Web3籤名釣魚的底層邏輯：授權、Permit與Permit2

近期，"籤名釣魚"已成爲Web3黑客最青睞的釣魚手法。盡管業內專家和各大錢包、安全公司不斷進行科普宣傳，但每天仍有不少用戶上當受騙。造成這種情況的一個主要原因是，大多數用戶對錢包交互的底層原理缺乏了解，而對非技術人員來說，相關知識的學習門檻較高。

爲了幫助更多人理解這一問題，本文將以圖解方式詳細解析籤名釣魚的底層邏輯，並盡量使用通俗易懂的語言，讓非技術背景的讀者也能輕鬆理解。

首先，我們需要明白使用錢包時主要有兩種操作："籤名"和"交互"。簡單來說，籤名是發生在區塊鏈外部的操作，不需要支付Gas費；而交互則是在區塊鏈上進行的，需要支付Gas費。

籤名的典型場景是身分驗證，例如登入錢包。當你需要在某個去中心化交易所（DEX）進行代幣交換時，首先要連接你的錢包。這個過程中，你需要籤名以證明"我是這個錢包的擁有者"。這一步驟不會對區塊鏈的數據或狀態產生任何影響，因此無需支付費用。

相比之下，交互是指在區塊鏈上實際執行操作。比如，當你在DEX上交換代幣時，你需要先支付一筆費用，告訴DEX的智能合約："我授權你移動我的100USDT"。這個步驟稱爲授權（approve）。然後，你還需要再支付一筆費用，告訴合約："現在請執行用100USDT兌換1個代幣的操作"。這樣，你就完成了代幣交換。

了解了籤名和交互的區別後，我們來看看幾種常見的釣魚方式：授權釣魚、Permit籤名釣魚和Permit2籤名釣魚。

授權釣魚是Web3早期最典型的釣魚手法之一。黑客會創建一個僞裝成正常項目的網站，誘導用戶點擊"領取空投"等按鈕。實際上，用戶點擊後彈出的錢包界面是在請求用戶授權黑客地址操作自己的代幣。一旦用戶確認，黑客就能控制用戶的資產。

不過，授權釣魚有一個缺點：由於需要支付Gas費，許多用戶在涉及資金操作時會更加謹慎，較容易發現異常。

而Permit和Permit2籤名釣魚則成爲了當前Web3資產安全的重災區。這主要是因爲用戶在使用去中心化應用（DApp）時，總是需要先籤名登入錢包。許多人已經形成了"籤名是安全的"這種慣性思維，加上籤名不需要支付費用，而且大多數人不了解每個籤名背後的含義，使得這類釣魚方式更難防範。

Permit機制是ERC-20標準下授權功能的一個擴展。簡單來說，它允許用戶通過籤名的方式批準他人操作自己的代幣。與傳統的授權（Approve）不同，Permit是用戶在一個"授權書"上籤名，允許某人操作指定數量的代幣。持有這個"授權書"的人可以向智能合約提交並支付Gas費，告知合約"我被授權操作這些代幣"。在這個過程中，用戶只是籤了個名，卻可能導致資產被轉移。黑客可以通過僞造的網站，將登入錢包的按鈕替換爲Permit釣魚，從而輕易獲取用戶的資產。

Permit2是某DEX爲提升用戶體驗推出的功能。它的目的是簡化用戶每次交易時都需要授權和支付雙重Gas費的問題。用戶可以一次性將完整授權給Permit2智能合約，之後每次交易只需籤名即可，Gas費由Permit2合約代付（最終從兌換的代幣中扣除）。然而，如果用戶之前使用過該DEX並給予了無限授權，就可能成爲Permit2釣魚的受害者。黑客只需誘導用戶籤名，就能轉移已授權的代幣。

總的來說，授權釣魚是用戶直接授權黑客操作自己的代幣；而籤名釣魚則是用戶unknowingly簽署了允許他人操作資產的"授權書"，黑客隨後利用這個"授權書"轉移資產。Permit是ERC-20的授權擴展功能，Permit2則是某DEX推出的新功能。

爲了防範這些釣魚攻擊，我們可以採取以下措施：

1. 培養安全意識，每次進行錢包操作時都要仔細檢查具體在做什麼。

2. 將大額資金和日常使用的錢包分開，以降低潛在損失。

3. 學會識別Permit和Permit2的籤名格式。當看到包含以下字段的籤名請求時要特別警惕：

   • Interactive：交互網址
   • Owner：授權方地址
   • Spender：被授權方地址
   • Value：授權數量
   • Nonce：隨機數
   • Deadline：過期時間

通過了解這些底層原理和採取適當的防範措施，我們可以更好地保護自己的Web3資產安全。