Crypto
Permit2: Nueva herramienta para la gestión de permisos
Definition
Permit2 es un contrato inteligente construido por Uniswap que permite a los usuarios otorgar y utilizar aprobaciones de tokens ERC-20 a través de firmas con expiraciones y de manera más segura y flexible...
¿Qué es permit2?
Permit2 es un sistema de contrato inteligente de Uniswap Labs que estandariza cómo las billeteras y aplicaciones manejan la aprobación de tokens para tokens ERC-20, incluidas las aprobaciones creadas por transacciones en cadena y las aprobaciones creadas por firmas fuera de la cadena.
En lugar de que cada token implemente su propia lógica de “permiso” (o obligue a los usuarios a aprobar cada nueva aplicación), Permit2 proporciona una capa de aprobación compartida con características como expiraciones, nonces y permisos por lotes.
Dado que muchos incidentes de drenaje de billeteras comienzan con usuarios que otorgan sin saber aprobaciones peligrosas, Permit2 se discute a menudo en el contexto de estafas de billeteras criptográficas y cómo evitarlas.
A un alto nivel, Permit2 se sitúa entre tu billetera y la aplicación que quiere mover tus tokens. Puedes autorizar el gasto de dos maneras principales: (1) establecer una asignación en cadena (similar a una aprobación normal de ERC-20, pero registrada en Permit2), o (2) firmar un mensaje tipado que Permit2 puede verificar en cadena para crear o actualizar una asignación.
A diferencia de las aprobaciones ilimitadas tradicionales que pueden persistir durante años, los permisos de Permit2 pueden incluir un límite de cantidad y un tiempo de expiración, y utilizan nonces para reducir el riesgo de repetición. También admite la agrupación, por lo que una sola firma puede cubrir múltiples tokens o múltiples permisos.
Uniswap Permit2
En el ecosistema de Uniswap, Permit2 se utiliza comúnmente para agilizar intercambios y otras acciones de múltiples pasos donde una aplicación necesita acceso temporal a tokens.
El flujo típico es: firmas un mensaje de Permit2 que autoriza a un gastador específico (a menudo un contrato de enrutador) a gastar hasta una cantidad definida de un token hasta una fecha límite, y luego el enrutador ejecuta el intercambio y retira los tokens a través de Permit2.
Esto reduce las aprobaciones repetidas a través de diferentes enrutadores de Uniswap y puede hacer que las aprobaciones sean más consistentes entre tokens que no admiten permisos nativos. Es importante destacar que cambia lo que debes buscar en los mensajes de la billetera: puedes estar firmando un permiso que afecta las asignaciones de Permit2 en lugar del propio mapeo de asignaciones del token.
EIP-2612 permiso
EIP-2612 es el estándar de “permiso” ampliamente utilizado que permite a un token ERC-20 aceptar una firma fuera de la cadena para establecer su asignación (por lo que no necesitas una transacción de aprobación separada). La trampa es que EIP-2612 debe ser implementado por cada contrato de token, y las implementaciones varían (o no existen).
Permit2 complementa esto al ofrecer una experiencia de permiso universal y agnóstica al token: la firma es verificada por el contrato de Permit2, no por el propio token. Conceptualmente, EIP-2612 actualiza las asignaciones dentro del contrato del token, mientras que Permit2 actualiza las asignaciones dentro de Permit2.
Para los usuarios, ambos pueden sentirse similares (“firma para aprobar”), razón por la cual entender el phishing de firmas yphishing de aprobaciónes crítico: una firma aún puede otorgar un poder de gasto significativo si apruebas al gastador equivocado o firmas un mensaje que no entiendes.
Por qué es importante permit2
Permit2 es importante porque hace que las aprobaciones sean más controlables y más uniformes en el panorama de ERC-20: las aplicaciones pueden solicitar permisos limitados en el tiempo y en la cantidad, y los usuarios pueden evitar dejar aprobaciones amplias abiertas.
También ayuda a los desarrolladores a reducir la fricción al agrupar permisos y admitir tokens que carecen de EIP-2612, lo que puede mejorar la experiencia del usuario sin obligar a los usuarios a realizar múltiples transacciones.
Dicho esto, Permit2 no elimina el riesgo: los atacantes aún pueden engañar a los usuarios para que otorguen permisos a gastadores maliciosos, y los mensajes de firma confusos pueden habilitar el phishing de aprobación o el phishing de firmas.
La conclusión práctica para las estafas de billeteras de criptomonedas y cómo evitarlas es tratar cualquier solicitud de aprobación o firma como una decisión de seguridad: verifica ladirección, limita las cantidades, prefiere las expiraciones y revoca los permisos que ya no necesitas.
Frequently Asked Questions
¿Para qué se utiliza Permit2?
Permit2 se utiliza para gestionar permisos de gasto de ERC-20 de manera consistente a través de muchos tokens y aplicaciones. Permite aprobaciones a través de firmas, admite agrupaciones y permite permisos limitados en tiempo y cantidad.
¿Es Permit2 lo mismo que el permiso EIP-2612?
No. EIP-2612 se implementa dentro de contratos de tokens individuales para establecer la asignación de ese token a través de una firma, mientras que Permit2 es un contrato separado que registra las asignaciones en su propio sistema. Ambos pueden reducir la necesidad de transacciones de aprobación separadas, pero funcionan en capas diferentes.
¿Hace Permit2 que las aprobaciones sean más seguras?
Puede hacerlo, porque admite expiraciones, nonces y permisos más granulares que el patrón común de “aprobación infinita”. Sin embargo, no previene estafas si un usuario firma un permiso para un gastador malicioso.
¿Puede Permit2 vaciar mi billetera?
Permit2 en sí mismo es un mecanismo de aprobación, no un ladrón, pero cualquier sistema de aprobación puede ser abusado si otorgas permisos al gastador equivocado. Si firmas o estableces una asignación que autoriza un contrato malicioso, ese contrato puede transferir tokens hasta los límites aprobados.
¿Cómo me protejo al firmar un mensaje de Permit2?
Verifica la dirección del gastador, mantén la cantidad tan baja como sea práctico y prefiere expiraciones cortas. Ten cuidado con solicitudes de firma inesperadas y revoca permisos que ya no necesites para reducir la exposición.
