- 热门话题查看更多
1.3万 热度
470.8万 热度
12.4万 热度
7.9万 热度
16.5万 热度
- 置顶
- 🍁 金秋送福,大奖转不停!Gate 广场第 1️⃣ 3️⃣ 期秋季成长值抽奖大狂欢开启!
总奖池超 $15,000+,iPhone 17 Pro Max、Gate 精美周边、大额合约体验券等你来抽!
立即抽奖 👉 https://www.gate.com/activities/pointprize/?now_period=13&refUid=13129053
💡 如何攒成长值,解锁更多抽奖机会?
1️⃣ 进入【广场】,点头像旁标识进入【社区中心】
2️⃣ 完成发帖、评论、点赞、社群发言等日常任务,成长值拿不停
100% 必中,手气再差也不亏,手气爆棚就能抱走大奖,赶紧试试手气!
详情: https://www.gate.com/announcements/article/47381
#成长值抽奖赢iPhone17和精美周边# #BONK# #BTC# #ETH# #GT# - 🎯 Gate 广场用户体验问卷进行中 👉 https://www.gate.com/zh/questionnaire/7086
✅ 完成问卷即可参与抽奖,10 位幸运用户将获得 Gate X Red Bull 随行杯
⏰ 还没参与的朋友别错过啦~
🙏 你的反馈对我们优化广场非常重要,感谢支持!
📅 表单开放时间:9/19 – 10/9 - 💥 Gate 广场活动: #0G发帖赢USDT# 💥
在 Gate 广场发布与 0G 及相关活动(理财 / CandyDrop / 合约交易赛)相关的原创内容,即有机会瓜分 200 USDT 奖励!
📅 活动时间:2025年9月25日 18:00 – 10月2日 24:00 (UTC+8)
📌 相关活动:
理财活动:轻松赚取稳定收益
👉 https://www.gate.com/zh/announcements/article/47290
CandyDrop:参与瓜分 0G
👉 https://www.gate.com/zh/announcements/article/47286
合约交易赛:交易赢大奖
👉 https://www.gate.com/zh/announcements/article/47221
📌 参与方式:
1️⃣ 在 Gate 广场发布原创内容,主题需与 0G 或相关活动 有关
2️⃣ 内容不少于 80 字
3️⃣ 帖子添加话题: #0G发帖赢USDT#
4️⃣ 附上任意活动参与截图
🏆 奖励设置(总奖池 200 USDT):
20 名优秀内容创作者,每人 10 USDT
📄 注意事项:
内容必须原创,禁止抄袭或刷量
获奖者需完成 Gate 广场身份认证
活动最终解释权归 Gate 所有 - 🚀 #Gate广场新手村第二期# ✖️ @独领风骚必暴富
💰 分享你在 Gate 的第一桶金 | 🎉 回味最意外的收益经历 | 🤝 抱团成长
⏰ 活动时间:9/24 12:00 – 9/30 24:00 UTC+8
参与方式:
1️⃣ 关注 Gate广场_Official + @独领风骚必暴富
2️⃣ 在 Gate 广场发帖并带上 #Gate广场新手村第二期#
3️⃣ 分享你在 Gate 上的第一桶金或最意外的收益经历,内容越详细有趣,获奖几率越高!
🎁 奖励
抽取 3 位幸运粉丝 → 获得 Gate X RedBull 随行杯 + $20 合约体验券
若周边无法寄送,则替换为 $30 合约体验券
✨ 每一段收获都值得纪念,一起见证你的收益高光时刻! - 🚗 #Gate广场全民挑战# 第二期 — 哪个币种从未上线过 Gate Launchpad❓
考验你是不是资深 Gate 用户的时刻到了!
💰 参与互动,5 位幸运用户将瓜分 $50 GT!
👉 参与方式:
1️⃣ 关注 Gate广场_Official
2️⃣ 点赞此条广场贴文
3️⃣ 在评论中留下你的答案
🗓️ 截止至 2025 年 10 月 8 日 24:00(UTC+8)
Permit签名:对用户资产的隐患
您仍然在认为,只要您简单地注册并"连接"到网站,而不发起交易,您的资产就安全吗?如果是的话,那么您的安全意识可能已经过时了。
根据Scam Sniffer最近的网络钓鱼报告,90%的被盗资产是ERC-20代币。攻击的主要方法是使用Permit/Permit2签名的网络钓鱼。
仅在今年三月中旬,就发生了4起每起约200万美元的大规模盗窃。在三个案例中,Pendle PT代币是通过钓鱼签名Permit被盗的。
对于受害者来说,这简直是一个噩梦——突然发现资产消失了。起初看起来是私钥被盗,但最终发现这是由于不小心签名的结果。现在已经无能为力。
这一切是可以避免的。
什么是 Permit/Permit2?
不涉及技术细节,关键在于时代已经改变,而“简单”的签名现在可能完全不是简单的。
粗略地说,许多ERC-20代币的权限现在通过"中介"进行管理。
以前您为每个 dApp 合同单独授权使用代币。每个授权都需要消耗燃料。
现在,得益于许多dApps引入的Permit/Permit2技术(,您只需为“中间”Permit/Permit2授予权限。
所有使用该技术的dApps都可以请求使用此权限 - 您只需签署请求)即使是批量(,而无需为新的权限支付燃气费。
两头都是棍子
虽然这样的签名更新在处理多个应用程序时方便且节省资金,但它也带来了隐性风险。
危险在于用户习惯于 "通过签名登录 dApp",并认为普通签名是安全的。
如所周知,如果不区分新类型的签名 )盲签名(,就可能会陷入网络钓鱼陷阱。这为用户的意识以及像钱包这样的基础设施带来了新的问题。
对于黑客来说,这是一个很好的“借刀杀人”的方式。
恶意攻击者只需部署一个钓鱼合约,获得您的 Permit 签名,然后发送一笔交易,窃取资产 ),甚至可以等几天,直到您忘记这件事 (。此外,Permit2 允许黑客批量获取您所有代币的权限。
例如,在最近一个由SlowMist创始人描述的案例中,用户在质押时签署了代币授权,却没有注意到这一点。黑客立刻盗走了资产,导致了巨大的损失。
根据掩蔽的方法,网络钓鱼似乎变得更简单了。他们可能会创建一个用于检查空投的网站,并要求您"连接钱包"。或者制作一个用于登录热门项目的工具。花招无穷无尽。在使用时,他们可能会要求您签署类似Permit/Permit2的签名。
在未来,随着以太坊账户抽象的进展,)EIP-3074 将包含在下一个硬分叉(中,您甚至可以直接授权合约完全控制地址。这将带来新的钓鱼风险,尽管会更方便。
当然,这是一个单独谈论的话题。
如何防止这种钓鱼?有什么办法可以纠正一切?
关于防止钓鱼的Permit/Permit2方法,已经写了很多文章。值得再总结一下:
就像法律文件一样,没人会随便签名。
识别伪装的钓鱼网站对安全至关重要。对来自不熟悉网站的“登录请求”保持警惕。黑客伪装按钮的目的,以欺骗您订阅。
流行的钱包可以识别 Permit/Permit2 签名。如果 dApp 请求这样的签名,请再次确认您是否希望允许使用代币。普通的签名消息无法创建特殊签名。
除了Permit,还有increaseAllowance操作、与多个dApp的组合操作,以及以0x开头的不可读签名,这些可能会威胁到资产的安全性。
总之,如果您不理解弹出签名的内容和后果,请小心,尤其是在钱包中有大量资产时。
为了不让脚浸湿,最好不要走在水上。
如果您喜欢“忽略警告”并在不太知名的网站上进行实验,请分散您的资产。
使用小钱包进行频繁交易,不要存放大量资金。就像你去商店时只带一些现金,而不是所有的积蓄。
定期更换资产、钱包并撤销权限,以最小化风险。
含有大量资金的钱包不应该 "连接" 到网站上。或者将它们存储在硬件钱包中,仅在必要时使用。这是防止钓鱼的简单方法。
如果您不积极使用代币,最好根据请求给予Permit/Permit2权限,而不是默认的最大)无限(金额。
如果您拥有无限的Permit/Permit2权限,可以撤销它们。请在Revoke Cash中检查您的权限 - 可以清楚地看到每个代币发放的Permit/Permit2权限。
该工具还允许撤回尚未被黑客用于盗取资产的签名。
我们注意到,Permit 签名是独立的,并且在使用之前不会在区块链上留下痕迹)黑客通常将被盗的签名存储在服务器上(。
定期检查权限和签名是一个好习惯。
结论
如果您仍然成为了网络钓鱼的受害者,最好立即联系像SlowMist这样的专业安全团队。他们会帮助您及时转移资产并尽量减少损失,甚至可能通过技术手段来实现。
值得注意的是,钓鱼攻击变得更加专业化和工业化,劳动分工明确。如果资产已经被专业黑客团队盗取并洗钱,追回的可能性极小!因此,必须从根本上消灭威胁,不给犯罪分子留下机会。