Entry № 916
Permit2 钓鱼
Permit2 钓鱼 是什么?
Permit2 钓鱼Permit2 钓鱼是诱骗以太坊用户对 Uniswap Permit2 的链下消息进行签名,从而把转移其 ERC-20 代币的权限授予攻击者。
Uniswap 的 Permit2 是一个单例合约,用户可通过无 Gas 的 EIP-712 签名来授权代币转账,并按代币或按 spender 设置额度和过期时间。攻击者通过仿冒的 DeFi 或 NFT 站点,诱导钱包对 Permit2 的 PermitTransferFrom 或 PermitBatch 消息进行签名。一旦签名完成,攻击者随后即可调用 Permit2,无需受害者发起任何链上交易,直接转走已被授权的代币。由于签名看似免费且只是链下消息,受害者往往低估其风险。防御手段包括:钱包对 EIP-712 内容进行解码、硬件钱包显示代币名称与金额、使用授权扫描器(如 Revoke.cash)、以及绝不对自己看不懂的消息进行签名。
● 示例
- 01
伪造的空投页面要求用户用 Permit2 签名 '验证钱包',结果授权了攻击者扫光 USDC 与 DAI 的权限。
- 02
攻击者用单一的 Permit2 签名串联起对多种 ERC-20 代币的批量转账。
● 常见问题
Permit2 钓鱼 是什么?
Permit2 钓鱼是诱骗以太坊用户对 Uniswap Permit2 的链下消息进行签名,从而把转移其 ERC-20 代币的权限授予攻击者。 它属于网络安全的 Web3 与区块链 分类。
Permit2 钓鱼 是什么意思?
Permit2 钓鱼是诱骗以太坊用户对 Uniswap Permit2 的链下消息进行签名,从而把转移其 ERC-20 代币的权限授予攻击者。
如何防御 Permit2 钓鱼?
针对 Permit2 钓鱼 的防御通常结合技术控制与运营实践,详见上方完整定义。
Permit2 钓鱼 还有哪些其他名称?
常见的别称包括: Uniswap Permit2 钓鱼, EIP-712 钓鱼。