Permit2 钓鱼
Permit2 钓鱼 是什么?
Permit2 钓鱼Permit2 钓鱼是诱骗以太坊用户对 Uniswap Permit2 的链下消息进行签名,从而把转移其 ERC-20 代币的权限授予攻击者。
Uniswap 的 Permit2 是一个单例合约,用户可通过无 Gas 的 EIP-712 签名来授权代币转账,并按代币或按 spender 设置额度和过期时间。攻击者通过仿冒的 DeFi 或 NFT 站点,诱导钱包对 Permit2 的 PermitTransferFrom 或 PermitBatch 消息进行签名。一旦签名完成,攻击者随后即可调用 Permit2,无需受害者发起任何链上交易,直接转走已被授权的代币。由于签名看似免费且只是链下消息,受害者往往低估其风险。防御手段包括:钱包对 EIP-712 内容进行解码、硬件钱包显示代币名称与金额、使用授权扫描器(如 Revoke.cash)、以及绝不对自己看不懂的消息进行签名。
● 示例
- 01
伪造的空投页面要求用户用 Permit2 签名 '验证钱包',结果授权了攻击者扫光 USDC 与 DAI 的权限。
- 02
攻击者用单一的 Permit2 签名串联起对多种 ERC-20 代币的批量转账。
● 常见问题
Permit2 钓鱼 是什么?
Permit2 钓鱼是诱骗以太坊用户对 Uniswap Permit2 的链下消息进行签名,从而把转移其 ERC-20 代币的权限授予攻击者。 它属于网络安全的 Web3 与区块链 分类。
Permit2 钓鱼 是什么意思?
Permit2 钓鱼是诱骗以太坊用户对 Uniswap Permit2 的链下消息进行签名,从而把转移其 ERC-20 代币的权限授予攻击者。
Permit2 钓鱼 是如何工作的?
Uniswap 的 Permit2 是一个单例合约,用户可通过无 Gas 的 EIP-712 签名来授权代币转账,并按代币或按 spender 设置额度和过期时间。攻击者通过仿冒的 DeFi 或 NFT 站点,诱导钱包对 Permit2 的 PermitTransferFrom 或 PermitBatch 消息进行签名。一旦签名完成,攻击者随后即可调用 Permit2,无需受害者发起任何链上交易,直接转走已被授权的代币。由于签名看似免费且只是链下消息,受害者往往低估其风险。防御手段包括:钱包对 EIP-712 内容进行解码、硬件钱包显示代币名称与金额、使用授权扫描器(如 Revoke.cash)、以及绝不对自己看不懂的消息进行签名。
如何防御 Permit2 钓鱼?
针对 Permit2 钓鱼 的防御通常结合技术控制与运营实践,详见上方完整定义。
Permit2 钓鱼 还有哪些其他名称?
常见的别称包括: Uniswap Permit2 钓鱼, EIP-712 钓鱼。
● 相关术语
- web3№ 016
地址投毒
地址投毒是在受害者的交易历史中混入与正常地址首尾相似但由攻击者控制的「相像」地址,使其日后复制时误选并把资金转给攻击者。
- web3№ 181
剪贴板劫持者
剪贴板劫持者(crypto clipper)是一类监视操作系统剪贴板的恶意软件,会在受害者复制加密货币地址后悄悄替换为攻击者控制的地址。
- web3№ 1221
钱包窃取器(Wallet Drainer)
通过钓鱼或恶意脚本诱骗加密钱包用户签署交易或授权,从而一次性转走所有代币与 NFT 的攻击工具。
- web3№ 243
加密货币混币器 / Tumbler
加密货币混币器(tumbler)将众多用户的存款汇集并打乱,以模糊链上来源地址与目的地址之间的关联。
- attacks№ 821
网络钓鱼
一种社会工程攻击,攻击者冒充可信方,诱骗受害者泄露凭据、转账或运行恶意软件。