📢 #Gate广场征文活动第二期# 正式启动!
分享你对 $ERA 项目的独特观点,推广ERA上线活动, 700 $ERA 等你来赢!
💰 奖励:
一等奖(1名): 100枚 $ERA
二等奖(5名): 每人 60 枚 $ERA
三等奖(10名): 每人 30 枚 $ERA
👉 参与方式:
1.在 Gate广场发布你对 ERA 项目的独到见解贴文
2.在贴文中添加标签: #Gate广场征文活动第二期# ,贴文字数不低于300字
3.将你的文章或观点同步到X,加上标签:Gate Square 和 ERA
4.征文内容涵盖但不限于以下创作方向:
ERA 项目亮点:作为区块链基础设施公司,ERA 拥有哪些核心优势?
ERA 代币经济模型:如何保障代币的长期价值及生态可持续发展?
参与并推广 Gate x Caldera (ERA) 生态周活动。点击查看活动详情:https://www.gate.com/announcements/article/46169。
欢迎围绕上述主题,或从其他独特视角提出您的见解与建议。
⚠️ 活动要求:
原创内容,至少 300 字, 重复或抄袭内容将被淘汰。
不得使用 #Gate广场征文活动第二期# 和 #ERA# 以外的任何标签。
每篇文章必须获得 至少3个互动,否则无法获得奖励
鼓励图文并茂、深度分析,观点独到。
⏰ 活动时间:2025年7月20日 17
Uniswap Permit2签名钓鱼新骗局:如何识别和防范资产被盗风险
揭秘Uniswap Permit2签名钓鱼骗局
黑客是Web3生态中令人恐惧的存在。对项目方而言,代码开源的特性使他们开发时战战兢兢,生怕一个错误就留下漏洞。对个人用户来说,如果不了解自己的操作含义,每次链上交互或签名都可能导致资产被盗。因此安全问题一直是加密世界的痛点之一。由于区块链的特性,被盗资产几乎无法追回,所以具备安全知识尤为重要。
近期,一位研究者发现了一种新型钓鱼手法,仅需签名即可导致资产被盗。这种手法极其隐蔽且难以防范,而且与Uniswap交互过的地址都可能面临风险。本文将对这种签名钓鱼手法进行科普,以尽量避免更多资产损失。
事件经过
一位朋友(小A)的钱包资产被盗后寻求帮助。与常见被盗方式不同,小A并未泄露私钥,也没有与可疑合约交互。
调查发现,小A的USDT是通过TransferFrom函数被转移的。这意味着是第三方地址操作转移了Token,而非钱包私钥泄露。
交易细节显示:
关键问题是:fd51地址如何获得了资产权限?为何与Uniswap有关?
进一步调查发现,在转移资产前,fd51地址还进行了一个Permit操作,且两个操作都与Uniswap Permit2合约交互。
Uniswap Permit2是2022年底推出的新合约,旨在实现跨应用的代币授权共享与管理,创造更统一、高效、安全的用户体验。随着更多项目集成,Permit2有望实现代币授权标准化,降低交易成本并提高安全性。
Permit2的出现可能改变Dapp生态规则。传统上用户需对每个Dapp单独授权,而Permit2作为中间人,用户只需授权给Permit2,所有集成的Dapp即可共享授权。这降低了用户交互成本,提升体验。
然而,Permit2也是把双刃剑。它将用户操作变为链下签名,链上操作由中间角色完成。这允许用户无需ETH即可使用其他Token支付Gas或由中间角色报销,但也使链下签名成为最易被忽视的安全隐患。
分析表明,只要在2023年后与Uniswap交互并授权Permit2,就可能面临这种钓鱼风险。关键在于Permit函数,它允许黑客通过用户签名获取Token权限并转移资产。
事件详细分析
Permit函数类似在线签署合同,允许提前授权他人未来使用代币。它会检查签名有效期、验证签名真实性,然后更新授权记录。
verify函数从签名中提取v、r、s数据,恢复签名地址并与代币拥有者地址比对。_updateApproval函数则在验证通过后更新授权值。
实际交易中:
小A此前使用Uniswap时授予了几乎无限的额度。黑客利用这一点,通过钓鱼获取签名,在Permit2合约中执行Permit和TransferFrom操作转移资产。
目前Uniswap Permit2合约已成为钓鱼热点,大量交互来自标记的钓鱼地址。
防范建议
使用资产钱包与交互钱包分离,减少潜在损失。
谨慎授权Permit2合约,仅授权必要额度或取消多余授权。
了解所持代币是否支持permit功能,对支持的代币交易要格外谨慎。
若发现被骗但仍有资产在其他平台,需制定完善的资金转移计划,可考虑使用MEV转移或寻求专业安全团队协助。
随着Permit2应用范围扩大,基于它的钓鱼可能会增多。这种签名钓鱼方式隐蔽难防,暴露风险的地址也将增加。请提高警惕并传播相关知识,避免更多损失。