穩健,是 Gate 持續增長的核心動力。
真正的成長,不是順風順水,而是在市場低迷時依然堅定前行。我們或許能預判牛熊市的大致節奏,但絕無法精準預測它們何時到來。特別是在熊市週期,才真正考驗一家交易所的實力。
Gate 今天發布了2025年第二季度的報告。作爲內部人,看到這些數據我也挺驚喜的——用戶規模突破3000萬,現貨交易量逆勢環比增長14%,成爲前十交易所中唯一實現雙位數增長的平台,並且登頂全球第二大交易所;合約交易量屢創新高,全球化戰略穩步推進。
更重要的是,穩健並不等於守成,而是在面臨嚴峻市場的同時,還能持續創造新的增長空間。
歡迎閱讀完整報告:https://www.gate.com/zh/announcements/article/46117
Permit2籤名釣魚新手法:DEX用戶資產安全警報
隱蔽的籤名陷阱 - 揭祕Uniswap Permit2釣魚騙局
在Web3生態中,黑客一直是讓項目方和普通用戶都提心吊膽的存在。由於區塊鏈的不可逆性,一旦資產被盜幾乎無法追回,因此具備安全知識對於每個加密世界參與者來說都至關重要。
近期,一種新型的釣魚手法開始活躍,僅需籤名就可能導致資產被盜,手法極其隱蔽且難以防範。更令人擔憂的是,所有與某DEX有過交互的地址都可能暴露在這種風險之下。本文將深入剖析這種籤名釣魚手法的原理和防範措施。
事件經過
事情源於一位朋友(小A)的資產被盜事件。與常見被盜方式不同,小A並未泄露私鑰,也沒有與可疑網站或合約進行交互。通過區塊鏈瀏覽器可以看到,小A錢包中的USDT是通過Transfer From函數被轉走的,這意味着是第三方地址操作轉移了資產,而非錢包私鑰泄露。
進一步查詢交易細節發現:
關鍵問題在於,fd51地址是如何獲得小A資產的操作權限的?爲什麼會與某DEX的合約有關?
釣魚手法剖析
要理解這個釣魚手法,我們需要先了解Permit2合約的作用。Permit2是某DEX在2022年底推出的一個代幣審批合約,旨在讓不同應用程序共享和管理代幣授權,從而創造更統一、更具成本效益、更安全的用戶體驗。
傳統交互方式下,用戶每次與不同DApp交互時都需要單獨授權。而Permit2作爲中間人,用戶只需將Token授權給Permit2合約,所有集成Permit2的DApp就可以共享這個授權額度。這大大降低了用戶的交互成本,提升了體驗。
然而,Permit2也帶來了新的風險。它將用戶操作從鏈上交互變爲了鏈下籤名,而所有鏈上操作由中間角色(如Permit2合約)來完成。這種方案雖然便利,但鏈下籤名恰恰是用戶最容易放松警惕的環節。
在小A的案例中,關鍵就在於黑客利用Permit2合約的Permit函數。這個函數允許通過籤名將用戶授權給Permit2的Token額度轉移給其他地址。也就是說,只要獲得用戶的籤名,黑客就可以操控用戶錢包中的Token。
防範措施
考慮到Permit2未來可能更加普及,以下是一些有效的防範建議:
學會識別Permit籤名格式。Permit籤名通常包含Owner、Spender、value、nonce和deadline等關鍵信息。使用安全插件可以幫助識別。
分離資產存儲和交互錢包。將大額資產存放在冷錢包中,交互錢包僅保留少量資金,可以大幅降低損失風險。
限制授權額度或取消授權。在交互時只授權所需金額,雖然會增加一些成本,但可以避免遭受Permit2籤名釣魚。已授權的可通過安全插件取消。
了解所持代幣是否支持permit功能。對支持該功能的代幣交易要格外謹慎,嚴格檢查每個未知籤名。
制定應急預案。如果發現被騙但還有資產在其他平台,需要快速制定完善的資產拯救計劃,可考慮使用MEV轉移或尋求專業安全團隊協助。
隨着Permit2應用範圍擴大,基於此的釣魚手法可能會越來越多。這種籤名釣魚方式極其隱蔽且難以防範,希望更多人了解相關風險,提高警惕,避免遭受損失。