📢 Gate广场 #MBG任务挑战# 发帖赢大奖活动火热开启!
想要瓜分1,000枚MBG?现在就来参与,展示你的洞察与实操,成为MBG推广达人!
💰️ 本期将评选出20位优质发帖用户,每人可轻松获得50枚MBG!
如何参与:
1️⃣ 调研MBG项目
对MBG的基本面、社区治理、发展目标、代币经济模型等方面进行研究,分享你对项目的深度研究。
2️⃣ 参与并分享真实体验
参与MBG相关活动(包括CandyDrop、Launchpool或现货交易),并晒出你的参与截图、收益图或实用教程。可以是收益展示、简明易懂的新手攻略、小窍门,也可以是现货行情点位分析,内容详实优先。
3️⃣ 鼓励带新互动
如果你的帖子吸引到他人参与活动,或者有好友评论“已参与/已交易”,将大幅提升你的获奖概率!
MBG热门活动(帖文需附下列活动链接):
Gate第287期Launchpool:MBG — 质押ETH、MBG即可免费瓜分112,500 MBG,每小时领取奖励!参与攻略见公告:https://www.gate.com/announcements/article/46230
Gate CandyDrop第55期:CandyDrop x MBG — 通过首次交易、交易MBG、邀请好友注册交易即可分187,500 MBG!参与攻略见公告:https://www.gate.com/announcements
Web3签名钓鱼全解析:授权陷阱到Permit2风险
Web3签名钓鱼手法剖析:从授权到Permit2
近期,"签名钓鱼"成为了Web3黑客最青睐的攻击方式之一。尽管安全专家和钱包公司不断普及相关知识,但每天仍有许多用户落入陷阱。造成这种情况的一个主要原因是,大多数用户对钱包交互的底层逻辑缺乏了解,且学习门槛较高。
为了帮助更多人理解这一问题,本文将以通俗易懂的方式解析Web3签名钓鱼的底层逻辑,特别是针对不熟悉技术的用户。
首先,我们需要明白使用钱包时主要有两种操作:"签名"和"交互"。简单来说,签名发生在区块链外(链下),不需要支付Gas费;而交互发生在区块链上(链上),需要支付Gas费。
签名通常用于身份验证,例如登录钱包或连接某个DApp。这个过程不会对区块链产生任何影响,因此无需支付费用。而交互则涉及实际的链上操作,如在DEX上进行代币交换,这需要支付Gas费用。
了解了签名和交互的区别后,我们来看看几种常见的钓鱼方式:
Permit签名钓鱼: Permit是ERC-20标准的一个扩展功能,允许用户通过签名授权他人操作自己的代币。黑客可以利用这一机制,诱导用户签署一个看似无害的消息,实际上却是授权黑客转移用户资产的"条子"。
Permit2签名钓鱼: Permit2是某DEX推出的一项功能,旨在简化用户操作流程。然而,如果用户曾经对Permit2合约进行过无限额度授权,黑客就可以利用这一点进行钓鱼攻击。
为了防范这些钓鱼攻击,用户可以采取以下措施:
总的来说,签名钓鱼的本质是诱导用户签署一个允许他人操作自己资产的"条子"。理解这些攻击原理并保持警惕,对于保护自己的数字资产至关重要。