作者：Keystone來源：X，@KeystoneCN1.一分鐘認識Permit是什么

我們先從一個借錢小故事開始說起：

我準備向好朋友杰克馬借100萬，杰克馬二話不說拿起電話打給銀行，確認身份后告知銀行：我要授權給某某某100萬的提款額度，銀行回復收到授權并記錄在案。

下一步我只需要去到銀行，告知柜臺準備取走杰克馬給我授權的100萬。這時銀行會查閱有沒有授權記錄并在確認我就是某某某后，把100萬給到我。

這個小故事可以視為ETH上Approve授權的具象化。在這個過程中，授權只能由杰克馬（資產所有人）打電話告知銀行進行授權（上鏈），并由銀行（Token合約）管理這些授權，之后我（被授權方）才能從銀行轉走不高于授權金額錢。假如銀行沒有查到授權記錄的話，我的提款申請毫無疑問會被拒絕。

好了，接下來如果換成另外一種授權方法——Permit，向杰克馬借錢的話，流程會有什么變化？

這次我一開口又要借100萬，大方的杰克馬也懶得打電話了，從口袋里掏出一本支票，填寫金額并簽名之后給了我。我拿著這張支票去到銀行兌換，此時盡管銀行沒有授權記錄，但是憑借著支票上杰克馬的簽名，銀行確認了支票的真實性，將指定金額的錢兌付給了我。

相信小伙伴們已經看出了二者在流程上的差異，Approve作為ERC-20中重要功能，在ETH上線后不久就已經被廣泛應用了，為什么后來還要在ERC-2612中引入Permit方法來實現相同效果的特性？2.為何需要Permit？

ERC-2612提案自2019年3月份被提出，直到2022年10月完成最后審查，它的上線和這期間ETH主網上的gas價格經歷了多次暴漲有著密不可分的關系。

3.火山爆發般的野蠻生長

在Permit出現之前，黑客釣魚幣圈用戶的手段之一便是誘導用戶簽署Approve交易，這樣的交易需要用戶花費gas，容易引起警覺而無法得逞。就算用戶一時手快點擊了，由于交易上鏈需要一定時間，回過神來的用戶也可以馬上提交一筆相同nonce的交易來搶救，相對來說黑客得手并不那么輕松。

而Permit的出現，對黑客來說無疑是瞌睡遇枕頭，相比較于Approve，Permit不消耗gas，只需要簽名，用戶的警惕性降低。同時由于離線簽名的特性，主動權掌握在黑客手上，不僅用戶吃不了后悔藥，黑客更可以拿著授權選擇合適的時機做壞事，將利益最大化。

由此而帶來的不良影響，便是我們可以看到的釣魚受害者數量以及被盜金額激增。據@ScamSniffer的統計數據：

2023年釣魚受害者損失金額為2.95億美元。

在2024的上半年，這一金額就已經超過3.14億美元之多。

在2024的Q3尾聲，更是來了一票大的：疑似神魚的錢包地址遭遇Permit釣魚攻擊，損失1.2萬枚$spWETH，價值2個億人民幣。

2、善用工具

ScamSniffer

作為普通用戶，想精準識別釣魚網址有很高難度，難免會有漏網之魚存在。借助ScamSniffer的瀏覽器插件，在進入疑似釣魚的網址前，會收到插件的提醒，用戶收到提醒后可以及時停止交互。

Revoke

Revoke.cash可以展示用戶錢包里的Tokens授權記錄，對于其中可疑的、無限金額的授權我們建議撤銷。養成定期清理授權的習慣，盡量少做超出需要數量的授權。3、資產隔離與多簽

常言道不要把雞蛋都放在一個籃子里，這句話對于幣圈資產也適用。比如我們可以把大額的資產存放在冷錢包如Keystone中，日常交互都是用小額的熱錢包進行，即使不小心中招，資產也不會被一鍋端。

如果對于安全性有更高的要求，可以使用多簽來進一步提高安全性。加入了多簽的資產，只有在錢包同意數達到閾值時，才能對資產進行操作轉移。未達到閾值的單一錢包被盜，黑客也無法掌握資產。5.結語

我們無法否認Permit帶來的價值，但近來越來越多的被盜事件也表明，它帶來的危害似乎更大。正如曾經的ethsign方法，由于可讀性差且危害巨大，也備受當時的黑客青睞。而如今它已經被絕大多數的錢包軟件屏蔽棄用，它實現的功能也被一些更安全的方法所替代。

把目光放在Permit身上，是否也同樣走到了ethsign曾經面臨的十字路口？改良升級還是棄用，需要ETH的開發者們花一些時間去思考和討論。