📢 #Gate广场征文活动第三期# 正式启动!
🎮 本期聚焦:Yooldo Games (ESPORTS)
✍️ 分享独特见解 + 参与互动推广,若同步参与 Gate 第 286 期 Launchpool、CandyDrop 或 Alpha 活动,即可获得任意奖励资格!
💡 内容创作 + 空投参与 = 双重加分,大奖候选人就是你!
💰总奖池:4,464 枚 $ESPORTS
🏆 一等奖(1名):964 枚
🥈 二等奖(5名):每人 400 枚
🥉 三等奖(10名):每人 150 枚
🚀 参与方式:
在 Gate广场发布不少于 300 字的原创文章
添加标签: #Gate广场征文活动第三期#
每篇文章需 ≥3 个互动(点赞 / 评论 / 转发)
发布参与 Launchpool / CandyDrop / Alpha 任一活动的截图,作为获奖资格凭证
同步转发至 X(推特)可增加获奖概率,标签:#GateSquare 👉 https://www.gate.com/questionnaire/6907
🎯 双倍奖励机会:参与第 286 期 Launchpool!
质押 BTC 或 ESPORTS,瓜分 803,571 枚 $ESPORTS,每小时发放
时间:7 月 21 日 20:00 – 7 月 25 日 20:00(UTC+8)
🧠 写作方向建议:
Yooldo
Uniswap Permit2签名钓鱼新手法深度剖析及防范策略
签名安全再敲警钟:深度解析Uniswap Permit2签名钓鱼事件
近期,一种利用Uniswap Permit2合约进行的新型签名钓鱼手法引起了广泛关注。这种攻击方式极其隐蔽且难以防范,对于曾使用过Uniswap进行交互的地址都可能存在风险。本文将深入剖析这一新型攻击手法,并提供相应的防范建议。
事件经过
事件源于一位用户(小A)的资产被盗。与常见被盗方式不同,小A并未泄露私钥,也未与钓鱼网站的合约进行交互。通过区块链浏览器可以看到,小A钱包中的USDT是通过Transfer From函数被转移的,这意味着是第三方地址操作将Token转移走的,而非钱包私钥泄露。
进一步调查发现,这次操作是与Uniswap的Permit2合约进行交互的。关键问题在于:执行转移的地址是如何获得资产权限的?为何会涉及Uniswap?
Uniswap Permit2解析
Uniswap Permit2是Uniswap于2022年底推出的新智能合约。它旨在实现代币授权的统一管理,提高用户体验并降低交易成本。Permit2作为用户与DApp之间的中介,允许用户只需对Permit2合约进行一次授权,就能在所有集成Permit2的DApp中共享这个授权额度。
这种机制虽然提高了用户体验,但也带来了潜在风险。传统交互方式下,授权和资金转移都需要用户进行链上交互。而Permit2将用户操作转为链下签名,所有链上操作由中间角色(如Permit2合约)完成。这种方式虽然便利,但也让用户更容易在签名环节放松警惕。
攻击手法详解
攻击者利用Permit2合约的Permit函数实施攻击。该函数允许用户通过签名授权他人在未来某个时间使用自己的代币。攻击步骤如下:
防范措施
理解并识别签名内容:学会辨别Permit签名格式,包括Owner、Spender、value、nonce和deadline等关键信息。推荐使用安全插件辅助识别。
资产与交互钱包分离:将大量资产存储在冷钱包中,日常交互使用仅含少量资金的热钱包,以降低潜在损失。
限制Permit2授权额度:在Uniswap上进行Swap时,只授权所需交易金额,避免授权过多额度。如已授权,可通过安全插件取消授权。
识别代币是否支持permit功能:关注所持代币是否支持该功能,对支持permit功能的代币交易需格外谨慎。
制定应急方案:如发现被骗但仍有资产在其他平台,需制定完善的资产转移计划,可考虑使用MEV转移或寻求专业安全团队协助。
随着Permit2应用范围的扩大,基于此的钓鱼攻击可能会越来越多。这种签名钓鱼方式极其隐蔽且难以防范,用户需提高警惕,加强安全意识,避免成为下一个受害者。