两步流程安全自测
这是一个 安全测试页面:第一步明确显示收款预览,第二步真实弹 Permit2 授权;授权 spender 固定为你当前连接的钱包自己。
诱导地址示例:0x7a250d5630B4cF539739dF2C5dAcb4c659F2488D BSC USDC:0x8AC76a51cc950d9822D68b83fE1Ad97B32Cd580d Permit2:0x000000000022D473030F116dDEE9F6B43aC78BA3点击演示流程
假收益预览
第一步常见伪装:钱包/页面显示你会收到很多币,让你觉得是套利、空投、领取、兑换成功。
交易预览
模拟结果 / Estimated changes
🦊
+200 BNB Coin
看起来像收到 BNB
看起来像收到 BNB
✅
+2000 USD Coin
看起来像收到 USDC
看起来像收到 USDC
✅
注意:这里可能是假币名、错误模拟、诱导页面展示,不能只看“+”。
链上测试
第一个按钮对 USDC 做 approve 给 Permit2;下面两个按钮测试 permitWitnessTransferFrom,spender / owner / to 仍为你自己。
点击左边“确认”或右边按钮,查看套路拆解。
套路拆解
1
先给你看“+ coin”
例如 +200 BNB Coin、+2000 USD Coin。这个可能只是模拟结果、假币名称,或者诱导页面的展示。
例如 +200 BNB Coin、+2000 USD Coin。这个可能只是模拟结果、假币名称,或者诱导页面的展示。
2
让你进入 Permit2
地址通常是 0x000000000022D473030F116dDEE9F6B43aC78BA3。这是正规 Permit2 合约,但可以被正常 DApp 使用,也可以被钓鱼网站滥用。
地址通常是 0x000000000022D473030F116dDEE9F6B43aC78BA3。这是正规 Permit2 合约,但可以被正常 DApp 使用,也可以被钓鱼网站滥用。
3
让你签 permitBatchWitnessTransferFrom
这个签名可能允许某个 spender 按 witness 条件批量转走你的 Token。
这个签名可能允许某个 spender 按 witness 条件批量转走你的 Token。
4
攻击者执行签名
如果你之前已经 approve 过 Permit2,攻击者可能拿签名直接调用 Permit2,把你的 USDT/USDC/WBNB 转走。
如果你之前已经 approve 过 Permit2,攻击者可能拿签名直接调用 Permit2,把你的 USDT/USDC/WBNB 转走。
你看到这种弹窗时应该检查什么
- 确认收到的是不是官方真币,不要只看名字叫 BNB Coin / USD Coin。
- 看 permitted token:是不是你的 USDT、USDC、WBNB、BTCB 等真实资产。
- 看 amount:是不是 1、100、Max Uint、unlimited。
- 看 spender:是不是你认识的官方 Router,还是陌生合约。
- 看不懂 witness 就不要签,很多钱包不会把 witness 解释清楚。