- 熱門話題查看更多
1.2萬 熱度
470.7萬 熱度
12.3萬 熱度
7.8萬 熱度
16.5萬 熱度
- 置頂
- 🍁 金秋送福,大獎轉不停!Gate 廣場第 1️⃣ 3️⃣ 期秋季成長值抽獎大狂歡開啓!
總獎池超 $15,000+,iPhone 17 Pro Max、Gate 精美週邊、大額合約體驗券等你來抽!
立即抽獎 👉 https://www.gate.com/activities/pointprize/?now_period=13&refUid=13129053
💡 如何攢成長值,解鎖更多抽獎機會?
1️⃣ 進入【廣場】,點頭像旁標識進入【社區中心】
2️⃣ 完成發帖、評論、點讚、社群發言等日常任務,成長值拿不停
100% 必中,手氣再差也不虧,手氣爆棚就能抱走大獎,趕緊試試手氣!
詳情: https://www.gate.com/announcements/article/47381
#成长值抽奖赢iPhone17和精美周边# #BONK# #BTC# #ETH# #GT# - 💥 Gate 廣場活動: #0G发帖赢USDT# 💥
在 Gate 廣場發布與 0G 及相關活動(理財 / CandyDrop / 合約交易賽)相關的原創內容,即有機會瓜分 200 USDT 獎勵!
📅 活動時間:2025年9月25日 18:00 – 10月2日 24:00 (UTC+8)
📌 相關活動:
理財活動:輕鬆賺取穩定收益
👉 https://www.gate.com/zh/announcements/article/47290
CandyDrop:參與瓜分 0G
👉 https://www.gate.com/zh/announcements/article/47286
合約交易賽:交易贏大獎
👉 https://www.gate.com/zh/announcements/article/47221
📌 參與方式:
1️⃣ 在 Gate 廣場發布原創內容,主題需與 0G 或相關活動 有關
2️⃣ 內容不少於 80 字
3️⃣ 帖子添加話題: #0G发帖赢USDT#
4️⃣ 附上任意活動參與截圖
🏆 獎勵設置(總獎池 200 USDT):
20 名優秀內容創作者,每人 10 USDT
📄 注意事項:
內容必須原創,禁止抄襲或刷量
獲獎者需完成 Gate 廣場身分認證
活動最終解釋權歸 Gate 所有 - 🚀 #Gate广场新手村第二期# ✖️ @獨領風騷必暴富
💰 分享你在 Gate 的第一桶金 | 🎉 回味最意外的收益經歷 | 🤝 抱團成長
⏰ 活動時間:9/24 12:00 – 9/30 24:00 UTC+8
參與方式:
1️⃣ 關注 Gate廣場_Official + @獨領風騷必暴富
2️⃣ 在 Gate 廣場發帖並帶上 #Gate广场新手村第二期#
3️⃣ 分享你在 Gate 上的第一桶金或最意外的收益經歷,內容越詳細有趣,獲獎幾率越高!
🎁 獎勵
抽取 3 位幸運粉絲 → 獲得 Gate X RedBull 隨行杯 + $20 合約體驗券
若週邊無法寄送,則替換爲 $30 合約體驗券
✨ 每一段收獲都值得紀念,一起見證你的收益高光時刻! - 🚗 #Gate广场全民挑战# 第二期 — 哪個幣種從未上線過 Gate Launchpad❓
考驗你是不是資深 Gate 用戶的時刻到了!
💰 參與互動,5 位幸運用戶將瓜分 $50 GT!
👉 參與方式:
1️⃣ 關注 Gate廣場_Official
2️⃣ 點讚此條廣場貼文
3️⃣ 在評論中留下你的答案
🗓️ 截止至 2025 年 10 月 8 日 24:00(UTC+8) - 揭祕更多廣場規則,助您輕鬆玩轉Gate廣場!🧐
社區成長值會過期嗎?
一圖帶你了解👇️
Permit籤名:對用戶資產的隱患
您仍然在認爲,只要您簡單地註冊並"連接"到網站,而不發起交易,您的資產就安全嗎?如果是的話,那麼您的安全意識可能已經過時了。
根據Scam Sniffer最近的網絡釣魚報告,90%的被盜資產是ERC-20代幣。攻擊的主要方法是使用Permit/Permit2籤名的網絡釣魚。
僅在今年三月中旬,就發生了4起每起約200萬美元的大規模盜竊。在三個案例中,Pendle PT代幣是通過釣魚籤名Permit被盜的。
對於受害者來說,這簡直是一個噩夢——突然發現資產消失了。起初看起來是私鑰被盜,但最終發現這是由於不小心籤名的結果。現在已經無能爲力。
這一切是可以避免的。
什麼是 Permit/Permit2?
不涉及技術細節,關鍵在於時代已經改變,而“簡單”的籤名現在可能完全不是簡單的。
粗略地說,許多ERC-20代幣的權限現在通過"中介"進行管理。
以前您爲每個 dApp 合同單獨授權使用代幣。每個授權都需要消耗燃料。
現在,得益於許多dApps引入的Permit/Permit2技術(,您只需爲“中間”Permit/Permit2授予權限。
所有使用該技術的dApps都可以請求使用此權限 - 您只需簽署請求)即使是批量(,而無需爲新的權限支付燃氣費。
兩頭都是棍子
雖然這樣的籤名更新在處理多個應用程序時方便且節省資金,但它也帶來了隱性風險。
危險在於用戶習慣於 "通過籤名登入 dApp",並認爲普通籤名是安全的。
如所周知,如果不區分新類型的籤名 )盲籤名(,就可能會陷入網絡釣魚陷阱。這爲用戶的意識以及像錢包這樣的基礎設施帶來了新的問題。
對於黑客來說,這是一個很好的“借刀殺人”的方式。
惡意攻擊者只需部署一個釣魚合約,獲得您的 Permit 籤名,然後發送一筆交易,竊取資產 ),甚至可以等幾天,直到您忘記這件事 (。此外,Permit2 允許黑客批量獲取您所有代幣的權限。
例如,在最近一個由SlowMist創始人描述的案例中,用戶在質押時簽署了代幣授權,卻沒有注意到這一點。黑客立刻盜走了資產,導致了巨大的損失。
根據掩蔽的方法,網絡釣魚似乎變得更簡單了。他們可能會創建一個用於檢查空投的網站,並要求您"連接錢包"。或者制作一個用於登入熱門項目的工具。花招無窮無盡。在使用時,他們可能會要求您簽署類似Permit/Permit2的籤名。
在未來,隨着以太坊帳戶抽象的進展,)EIP-3074 將包含在下一個硬分叉(中,您甚至可以直接授權合約完全控制地址。這將帶來新的釣魚風險,盡管會更方便。
當然,這是一個單獨談論的話題。
如何防止這種釣魚?有什麼辦法可以糾正一切?
關於防止釣魚的Permit/Permit2方法,已經寫了很多文章。值得再總結一下:
就像法律文件一樣,沒人會隨便籤名。
識別僞裝的釣魚網站對安全至關重要。對來自不熟悉網站的“登入請求”保持警惕。黑客僞裝按鈕的目的,以欺騙您訂閱。
流行的錢包可以識別 Permit/Permit2 籤名。如果 dApp 請求這樣的籤名,請再次確認您是否希望允許使用代幣。普通的籤名消息無法創建特殊籤名。
除了Permit,還有increaseAllowance操作、與多個dApp的組合操作,以及以0x開頭的不可讀籤名,這些可能會威脅到資產的安全性。
總之,如果您不理解彈出籤名的內容和後果,請小心,尤其是在錢包中有大量資產時。
爲了不讓腳浸溼,最好不要走在水上。
如果您喜歡“忽略警告”並在不太知名的網站上進行實驗,請分散您的資產。
使用小錢包進行頻繁交易,不要存放大量資金。就像你去商店時只帶一些現金,而不是所有的積蓄。
定期更換資產、錢包並撤銷權限,以最小化風險。
含有大量資金的錢包不應該 "連接" 到網站上。或者將它們存儲在硬體錢包中,僅在必要時使用。這是防止釣魚的簡單方法。
如果您不積極使用代幣,最好根據請求給予Permit/Permit2權限,而不是默認的最大)無限(金額。
如果您擁有無限的Permit/Permit2權限,可以撤銷它們。請在Revoke Cash中檢查您的權限 - 可以清楚地看到每個代幣發放的Permit/Permit2權限。
該工具還允許撤回尚未被黑客用於盜取資產的籤名。
我們注意到,Permit 籤名是獨立的,並且在使用之前不會在區塊鏈上留下痕跡)黑客通常將被盜的籤名存儲在服務器上(。
定期檢查權限和籤名是一個好習慣。
結論
如果您仍然成爲了網絡釣魚的受害者,最好立即聯繫像SlowMist這樣的專業安全團隊。他們會幫助您及時轉移資產並盡量減少損失,甚至可能通過技術手段來實現。
值得注意的是,釣魚攻擊變得更加專業化和工業化,勞動分工明確。如果資產已經被專業黑客團隊盜取並洗錢,追回的可能性極小!因此,必須從根本上消滅威脅,不給犯罪分子留下機會。