# Uniswap Permit2署名フィッシング目薬: 署名するだけで盗まれるハッカーは常にWeb3エコシステムにおいて恐れられる存在です。プロジェクト側にとって、コードのオープンソース特性は、開発時に非常に神経を使わせ、1行のコードエラーで脆弱性が残ることを恐れさせます。個人ユーザーにとっては、進行中の操作の意味を理解していなければ、毎回のオンチェーンインタラクションや署名が資産の盗難につながる可能性があります。したがって、安全問題は暗号の世界で最も厄介な問題の一つであり、ブロックチェーンの特性により、一度資産が盗まれるとほぼ回収不可能であるため、暗号の世界では安全知識を身につけることが特に重要です。最近、約2ヶ月前から活発になった新しいフィッシング手法が発見され、署名するだけで盗まれてしまう、非常に巧妙で防ぎにくい手法です。また、Uniswapとやり取りをしたことのあるアドレスもリスクにさらされる可能性があります。この記事では、この署名フィッシング手法について解説し、より多くの人が資産を失うのを防ぐために努めます。###イベント最近、友人(を仮に小A)と呼ぶと、そのウォレットの資産が盗まれました。一般的な盗難方法とは異なり、小Aはプライベートキーを漏洩することもなく、フィッシングサイトとの契約に関与することもありませんでした。ブロックチェーンブラウザを通じて、小Aウォレットが盗まれたUSDTはTransfer From関数を使って移動されたことがわかります。これは、この盗まれた資産が別のアドレスによって操作されて移転されたことを意味しており、ウォレットの秘密鍵が漏洩したわけではありません。取引の詳細を調査していくつかの重要な手がかりを見つけました:- 尾号fd51のアドレスは小Aの資産を尾号a0c8のアドレスに移しました- この操作はUniswapのPermit2コントラクトと対話しています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-0cc586809f131d9dfab81df33fd1835e)では、問題が出てきました。尾号fd51のアドレスはどのようにしてこの資産の権限を取得したのでしょうか?なぜUniswapと関連しているのでしょうか?まず知っておくべきことは、Transfer From関数を成功裏に呼び出すためには、呼び出し元がそのTokenの限度額の権限、すなわちapproveを持っている必要があるということです。一部のDappを使用する際、資産の移転が関与する場合は、最初に(approve)操作を行う必要があります。そうすれば、Dappのコントラクトが私たちの資産を移転する権限を持つことになります。答えは尾号fd51アドレスのインタラクション記録にあります。このアドレスでTransfer Fromを行い小Aの資産を移動させる前に、Permit操作が行われました。この2つの操作のインタラクション対象はどちらもUniswapのPermit2コントラクトです。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く](https://img-cdn.gateio.im/social/moments-bb348691082594ecc577f91d7f9dc800)Uniswap Permit2コントラクトは、Uniswapが2022年末に導入した新しいスマートコントラクトです。公式によると、これはトークン承認コントラクトであり、異なるアプリケーション間でトークンの承認を共有および管理できるように設計されており、より統一された、コスト効率の高い、安全なユーザー体験を創出することを目的としています。Permit2と統合するプロジェクトが増えるにつれて、すべてのアプリケーションで標準化されたトークン承認が実現できます。Permit2は、取引コストを削減することでユーザーエクスペリエンスを改善し、スマートコントラクトの安全性を向上させます。Permit2の導入は、Dappエコシステム全体のゲームルールを変える可能性があります。簡単に言うと、従来の方法ではDappとの資産移転のインタラクションごとに承認が必要ですが、Permit2はこのステップを省くことができ、ユーザーのインタラクションコストを効果的に削減し、より良いユーザー体験をもたらします。Permit2はユーザーとDappの間の仲介者として機能し、ユーザーはTokenの権限をPermit2コントラクトに付与するだけで、Permit2コントラクトを統合したすべてのDappがこの権限の枠を共有できます。ユーザーにとっては、インタラクションコストが削減され、体験が向上します; Dappにとっては、ユーザー体験の向上がより多くのユーザーと資金をもたらし、これはウィンウィンの状況です。しかし、これは二刃の剣になる可能性もあり、問題はPermit2とのインタラクションの方法にあります。従来のインタラクション方式では、権限付与であれ資金移動であれ、操作ユーザーにとってはオンチェーンインタラクションです。しかし、Permit2はユーザーの操作をオフチェーンの署名に変え、すべてのオンチェーン操作は中間役割((Permit2コントラクトや、Permit2を統合したプロジェクトなど)によって完了します。この方法の利点は、オンチェーンインタラクションの役割がユーザーから中間役割に移行するため、ユーザーのウォレットにETHがなくても他のTokenでGas費用を支払ったり、完全に中間役割が負担したりできることであり、それは中間役割の選択によります。Permit2の登場は将来のDappのゲームルールを変える可能性がありますが、これは非常に強力な両刃の剣です。ユーザーにとって、オフチェーン署名は最も気を緩めることができる部分です。例えば、私たちがウォレットで特定のDappにログインする際に接続の署名が必要ですが、大多数の人は署名内容を注意深く確認せず、その意味を理解していません。これが最も危険な部分です。Permit2契約を理解した後、小Aの事件に戻ると、なぜ資産が盗まれるのがPermit2契約との相互作用であるかがわかります。このPermit2署名フィッシング手法を再現するための最初の重要な前提は、フィッシングされたウォレットがUniswapのPermit2契約にトークンを許可している必要があることです。現在、Permit2と統合されたDappやUniswapでスワップを行うには、Permit2契約に許可を与える必要があります。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/social/moments-30520c8399a6ee69aa22424476c5870c(もう一つ懸念すべき点は、Swapする金額にかかわらず、UniswapのPermit2契約がユーザーにそのTokenの全残高の額面をデフォルトで許可することです。MetaMaskはカスタム入力金額を許可しますが、多くの人は最大またはデフォルト値を直接クリックする可能性が高く、Permit2のデフォルト値は無限額です。これは、あなたが2023年以降にUniswapとやり取りし、Permit2契約に対して権限を与えた場合、このフィッシング目薬のリスクにさらされる可能性があることを意味します。重要なのは、以前に尾号fd51アドレスでPermit2コントラクトとインタラクションしたPermit関数です。簡単に言うと、この関数はあなたのウォレットを利用して、Permit2コントラクトに対してあなたが承認したトークンの限度を他のアドレスに移転します。つまり、あなたの署名を得ることができれば、ハッカーはあなたのウォレット内のトークンの権限を取得し、あなたの資産を移転することができます。) イベントの詳細な分析**許可機能:**permit関数はオンライン契約署名に似ています。それはあなたに###PermitSingle(事前に"契約"に署名することを許可し、他の人)spender(が将来のある時点であなたの一部のトークンを使用することを許可します。あなたはまだ署名)signature(を提供する必要があります。それは、紙の契約に署名するのと同じで、この「契約」が実際にあなたによって署名されたことを証明します。関数のワークフロー:1. 現在の時間が署名の有効期限)sigDeadline(を超えているかどうかを確認します。もし有効期限を超えている場合、プログラムは直接停止します。2. サインの真偽を確認します。特別な方法)signature.verify(を用いてサインを確認し、偽造されていないことを確認します。3. すべてのチェックが通過した場合、プログラムの更新記録を行い、他の人があなたの部分的なトークンを使用することを許可したことを記録します。主にベリファイ機能と_updateApproval機能に焦点が当てられています。検証機能:verify関数は、署名情報パラメータからv、r、sの3つのデータを取得します。v、r、sは取引署名の値であり、取引署名アドレスを復元するのに使用されます。コントラクトが取引署名アドレスを復元した後、渡されたトークン所有者アドレスと比較します。同じであれば検証は通過し、_updateApproval関数を呼び出し続けます。異なる場合は取引をロールバックします。**_updateApproval機能:**署名の検証を通じて、_updateApproval関数を呼び出して承認値を更新することは、あなたの権限が移転したことを意味します。この時、承認された側はtransferfrom関数を呼び出してトークンを指定されたアドレスに移転できます。チェーン上の実際の取引詳細を確認すると: - ownerは小Aのウォレットアドレス)の末尾番号308a(- 詳細では、認証されたトークンコントラクトのアドレス)USDT(や金額などの情報を確認できます- Spenderは末尾がfd51のハッカーアドレスです- sigDeadline は署名の有効期間、signature は A の署名情報です! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/social/moments-730db044a34a8dc242f04cf8ae4d394c(小Aのインタラクション記録を振り返ると、彼が以前Uniswapを使用した際にデフォルトの承認額、つまりほぼ無限の額をクリックしたことがわかります。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/social/moments-610abe28375ce9ad0e08e0ff1f483c1d(簡単な振り返り:小Aは以前Uniswapを使用して、Uniswap Permit2に無限のUSDTの権限を与えていました。小Aはウォレット操作中に不注意でハッカーが設計したPermit2署名フィッシングトラップに陥りました。ハッカーは小Aの署名を取得した後、Permit2契約内でPermitとTransfer Fromの2つの操作を行い、小Aの資産を移転しました。現在、UniswapのPermit2契約がフィッシングの楽園となっていることが観察されています。このPermit2署名フィッシングは、2ヶ月前から活発になっているようです。交互記録に見ると、大部分がマークされた目薬アドレス)Fake_Phishing(で、次々と人々が騙されています。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/social/moments-7e307b251a6cd5f615f05f3fe5f88165() どうやって防ぐか?Uniswap Permit2コントラクトが今後さらに普及する可能性を考慮すると、より多くのプロジェクトがPermit2コントラクトを統合して認可共有を行うでしょう。効果的な防止手段には次のようなものがあります。#### 1. サイン内容を理解し識別する:Permitの署名フォーマットは通常、Owner、Spender、value、nonce、deadlineなどの重要なフォーマットを含んでいます。Permit2がもたらす便利さと低コストを享受したい場合、この署名フォーマットを識別することを学ぶ必要があります。###安全プラグインをダウンロードするのは良い選択です(! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/social/moments-beaf0776306ee492b8c2fe3bbc281fd6()# 2. 資産の保管とインタラクティブウォレットを分離する:大量の資産を持っている場合は、資産をコールドウォレットに保管することをお勧めします。オンチェーンでのインタラクション用のウォレットには少額の資金だけを残し、フィッシング目薬に遭遇した際の損失を大幅に減らすことができます。#### 3. Permit2コントラクトに対する権限の制限または権限の取り消し:Uniswapでスワップを行う際には、インタラクションに必要な金額のみを許可してください。毎回インタラクションごとに再許可が必要になると、いくつかのインタラクションコストが増加しますが、Permit2の署名フィッシングを回避できます。すでに限度額を許可している場合は、対応するセキュリティプラグインを使用して許可を取り消すことができます。! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く]###https://img-cdn.gateio.im/social/moments-b4e0fd1284baf2f4ca7e18c82d07100c()# 4. トークンの性質を識別し、permit機能がサポートされているかを理解する:将来的には、ますます多くのERC20トークンがこの拡張プロトコルを使用してpermit機能を実現する可能性があります。自分が保有しているトークンがこの機能をサポートしているかどうかに注意が必要で、サポートしている場合は、そのトークンの取引や操作に特に注意を払い、未知の署名がpermit関数の署名であるかどうかを厳密に確認する必要があります。#### 5. 目薬後に他のプラットフォームにトークンが存在する場合は、適切な救済計画を策定する必要があります:詐欺に遭った場合、トークンがハッカーに移転された後、まだ他のプラットフォームにステーキングなどの方法で存在するトークンがある場合は、それを安全なアドレスに引き出して移転する必要があります。ハッカーがあなたのアドレスのトークン残高をいつでも監視している可能性があることを知っておくべきです。なぜなら、彼はあなたの署名を持っており、盗まれたアドレスにトークンが出現すれば、ハッカーは直接移転できるからです。この時、トークン救済プロセスを整備する必要があります。トークンを引き出すプロセスとトークンを移転するプロセスは同時に実行し、ハッカーの取引がその間に挿入されないようにする必要があります。MEV移転を使用することができますが、これはある程度のブロックチェーンの知識とプログラミング能力が必要です。また、専門のセキュリティ会社の助けを求め、取引の先行実行スクリプトを利用して実現することもできます。将来的にPermit2に基づくフィッシングが増える可能性があり、この署名フィッシングの方法は非常に巧妙で防ぎにくいです。Permit2の適用範囲が広がるにつれて、リスクにさらされるアドレスも増加します。この文章を見た後、より多くの人に広めて、さらなる損失を避けられることを願っています。
Uniswap Permit2 Signature Phishing New Scam: 1回限りの署名資産が盗まれる
Uniswap Permit2署名フィッシング目薬: 署名するだけで盗まれる
ハッカーは常にWeb3エコシステムにおいて恐れられる存在です。プロジェクト側にとって、コードのオープンソース特性は、開発時に非常に神経を使わせ、1行のコードエラーで脆弱性が残ることを恐れさせます。個人ユーザーにとっては、進行中の操作の意味を理解していなければ、毎回のオンチェーンインタラクションや署名が資産の盗難につながる可能性があります。したがって、安全問題は暗号の世界で最も厄介な問題の一つであり、ブロックチェーンの特性により、一度資産が盗まれるとほぼ回収不可能であるため、暗号の世界では安全知識を身につけることが特に重要です。
最近、約2ヶ月前から活発になった新しいフィッシング手法が発見され、署名するだけで盗まれてしまう、非常に巧妙で防ぎにくい手法です。また、Uniswapとやり取りをしたことのあるアドレスもリスクにさらされる可能性があります。この記事では、この署名フィッシング手法について解説し、より多くの人が資産を失うのを防ぐために努めます。
###イベント
最近、友人(を仮に小A)と呼ぶと、そのウォレットの資産が盗まれました。一般的な盗難方法とは異なり、小Aはプライベートキーを漏洩することもなく、フィッシングサイトとの契約に関与することもありませんでした。
ブロックチェーンブラウザを通じて、小Aウォレットが盗まれたUSDTはTransfer From関数を使って移動されたことがわかります。これは、この盗まれた資産が別のアドレスによって操作されて移転されたことを意味しており、ウォレットの秘密鍵が漏洩したわけではありません。
取引の詳細を調査していくつかの重要な手がかりを見つけました:
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
では、問題が出てきました。尾号fd51のアドレスはどのようにしてこの資産の権限を取得したのでしょうか?なぜUniswapと関連しているのでしょうか?
まず知っておくべきことは、Transfer From関数を成功裏に呼び出すためには、呼び出し元がそのTokenの限度額の権限、すなわちapproveを持っている必要があるということです。一部のDappを使用する際、資産の移転が関与する場合は、最初に(approve)操作を行う必要があります。そうすれば、Dappのコントラクトが私たちの資産を移転する権限を持つことになります。
答えは尾号fd51アドレスのインタラクション記録にあります。このアドレスでTransfer Fromを行い小Aの資産を移動させる前に、Permit操作が行われました。この2つの操作のインタラクション対象はどちらもUniswapのPermit2コントラクトです。
! 署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く
Uniswap Permit2コントラクトは、Uniswapが2022年末に導入した新しいスマートコントラクトです。公式によると、これはトークン承認コントラクトであり、異なるアプリケーション間でトークンの承認を共有および管理できるように設計されており、より統一された、コスト効率の高い、安全なユーザー体験を創出することを目的としています。
Permit2と統合するプロジェクトが増えるにつれて、すべてのアプリケーションで標準化されたトークン承認が実現できます。Permit2は、取引コストを削減することでユーザーエクスペリエンスを改善し、スマートコントラクトの安全性を向上させます。
Permit2の導入は、Dappエコシステム全体のゲームルールを変える可能性があります。簡単に言うと、従来の方法ではDappとの資産移転のインタラクションごとに承認が必要ですが、Permit2はこのステップを省くことができ、ユーザーのインタラクションコストを効果的に削減し、より良いユーザー体験をもたらします。
Permit2はユーザーとDappの間の仲介者として機能し、ユーザーはTokenの権限をPermit2コントラクトに付与するだけで、Permit2コントラクトを統合したすべてのDappがこの権限の枠を共有できます。ユーザーにとっては、インタラクションコストが削減され、体験が向上します; Dappにとっては、ユーザー体験の向上がより多くのユーザーと資金をもたらし、これはウィンウィンの状況です。しかし、これは二刃の剣になる可能性もあり、問題はPermit2とのインタラクションの方法にあります。
従来のインタラクション方式では、権限付与であれ資金移動であれ、操作ユーザーにとってはオンチェーンインタラクションです。しかし、Permit2はユーザーの操作をオフチェーンの署名に変え、すべてのオンチェーン操作は中間役割((Permit2コントラクトや、Permit2を統合したプロジェクトなど)によって完了します。この方法の利点は、オンチェーンインタラクションの役割がユーザーから中間役割に移行するため、ユーザーのウォレットにETHがなくても他のTokenでGas費用を支払ったり、完全に中間役割が負担したりできることであり、それは中間役割の選択によります。
Permit2の登場は将来のDappのゲームルールを変える可能性がありますが、これは非常に強力な両刃の剣です。ユーザーにとって、オフチェーン署名は最も気を緩めることができる部分です。例えば、私たちがウォレットで特定のDappにログインする際に接続の署名が必要ですが、大多数の人は署名内容を注意深く確認せず、その意味を理解していません。これが最も危険な部分です。
Permit2契約を理解した後、小Aの事件に戻ると、なぜ資産が盗まれるのがPermit2契約との相互作用であるかがわかります。このPermit2署名フィッシング手法を再現するための最初の重要な前提は、フィッシングされたウォレットがUniswapのPermit2契約にトークンを許可している必要があることです。現在、Permit2と統合されたDappやUniswapでスワップを行うには、Permit2契約に許可を与える必要があります。
! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/webp-social/moments-30520c8399a6ee69aa22424476c5870c.webp(
もう一つ懸念すべき点は、Swapする金額にかかわらず、UniswapのPermit2契約がユーザーにそのTokenの全残高の額面をデフォルトで許可することです。MetaMaskはカスタム入力金額を許可しますが、多くの人は最大またはデフォルト値を直接クリックする可能性が高く、Permit2のデフォルト値は無限額です。
これは、あなたが2023年以降にUniswapとやり取りし、Permit2契約に対して権限を与えた場合、このフィッシング目薬のリスクにさらされる可能性があることを意味します。
重要なのは、以前に尾号fd51アドレスでPermit2コントラクトとインタラクションしたPermit関数です。簡単に言うと、この関数はあなたのウォレットを利用して、Permit2コントラクトに対してあなたが承認したトークンの限度を他のアドレスに移転します。つまり、あなたの署名を得ることができれば、ハッカーはあなたのウォレット内のトークンの権限を取得し、あなたの資産を移転することができます。
) イベントの詳細な分析
許可機能:
permit関数はオンライン契約署名に似ています。それはあなたに###PermitSingle(事前に"契約"に署名することを許可し、他の人)spender(が将来のある時点であなたの一部のトークンを使用することを許可します。
あなたはまだ署名)signature(を提供する必要があります。それは、紙の契約に署名するのと同じで、この「契約」が実際にあなたによって署名されたことを証明します。
関数のワークフロー:
主にベリファイ機能と_updateApproval機能に焦点が当てられています。
検証機能:
verify関数は、署名情報パラメータからv、r、sの3つのデータを取得します。v、r、sは取引署名の値であり、取引署名アドレスを復元するのに使用されます。コントラクトが取引署名アドレスを復元した後、渡されたトークン所有者アドレスと比較します。同じであれば検証は通過し、_updateApproval関数を呼び出し続けます。異なる場合は取引をロールバックします。
_updateApproval機能:
署名の検証を通じて、_updateApproval関数を呼び出して承認値を更新することは、あなたの権限が移転したことを意味します。この時、承認された側はtransferfrom関数を呼び出してトークンを指定されたアドレスに移転できます。
チェーン上の実際の取引詳細を確認すると:
! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/webp-social/moments-730db044a34a8dc242f04cf8ae4d394c.webp(
小Aのインタラクション記録を振り返ると、彼が以前Uniswapを使用した際にデフォルトの承認額、つまりほぼ無限の額をクリックしたことがわかります。
! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/webp-social/moments-610abe28375ce9ad0e08e0ff1f483c1d.webp(
簡単な振り返り:小Aは以前Uniswapを使用して、Uniswap Permit2に無限のUSDTの権限を与えていました。小Aはウォレット操作中に不注意でハッカーが設計したPermit2署名フィッシングトラップに陥りました。ハッカーは小Aの署名を取得した後、Permit2契約内でPermitとTransfer Fromの2つの操作を行い、小Aの資産を移転しました。現在、UniswapのPermit2契約がフィッシングの楽園となっていることが観察されています。このPermit2署名フィッシングは、2ヶ月前から活発になっているようです。
交互記録に見ると、大部分がマークされた目薬アドレス)Fake_Phishing(で、次々と人々が騙されています。
! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/webp-social/moments-7e307b251a6cd5f615f05f3fe5f88165.webp(
) どうやって防ぐか?
Uniswap Permit2コントラクトが今後さらに普及する可能性を考慮すると、より多くのプロジェクトがPermit2コントラクトを統合して認可共有を行うでしょう。効果的な防止手段には次のようなものがあります。
1. サイン内容を理解し識別する:
Permitの署名フォーマットは通常、Owner、Spender、value、nonce、deadlineなどの重要なフォーマットを含んでいます。Permit2がもたらす便利さと低コストを享受したい場合、この署名フォーマットを識別することを学ぶ必要があります。###安全プラグインをダウンロードするのは良い選択です(
! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く])https://img-cdn.gateio.im/webp-social/moments-beaf0776306ee492b8c2fe3bbc281fd6.webp(
)# 2. 資産の保管とインタラクティブウォレットを分離する:
大量の資産を持っている場合は、資産をコールドウォレットに保管することをお勧めします。オンチェーンでのインタラクション用のウォレットには少額の資金だけを残し、フィッシング目薬に遭遇した際の損失を大幅に減らすことができます。
3. Permit2コントラクトに対する権限の制限または権限の取り消し:
Uniswapでスワップを行う際には、インタラクションに必要な金額のみを許可してください。毎回インタラクションごとに再許可が必要になると、いくつかのインタラクションコストが増加しますが、Permit2の署名フィッシングを回避できます。すでに限度額を許可している場合は、対応するセキュリティプラグインを使用して許可を取り消すことができます。
! [署名が盗まれましたか? Uniswap Permit2署名フィッシング詐欺の謎を解く]###https://img-cdn.gateio.im/webp-social/moments-b4e0fd1284baf2f4ca7e18c82d07100c.webp(
)# 4. トークンの性質を識別し、permit機能がサポートされているかを理解する:
将来的には、ますます多くのERC20トークンがこの拡張プロトコルを使用してpermit機能を実現する可能性があります。自分が保有しているトークンがこの機能をサポートしているかどうかに注意が必要で、サポートしている場合は、そのトークンの取引や操作に特に注意を払い、未知の署名がpermit関数の署名であるかどうかを厳密に確認する必要があります。
5. 目薬後に他のプラットフォームにトークンが存在する場合は、適切な救済計画を策定する必要があります:
詐欺に遭った場合、トークンがハッカーに移転された後、まだ他のプラットフォームにステーキングなどの方法で存在するトークンがある場合は、それを安全なアドレスに引き出して移転する必要があります。ハッカーがあなたのアドレスのトークン残高をいつでも監視している可能性があることを知っておくべきです。なぜなら、彼はあなたの署名を持っており、盗まれたアドレスにトークンが出現すれば、ハッカーは直接移転できるからです。この時、トークン救済プロセスを整備する必要があります。トークンを引き出すプロセスとトークンを移転するプロセスは同時に実行し、ハッカーの取引がその間に挿入されないようにする必要があります。MEV移転を使用することができますが、これはある程度のブロックチェーンの知識とプログラミング能力が必要です。また、専門のセキュリティ会社の助けを求め、取引の先行実行スクリプトを利用して実現することもできます。
将来的にPermit2に基づくフィッシングが増える可能性があり、この署名フィッシングの方法は非常に巧妙で防ぎにくいです。Permit2の適用範囲が広がるにつれて、リスクにさらされるアドレスも増加します。この文章を見た後、より多くの人に広めて、さらなる損失を避けられることを願っています。