Bist du bei jeder „Genehmigung“ im Web3 nackt unterwegs?
Wenn du ein Web3-Spieler bist, der oft auf der Blockchain surft, wirst du diese Szene sicher verabscheuen: Wenn du in einer neuen dezentralen Anwendung (DApp) Token handeln möchtest, zwingt dich das System immer zuerst zu klicken „Genehmigen“, eine hohe Gasgebühr zu zahlen und geduldig auf die Bestätigung zu warten, bevor du den zweiten Schritt des eigentlichen Handels durchführen kannst.
Um es einfacher zu machen, lassen viele DApps standardmäßig zu, dass du „unbegrenzten Zugriff“ gewährst. Das ist so, als würdest du für den Kauf einer Flasche Wasser im Kiosk unten einfach die „unbefristete, kontaktlose Zahlung“ Berechtigung deiner Bankkarte dem Kassierer übertragen. Sobald diese DApp von Hackern angegriffen wird, wird dein Vermögen in deiner Geldbörse sofort geplündert.
Um das Problem "schlechte Erfahrung, hohe Kosten, große Sicherheitslücken" vollständig zu lösen, hat das Uniswap-Team den neuen Standard für Token-Genehmigungen, Permit2, mit einem großen Knall eingeführt. Es wird zu einer grundlegenden Infrastruktur im Ethereum-Ökosystem.
Heute werden wir diese Technologie, die das Web3-Interaktionserlebnis revolutionieren wird, auseinandernehmen.
Erstens, die traditionellen Schmerzpunkte: Warum brauchen wir Permit2?
Bevor wir Permit2 verstehen, schauen wir uns zuerst an, wie unfreundlich die beiden bestehenden Genehmigungsmodelle sind.
1. Der Albtraum der "zwei Schritte" der traditionellen ERC20-Token: Der früheste Token-Standard (ERC20) schreibt vor, dass die Verwendung von Mitteln in zwei Schritten erfolgen muss:
Erster Schritt: Genehmigung (Approve). Der Benutzer zeichnet eine Transaktion auf der Kette auf und sagt dem Smart Contract: "Ich erlaube dir, mein Geld zu bewegen."
Zweiter Schritt: Übertragung (TransferFrom). Der Vertrag überweist tatsächlich das Geld. Schmerzpunkt: Jedes Mal, wenn du ein DApp wechselst oder einen Token änderst, musst du diesen Prozess erneut durchlaufen. Es ist nicht nur umständlich, sondern du verbrennst auch eine Menge echtes Geld (Gasgebühren) für die Aktion "Genehmigung".
2. Die verbesserte Version der alten Generation: Die Einschränkungen von EIP-2612 führten dazu, dass die Ethereum-Community den Vorschlag EIP-2612 einführte (der das Permit-Mechanismus einführt), der es den Benutzern ermöglicht, "ohne on-chain direkt im Wallet zu unterschreiben", um die Genehmigung abzuschließen und die beiden Schritte in einen Schritt zu kombinieren.
Schmerzpunkt: Die Idee ist großartig, aber nicht rückwärtskompatibel. Das bedeutet, dass nur neue Token, die diese Mechanik im Code integriert haben, damit funktionieren können. Die Vielzahl an alten Token, die frühzeitig auf den Markt kamen (einschließlich vieler Mainstream-Assets), können dieses reibungslose Feature nicht nutzen.
Zweitens, die Durchbrüche von Permit2: Einmalige Genehmigung, frei im gesamten Netz
Permit2 zielt nicht darauf ab, den Basiscode jedes Tokens zu ändern, sondern hat äußerst intelligent eine einheitliche Genehmigungsebene (Hausmeistervertrag) zwischen "Benutzern" und "allen DApps" aufgebaut.
Das Grunddesignkonzept lautet acht Worte: Einmalige Genehmigung, überall verwenden.
Die No-Code-Wiederherstellung des Permit2-Zirkulationszaubers: Angenommen, du möchtest zwischen verschiedenen DApps wechseln, im Rahmen der Permit2-Architektur wird der Prozess so:
Einmalige On-Chain: Benutzer müssen nur einmal zu Beginn eine unbegrenzte Genehmigung für eine Art von Token für Permit2, den "Hausmeister", erteilen.
Off-Chain-Unterschrift (völlig kostenlos): Wenn du in einem beliebigen DApp (wie Uniswap), das Permit2 unterstützt, handelst, musst du nur im Popup-Fenster deines Wallets auf **"Unterschreiben"** klicken. Diese elektronische Unterschrift enthält: was für eine Münze du überweisen möchtest, wie viel, an wen, und wie hoch das Ablaufdatum ist.
Sofortige Ausführung: DApp reicht diese Unterschrift beim Permit2 Hausmeister ein. Der Hausmeister prüft die Unterschrift und überträgt sofort die Token an die DApp.
Das Ergebnis ist: Egal, wie viele neue DApps du in Zukunft spielst, solange sie Permit2 integrieren, musst du keine "Genehmigungs-Gasgebühren" mehr zahlen, sondern nur kostenlos unterschreiben, und das Ganze direkt in einem Schritt!
Drittens, der bahnbrechende Kerntechnologie
Permit2 wird nicht nur als nächste Generation von Dominanz bezeichnet, weil es Geld spart, sondern auch, weil es auf der Grundlage viele Killermerkmale einführt:
💡 【Einfache Sprache】 Verhindern von Wiederholungsnummern (Nonce): Viele Systeme verwendeten in der Vergangenheit "inkrementelle" Nummern (Nummer 1 muss unterschrieben werden, bevor Nummer 2 unterschrieben werden kann; wenn Nummer 2 blockiert ist, muss Nummer 3 warten). Die Innovation von Permit2: Es wird ein Bitmap-Mechanismus ähnlich dem "Sitzplatzwahl im Kino" verwendet. Du kannst verschiedenen Transaktionen gleichzeitig Unterschriften geben (zum Beispiel die Plätze in Reihe 1, Sitz 3 und Reihe 5, Sitz 6 wählen), sie werden parallel verarbeitet, ohne sich gegenseitig zu stören, was die Geschwindigkeit der parallelen Transaktionen erheblich erhöht.
💡 【Einfache Sprache】 Absichtsbinding (Witness-Mechanismus): Traditionelle Unterschriften sind wie das Unterschreiben eines "leeren Schecks", den Hacker nach Belieben nutzen können. Die Innovation von Permit2: Einführung des Witness (Zeugen) Mechanismus. Du kannst den spezifischen "Transaktionszweck" fest an die Unterschrift binden (zum Beispiel: Dieses Geld darf nur verwendet werden, um rabattiertes ETH zu kaufen). Wenn ein Hacker die Unterschrift abfängt und andere Dinge kaufen will, wird die Unterschrift sofort ungültig.
Batch-Operationstool: Früher musstest du, wenn du 5 verschiedene Token auf einmal genehmigen oder übertragen wolltest, 5 Fenster öffnen. Jetzt unterstützt Permit2 das Packen mehrerer Token in eine Liste, eine Unterschrift, Massenübertragung, was für komplexe DeFi-Kombinationen äußerst geeignet ist.
Mit "Haltbarkeitsdatum": Es hat eine zeitliche Dimension eingeführt. Alle Genehmigungen können nicht nur den Betrag einschränken, sondern auch ein "absolutes Ablaufdatum" festlegen (zum Beispiel, dass es in einer halben Stunde abläuft). Sobald die Zeit abgelaufen ist, wird die Genehmigung automatisch ungültig, was die Sicherheitsrisiken der "unbefristeten Genehmigung" von Grund auf abschneidet.
Viertens, die Lauerer des dunklen Waldes: Unterschrift Phishing-Angriffe
Obwohl Permit2 die alte Struktur in ihrer Mechanik perfekt übertrifft, bringt sie auch eine äußerst tödliche neue Sicherheitsgefahr mit sich - das Unterschrift-Phishing (Signature Phishing).
Da die Genehmigung von Permit2 vollständig "off-chain (signieren ohne Gas)" erfolgt, haben viele Benutzer die Gewohnheit, blind zu klicken.
Die Angriffsstrategien von Hackern sind normalerweise so: Sie fälschen eine scheinbar legitime gefälschte DApp-Website. Wenn du dein Wallet verbindest, öffnet sich ein Fenster, das dich auffordert, zu "unterschreiben". Wenn du nicht genau hinsiehst, steht in diesem elektronischen Dokument tatsächlich:
Empfänger (Spender): Die geheime Adresse des Hackers
Betrag (Amount): Höchstbetrag (Wallet leeren)
Ablaufdatum (Deadline): Jahr 2050
Sobald du auf "Bestätigen" klickst, werden die Token in deinem Wallet innerhalb einer Sekunde legal an den Hacker von Permit2 übertragen! Der gesamte Prozess erfordert nicht einmal, dass du eine Transaktion auf der Kette initiierst.
Fünftens, Leitfaden zum Vermeiden von Fallen und Überleben
Angesichts der zunehmend verborgenen Risiken von Unterschriften muss jede Verbindung im Ökosystem ihre Verteidigungshaltung aufrüsten:
1. Lebensrettende Ratschläge für normale Benutzer:
Blindunterschriften ablehnen: Wenn das Wallet das Unterschriftenfenster öffnet, muss man anhalten und die Worte darin genau ansehen! Die aktuellen großen Wallets unterstützen bereits die Interpretation des (EIP-712) Formats und zeigen in einfacher Sprache an, wie viel "Geld" man "wem" geben möchte. Wenn du es nicht verstehst, unterschreibe nicht.
Präzise Genehmigung: Unterschreibe nur den Betrag, den du benötigst, unterschreibe auf keinen Fall aus Bequemlichkeit den "maximalen Betrag".
Nutze Reinigungstools: Verwende regelmäßig Sicherheitswerkzeuge wie Revoke.cash, um frühere, versehentlich hinterlassene Permit2-Genehmigungen zu bereinigen.
2. Ehrliche Ratschläge für Projektteilnehmer (DApp-Entwickler):
Sei nicht nachlässig: Auf Code-Ebene musst du die "präzisen Beträge" und "extrem kurzen Ablaufzeiten" (wie 10 Minuten) dynamisch erstellen, basierend auf den tatsächlichen Handelsanforderungen der Benutzer.
Frontend-Transparenz: Weisen Sie die Benutzer vor der Unterschrift darauf hin, indem Sie auf Ihrer Webseite in großen, auffälligen Buchstaben anzeigen: "Sie werden gleich XX Betrag autorisieren", um die Sicherheitsangst der Benutzer zu verringern.
Sechstens, die Zukunft ist da: Digitale Infrastruktur für einheitliche Liquidität
Derzeit ist Permit2 nicht mehr nur eine Meinung von Uniswap. Der Zahlungsriese Circle (der Herausgeber von USDC) hat es tief integriert und sogar die ultimative Erfahrung erreicht, "USDC direkt zur Zahlung von Gebühren (Gas bezahlen)" zu verwenden.
Gleichzeitig wurde dieser Vertrag bereits auf den meisten Hauptnetzwerken wie Ethereum Mainnet, Arbitrum, Optimism und anderen unter derselben Vertragsadresse vollständig implementiert.
Fazit: Die Verbreitung von Permit2 markiert einen großen Fortschritt in der Infrastruktur von Web3. Es verwendet ein äußerst schlankes "Hausmeister"-Design, das nicht nur Milliarden an ineffizienten Gasgebühren spart, die Benutzer jedes Jahr verlieren, sondern auch komplexe Interaktionen über die gesamte Kette so reibungslos wie Seide macht.
Die Bequemlichkeit der Technologie geht jedoch immer mit Risiken einher. Wenn die Schwelle für Genehmigungen von "echtem Geld on-chain" auf "ein sanfter Klick auf die Unterschrift" sinkt, müssen wir alle ein schärferes Sicherheitsbewusstsein entwickeln.
Umarmt Permit2, um eine effizientere Web3-Ära zu begrüßen, aber denk immer daran: Schau dir jeden einzelnen deiner elektronischen Verträge genau an.
⚠️ 【Haftungsausschluss】 Der Inhalt dieses Artikels dient nur der Analyse von Geschäftsmodellen und dem Teilen von technischem Wissen. Alle Daten stammen aus dem Internet. Sie stellen keine Investitions- oder Handlungsberatung dar und übernehmen keine Verantwortung für die Richtigkeit der Daten. Bitte recherchiert unabhängig und entscheidet vorsichtig.
🌹 Wenn Ihnen diese tiefgehende Analyse gefällt, freuen wir uns über Likes, Abonnements, Kommentare und Weiterleitungen! Ihre Unterstützung ist unsere größte Motivation, weiterhin zu produzieren.\u003ct-40/\u003e\u003ct-41/\u003e\u003cc-42/\u003e\u003cc-43/\u003e\u003cc-44/\u003e
