Fiecare „aprobat” pe care îl faci în Web3 te lasă vulnerabil?
Dacă ești un jucător Web3 care navighează frecvent pe blockchain, cu siguranță te deranjează acest scenariu: când vrei să tranzacționezi tokenuri într-o nouă aplicație descentralizată (DApp), sistemul te forțează întotdeauna să dai clic o dată pe „Approve(授权),cheltuind o sumă mare de taxe de gaz (taxe pentru mineri) și așteptând cu nerăbdare confirmarea, înainte de a putea face al doilea pas al adevăratei tranzacții.
Pentru a economisi timp, multe DApp te vor lăsa implicit să acorzi „limită nelimitată (无限授权). Este ca și cum ai da direct casierului permisiunea de „plată fără parolă pe termen nelimitat” pentru a cumpăra o sticlă de apă de la magazinul din colț. Odată ce această DApp este spartă de hackeri, activele tale din portofel vor fi imediat jefuite.
Pentru a rezolva complet punctele de durere „experiență slabă, costuri ridicate, vulnerabilități de siguranță mari”, echipa Uniswap a lansat cu mare impact un nou standard de autorizare a token-urilor: Permit2. Acesta devine rapid infrastructura de bază a ecosistemului Ethereum.
Astăzi, vom analiza această tehnologie surpriză care va revoluționa experiența de interacțiune Web3.
Unu, punctele de durere tradiționale: de ce avem nevoie de Permit2?
Înainte de a înțelege Permit2, să vedem cât de „nepractic” este să avem două modele de autorizare existente.
1. Coșmarul „în două etape” al token-urilor ERC20 tradiționale: standardul de token-uri (ERC20) din cele mai vechi timpuri stipulează că utilizarea fondurilor trebuie să fie efectuată în două etape:
Primul pas: autorizare (Approve). Utilizatorul înregistrează o tranzacție pe lanț și spune contractului inteligent „îți permit să-mi miști banii”.
Pasul doi: transfer (TransferFrom). Contractul mută efectiv banii. Punctul de durere: de fiecare dată când schimbi un DApp sau un tip de token, trebuie să urmezi din nou acest proces. Nu doar că este o operațiune complicată, dar trebuie să arzi o cantitate mare de bani reali (taxe Gas) pentru acțiunea de „autorizare”.
2. Versiunea îmbunătățită a vechii generații: Limitările EIP-2612, ulterior, comunitatea Ethereum a lansat propunerea EIP-2612 (introducând mecanismul Permit), permițând utilizatorilor să „semneze direct în portofel fără a merge pe lanț” pentru a finaliza autorizarea, combinând cele două pași într-unul.
Punctul de durere: ideea este bună, dar nu poate fi compatibilă cu versiunile anterioare. Aceasta înseamnă că doar noile token-uri care au adăugat acest mecanism în cod vor putea fi utilizate. Iar milioanele de token-uri vechi emise pe piață (inclusiv multe active de bază) nu vor putea beneficia de această funcționalitate fluidă.
Două, ruptura Permit2: o autorizație, acces liber pe rețea
Permit2 nu modifică codul de bază al fiecărui token, ci construiește extrem de inteligent un strat intermediar unificat de autorizare între „utilizator” și „toate DApp-urile”.
Conceptul său de bază poate fi rezumat în opt cuvinte: o autorizație, utilizare peste tot.
Magia circulației Permit2 fără cod: să presupunem că vrei să te plimbi între diferite DApp-uri, în cadrul arhitecturii Permit2, procesul devine astfel:
Singura dată pe lanț: utilizatorul trebuie să deschidă o singură dată o autorizație nelimitată pentru un anumit token către Permit2, acest „administrator” general.
Semnătura off-chain (complet gratuită): atunci când vrei să tranzacționezi în orice DApp care suportă Permit2 (de exemplu, Uniswap), trebuie doar să dai click pe **„semnează”** în fereastra care apare în portofel. Această semnătură electronică conține: ce monedă vrei să transferi, câți bani, cui, și care este data limită.
Executare instantanee: DApp preia această semnătură și o trimite administratorului Permit2. Administratorul verifică dacă semnătura este corectă și transferă instantaneu token-urile către DApp.
Rezultatul este: indiferent câte aplicații DApp noi vei folosi în viitor, atâta timp cât acestea se integrează cu Permit2, nu va mai trebui să plătești nicio „taxă de autorizare” de tip „Gas”, ci doar să semnezi gratuit, direct într-un singur pas!
Trei, tehnologia de bază de nivel superior
Permit2 este numit liderul generației următoare, nu doar pentru economii, ci și pentru că introduce multe caracteristici esențiale la nivel de bază.
💡 【Termeni simpli】Prevenirea numerelor de serie redundante (Nonce): în trecut, multe sisteme foloseau numere de serie „incrementale” (numărul 1 trebuie semnat pentru a semna numărul 2, numărul 2 întâmpină o întârziere, numărul 3 trebuie să aștepte). Inovația Permit2: folosește un mecanism de bitmap similar cu „selecția locurilor la cinematograf”. Poți semna simultan pentru diferite tranzacții (de exemplu, selectând locurile 3 din rândul 1 și 6 din rândul 5), acestea fiind procesate în paralel, fără a se interfera, sporind semnificativ viteza tranzacțiilor concurente.
💡 【Termeni simpli】Mecanismul de legare a intențiilor (Witness mechanism): semnătura tradițională este ca și cum ai semna un „cec în alb”, hackerul putând umple orice utilizare. Inovația Permit2: a introdus mecanismul Witness. Poți lega strict „scopul tranzacției” de semnătură (de exemplu, specificând: acești bani sunt doar pentru achiziționarea de ETH la reducere). Dacă hackerul intercepta semnătura pentru a cumpăra altceva, semnătura va deveni invalidă instantaneu.
Instrumentul de operare în masă: în trecut, dacă voiai să autorizezi sau să transferi 5 tipuri diferite de token-uri, trebuia să deschizi 5 feronerie. Acum, Permit2 permite gruparea mai multor token-uri într-o listă, o singură semnătură, transfer în masă, extrem de potrivită pentru operațiuni complexe DeFi.
Are „perioadă de valabilitate”: introduce dimensiunea timpului. Toate autorizațiile nu doar că pot limita suma, dar pot stabili și o „dată limită absolută” (de exemplu, să expire după o jumătate de oră). Odată expirată, autorizația devine invalidă, întrerupând din rădăcină riscurile de „autorizare pe termen nelimitat”.
Patru, susținătorii din pădurea întunecată: atacurile de phishing prin semnătură
Deși Permit2 depășește perfect sistemul vechi din punct de vedere mecanic, a adus și un nou tip de vulnerabilitate de siguranță extrem de fatală - phishing prin semnătură.
Din cauza faptului că autorizarea Permit2 se realizează complet „off-chain (semnătura fără costuri de Gas)”, mulți utilizatori s-au obișnuit să facă clic fără a se gândi.
Schema de atac a hackerilor este de obicei aceasta: ei falsifică un site DApp care pare legitim. Atunci când te conectezi la portofel, apare o fereastră care îți cere să „semnezi”. Dacă nu te uiți atent, de fapt, acest document electronic spune:
Beneficiar (Spender): adresa secretă a hackerului
Sumă (Amount): limita maximă (golirea portofelului)
Data limită (Deadline): anul 2050
Odată ce ai apăsat „confirmă semnătura”, token-urile din portofelul tău vor fi transferate legal către hacker în mai puțin de o secundă! Întreaga procedură nu necesită nici măcar să inițiezi vreo tranzacție pe lanț.
Cinci, ghidul de evitarea capcanelor și supraviețuire
În fața riscurilor de semnătură din ce în ce mai ascunse, fiecare link din ecosistem trebuie să-și îmbunătățească postura de apărare:
1. „Sfaturi de salvare” pentru utilizatorii obișnuiți:
Refuză semnăturile oarbe: atunci când portofelul deschide fereastra de semnătură, trebuie să te oprești și să citești clar textul din interior! Acum, majoritatea portofelelor principale suportă analiza formatului (EIP-712) și îți arată în termeni simpli „cât de mult” dai „cui”. Dacă nu înțelegi, nu semna.
Autorizare precisă: semnează exact suma de care ai nevoie, nu semna „valoarea maximă” pentru a economisi timp.
Folosește instrumentele de curățare: folosește periodic instrumente de siguranță precum Revoke.cash pentru a curăța autorizațiile istorice Permit2 lăsate din greșeală.
2. Sfaturi corecte pentru proiecte (dezvoltatorii DApp):
Nu fi leneș: la nivel de cod, asigură-te că generezi „suma exactă” și „data limită extrem de scurtă (de exemplu, 10 minute)” în funcție de nevoile reale de tranzacționare ale utilizatorilor.
Transparență pe front-end: înainte de a îndruma utilizatorii să semneze, pe pagina ta web, folosește un text mare și vizibil care să spună: „Vei semna autorizarea pentru XX suma”, reducând anxietatea de siguranță a utilizatorului.
Șase, viitorul a sosit: infrastructura digitală a lichidității unificate.
În prezent, Permit2 nu mai este doar un cuvânt al Uniswap. Gigantul plăților Circle (emitentul USDC) l-a integrat profund, chiar realizând „experiența supremă de a deduce comisionul direct din USDC (plată Gas)”.
În același timp, acest contract a fost deja desfășurat pe rețeaua principală Ethereum, Arbitrum, Optimism și alte rețele principale cu aceeași adresă de contract.
Concluzie: adoptarea Permit2 marchează un salt uriaș în infrastructura Web3. Acesta folosește un design extrem de ușor de „administrator general”, economisind nu doar costurile inutile de Gas ale utilizatorilor în valoare de milioane pe an, ci făcând interacțiunile complexe pe lanț să fie extrem de fluide.
Cu toate acestea, comoditatea tehnologiei vine întotdeauna cu riscuri. Pe măsură ce pragul de autorizare scade de la „bani reali pe lanț” la „o simplă apăsare de semnătură”, fiecare dintre noi trebuie să ne construim o conștientizare mai ascuțită a siguranței.
Îmbrățișează Permit2, îmbrățișează o eră Web3 mai eficientă, dar te rog să-ți amintești mereu: vezi clar fiecare contract electronic.
⚠️ 【Declinare de responsabilitate】Conținutul acestui articol este doar o analiză a modelului de afaceri și o partajare a cunoștințelor tehnice, datele provenind din rețea. Nu constituie în niciun caz sfaturi de investiții sau operațiuni și nu ne asumăm responsabilitatea pentru acuratețea datelor. Te rugăm să cercetezi independent și să iei decizii cu precauție.
🌹 Dacă îți place această analiză detaliată, te rugăm să dai like, să te abonezi, să comentezi și să distribui! Sprijinul tău este cea mai mare motivație pentru noi să continuăm să producem conținut.
