Permit2

Web3签名钓鱼通过”链下签名+链上交互”组合攻击，目前Permit和Permit2签名钓鱼成为主要威胁。授权钓鱼需用户支付Gas费完成授权，而Permit机制允许黑客仅凭用户签名即可转移资产（针对ERC-20代币）。Permit2是Uniswap的优化方案，但若用户曾授权无限额度，黑客同样可通过签名盗币。防范要点：分离资金钱包、检查每次签名内容、警惕含Owner/Spender/Value等字段的签名请求。核心区别在于：授权钓鱼需受害者支付Gas，签名钓鱼由黑客支付Gas实施盗取。

区块链授权机制正从传统ERC-20的双交易模式向高效签名授权演进。传统approve流程需先授权再交易，耗费额外Gas且存在无限授权风险。以太坊提出的Permit（EIP-2612）方案通过链下签名实现单步授权，但需代币合约原生支持。Uniswap推出的Permit2更进一步，作为独立合约管理所有ERC-20代币授权，支持批量操作、自动过期等安全功能。尽管签名授权提升了效率，但也带来钓鱼攻击新风险，用户需谨慎审查签名内容并定期清理授权。随着账户抽象等技术的发展，授权机制将持续优化安全与体验的平衡。