱包中的USDT是通过Transfer From函数被转移的,这意味着是第三方地址操作将Token转移走的,而非钱包私钥泄露。
进一步调查发现,这次操作是与Uniswap的Permit2合约进行交互的。关键问题在于:执行转移的地址是如何获得资产权限的?为何会涉及Uniswap?
Uniswap Permit2解析
Uniswap Permit2是Uniswap于2022年底推出的新智能合约。它旨在实现代币授权的统一管理,提高用户体验并降低交易成本。Permit2作为用户与DApp之间的中介,允许用户只需对Permit2合约进行一次授权,就能在所有集成Permit2的DApp中共享这个授权额度。
这种机制虽然提高了用户体验,但也带来了潜在风险。传统交互方式下,授权和资金转移都需要用户进行链上交互。而Permit2将用户操作转为链下签名,所有链上操作由中间角色(如Permit2合约)完成。这种方式虽然便利,但也让用户更容易在签名环节放松警惕。
攻击手法详解
攻击者利用Permit2合约的Permit函数实施攻击。该函数允许用户通过签名授权他人在未来某个时间使用自己的代币。攻击步骤如下:
防范措施
理解并识别签名内容:学会辨别Permit签名格式,包括Owner、Spender、value、nonce和deadline等关键信息。推荐使用安全插件辅助识别。
资产与交互钱包分离:将大量资产存储在冷钱包中,日常交互使用仅含少量资金的热钱包,以降低潜在损失。
限制Permit2授权额度:在Uniswap上进行Swap时,只授权所需交易金额,避免授权过多额度。如已授权,可通过安全插件取消授权。
识别代币是否支持permit功能:关注所持代币是否支持该功能,对支持permit功能的代币交易需格外谨慎。
制定应急方案:如发现被骗但仍有资产在其他平台,需制定完善的资产转移计划,可考虑使用MEV转移或寻求专业安全团队协助。
随着Permit2应用范围的扩大,基于此的钓鱼攻击可能会越来越多。这种签名钓鱼方式极其隐蔽且难以防范,用户需提高警惕,加强安全意识,避免成为下一个受害者。