📢 Gate广场专属 #WXTM创作大赛# 正式开启!
聚焦 CandyDrop 第59期 —— MinoTari (WXTM),总奖池 70,000 枚 WXTM 等你赢!
🎯 关于 MinoTari (WXTM)
Tari 是一个以数字资产为核心的区块链协议,由 Rust 构建,致力于为创作者提供设计全新数字体验的平台。
通过 Tari,数字稀缺资产(如收藏品、游戏资产等)将成为创作者拓展商业价值的新方式。
🎨 活动时间:
2025年8月7日 17:00 - 8月12日 24:00(UTC+8)
📌 参与方式:
在 Gate广场发布与 WXTM 或相关活动(充值 / 交易 / CandyDrop)相关的原创内容
内容不少于 100 字,形式不限(观点分析、教程分享、图文创意等)
添加标签: #WXTM创作大赛# 和 #WXTM#
附本人活动截图(如充值记录、交易页面或 CandyDrop 报名图)
🏆 奖励设置(共计 70,000 枚 WXTM):
一等奖(1名):20,000 枚 WXTM
二等奖(3名):10,000 枚 WXTM
三等奖(10名):2,000 枚 WXTM
📋 评选标准:
内容质量(主题相关、逻辑清晰、有深度)
用户互动热度(点赞、评论)
附带参与截图者优先
📄 活动说明:
内容必须原创,禁止抄袭和小号刷量行为
获奖用户需完成 Gate广场实名
新型签名钓鱼威胁:Permit2授权风险及防范指南
签名就被盗?揭秘Uniswap Permit2签名钓鱼骗局
黑客是Web3生态中令人畏惧的存在。对项目方而言,代码开源使得任何错误都可能被利用,安全事故后果严重。对个人用户来说,不了解操作含义可能导致资产被盗。区块链的不可逆特性使得被盗资产难以追回,因此安全知识尤为重要。
近期,一种新型钓鱼手法开始活跃,仅需签名就可能被盗,手法隐蔽难防。使用过某DEX交互的地址都可能面临风险。本文将对这种签名钓鱼手法进行科普,以避免更多资产损失。
事件源于一位朋友(小A)的资产被盗。与常见被盗方式不同,小A未泄露私钥也未与钓鱼合约交互。调查发现,小A的USDT是通过Transfer From函数被转移的,意味着另一地址操作转移了Token。
关键线索是:
疑点在于该地址如何获得资产权限,以及为何与某DEX有关。
进一步调查发现,在转移资产前,该地址进行了Permit操作,交互对象都是某DEX的Permit2合约。Permit2是该DEX于2022年底推出的新合约,旨在实现跨应用的Token授权共享管理。
Permit2的目标是简化用户交互流程,降低Gas成本。传统方式下用户需对每个Dapp单独授权,而Permit2可省去这一步骤。它作为用户与Dapp间的中间人,用户只需授权给Permit2,所有集成的Dapp即可共享授权。
这种方式虽然提升了用户体验,但也带来风险。Permit2将用户操作变为链下签名,所有链上操作由中间角色完成。这使得用户即使没有ETH也可使用其他Token支付Gas或由中间角色承担。
然而,链下签名是最易被忽视的环节。许多用户在连接Dapp时不会仔细检查签名内容,这正是最危险之处。
小A事件的关键在于Permit函数。该函数允许用户提前签署"合同",授权他人在未来使用自己的Token。只要获得用户签名,攻击者就能转移用户授权给Permit2的Token额度。
值得注意的是,某DEX的Permit2默认请求无限授权额度。这意味着2023年后与该DEX交互并授权Permit2的用户都可能面临风险。
防范建议:
随着Permit2应用范围扩大,相关钓鱼手法可能增多。这种签名钓鱼方式极其隐蔽且难防,暴露在风险下的地址会越来越多。希望读者能将此信息传播给更多人,避免更多资产损失。