Get live statistics and analysis of 菠菜菠菜｜bocaibocai's profile on X / Twitter

《大白话讲解Web3签名钓鱼底层逻辑：授权钓鱼、Permit与Permit2的区别》 明明只是签了个名，我的钱怎么没了呢？？“签名钓鱼”目前正成为了Web3的黑客们最喜欢的钓鱼方式，最近看余弦大佬 @evilcos 和各大钱包和安全公司都在不断宣传科普钓鱼签名的知识，但是每天还是有好多人被钓鱼。 菠菜认为其中一个原因就是大部分人对钱包交互的底层逻辑并不了解，并且对于不懂技术的人来说学习门槛过高，所以菠菜决定出一个图解版科普签名钓鱼的底层逻辑，并且尝试用最大白话的形式让不懂技术的人也能看明白。 如果大家认为有帮助，帮忙点赞转发帮助更多人看到呀！如果有错误也欢迎大家指出！ 首先我们要知道我们使用钱包一共只有两种操作：“签名”和“交互”。最简单直接的理解就是：签名是发生在区块链之外的（链下），不需要花Gas费的；交互是发生在区块链上面的（链上），是需要花Gas费的。 一般签名的使用场景是为了验证你是你，比如登入钱包，就像你如果要去Uniswap换Token的话，你需要先链接你的钱包，那么这个时候你就需要签一个名告诉网站“我是这个钱包的拥有者”，然后你就可以使用Uniswap了，这个步骤对区块链不会有任何数据或者状态上的变化，所以不需要花钱。 而交互的话就是当你要真正在Uniswap上换Token的时候，你需要先花一笔钱告诉Uniswap的智能合约：“我要用100USDT换一个菠菜币，我批准你可以挪动我的100USDT”，这个步骤就叫做授权（approve），然后你还要再花一笔钱告诉Uniswap的智能合约：“我现在要用100USDT换一个菠菜币了，你现在可以进行操作了”，然后你就完成了用100USDT换一个菠菜币的操作。 简单理解签名和交互的区别之后，我们就来介绍一下钓鱼的原理，菠菜会列举三个不同的方式：授权钓鱼、Permit签名钓鱼和Permit2签名钓鱼，这三个是非常常见的钓鱼方式。 咱们先讲授权钓鱼，这是以前Web3最经典的钓鱼手法之一，顾名思义就是利用授权（approve）这个机制，之前Uniswap的例子告诉我们，授权就是告诉智能合约“我批准你挪动我多少xxx的Token”，那么黑客就可以做一个假的钓鱼网站，有着精美的前端伪装成一个NFT项目，网站中间是一个漂亮的大按钮“领取你的空投”，实际上你点了之后钱包弹出来的界面实际上是让你授权你的Token给黑客的地址，那么这时候如果你点了确认，那么就恭喜黑客成功完成一个KPI了。 但是授权钓鱼有一个问题：因为要花Gas费，现在很多人在涉及到花钱的操作上会有所警惕，在陌生网站点击之后稍微一看就会发现不对劲，还是比较好防范的。 那么接下来就来到了今天的主角：Permit和Permit2签名钓鱼啦，是Web3资产安全领域的重灾区，为什么这么难防呢？因为每次你要使用一个Dapp之前一定要签名登入你的钱包，在许多人脑子里可能已经形成了一种惯性思维：”这个操作是安全的”，再加上不需要花钱和大多数人不知道每个签名背后意味着什么。 我们先来看Permit机制，Permit是针对ERC-20标准下授权的一个扩展功能，像我们平常用的USDT就是ERC-20，简单来说就是你可以签名批准其他人来挪动你的Token，我们知道授权（Approve）是你花钱告诉智能合约：“你可以挪动我xxx数量的Token”，那么Permit就是你在一张“条子”上签了个名给某一个人，这个纸上写着：“我允许某某某可以挪动我xxx数量的Token”，然后这个人拿着这个“条子”给智能合约并花一笔Gas费告诉智能合约：“他允许我挪动他xxx数量的Token”，然后你的钱就可以被其他人挪走了，在这个过程中你只是签了一个名，而背后却意味着你允许其他人去调用授权（Approve）并转走你的Token，黑客可以做一个钓鱼网站，把登入钱包的按钮替换成Permit钓鱼，那么就可以轻轻松松把你的资产钓走啦。 那么Permit2又是什么呢？Permit2其实并不是ERC-20的一个功能，而是Uniswap为了方便用户推出的一个功能，之前的例子讲了你要在Uniswap上用USDT换菠菜币你需要先授权（Approve）一次，然后再进行兑换，这需要花两笔Gas费，所以Uniswap就想了个办法：“你一次性把额度全部授权给我好了，每次兑换你签个名我就给你处理了”，这个功能帮助Uniswap用户使用的时候只需要支付一次Gas费即可，并且这个步骤是签名，所以Gas费其实不是你付的，而是Permit2合约代付了，但是会从你最终兑换的Token里扣除掉。 但是中Permit2钓鱼的条件是你曾经使用过Uniswap，并且你还授权了无限额度给Permit2智能合约，由于目前Uniswap默认的操作就是无限额度授权，所以其实满足该条件的用户数量还是蛮大的，同样黑客只要骗你把名签了就可以把你的Token转走（仅限给过授权的）。 总结一下，授权钓鱼的本质是你花一笔钱告诉智能合约：“我批准你挪用我的Token给黑客”，签名钓鱼的本质是你签了一张允许别人去挪动你资产的“条子”给到黑客，黑客花钱告诉智能合约：“我要挪用他的Token转给我”。Permit和Permit2是目前钓鱼签名的重灾区，Permit是ERC-20的一个授权扩展功能，Permit2是Uniswap推出的一个新功能。 那么理解了原理，怎么防范呢？ 1.首先最最重要的就是培养你的安全意识，每一次钱包的操作都要去检查一下你在做的操作到底是什么？ 2.大资金和玩链上的钱包分离，一旦被钓鱼了可以把损失降到最低 3.学会识别Permit和Permit2的签名格式，只要你看到以下签名格式，那你就要警惕起来了： Interactive：交互网址 Owner：授权方地址 Spender：被授权方地址 Value：授权数量 Nonce：随机数 Deadline：过期时间

你好，我是菠菜，感谢你们见证我在 Web3 行业三年的成长，今天我将正式官宣我的新身份：Pharos @pharos_network 的 RWA 亚太战略负责人🐙（刚刚上线测试网，欢迎大家体验！） 近期，23岁这个话题非常火，回顾过去三年： 23岁，我成为了一名 Web3 领域的内容创作者，成功积累了我的一万名粉丝，开启了我在 Web3 领域的旅程。 24岁，我亲身参与了三国央行的 RWA 试点项目，深度与央行政府、传统金融以及国际组织接触，看到了两个世界融合的可能。 25岁，我很荣幸地加入了 Pharos，成为了公链 RWA 负责人，开启了一段全新的人生探索之旅。 他们说，Web3 已死，炒作一片。 我的直觉恰恰相反。 - "工业革命不得不等待一场金融革命" 近期肖风博士的演讲《从原点出发》引发了行业热议，回望历史长河，这一规律清晰可见： 从最早的城邦文明 - 到远洋贸易与文艺复兴 - 到蒸汽机时代以及电气化时代 - 再到如今的互联网革命，记账方式的每一次跃迁，都深刻改变着经济规模与组织形态。 而如今，区块链的分布式记账正在重构全球资本流动方式，资产通证化（Tokenization）成为一种全新的资产形态，通证化经济（Token Economy）也将催生全新的经济形态改变人类协作方式。 - 未来的金融体系，将是传统金融与区块链技术的融合体，不是谁取代谁，而是谁先建立桥梁。 RWA 不是一条捷径，但我坚信这是正确的方向。就像长江黄河，不是一夜暴涨，而是日夜不息地奔流，最终改变地貌。 当我们看到各大传统金融积极拥抱 RWA，央行将区块链和 Tokenization 视为下一代金融体系，美国 SEC 新主席将 RWA 视为是音频录制从模拟黑胶唱片到磁带再到数字软件的转变。 我就知道，风来了🌬️ RWA 的时代即将到来！ 为什么是 Pharos？ 选择加入一个项目，就像选择一艘船。船的性能决定了你能航行多远，船长的视野决定了你会驶向何方，船员的配置决定了航行的稳定性。 团队核心成员来自蚂蚁集团，在区块链技术领域有着极其丰厚的积累，是目前性能最高可比肩 Solana 的并行 EVM 区块链，也是少有的有能力在区块链底层做技术创新的团队。 在商业布局上，蚂蚁集团作为 RWA 领域的先行者，其香港 RWA 项目已成为业内标杆案例，被广泛研究与讨论，得益于 Pharos 深厚的蚂蚁背景。 这种独特的背景优势使 Pharos 能够直接对接传统金融机构，在海量 RWA 资产的通证化过程中占据先发优势，打造出独特的产业协同价值护城河。 Pharos 的差异化战略：不盲目参与公链赛道的"军备竞赛"，而是借助其独特的技术优势和大厂背景，聚焦RWAFi、支付以及 AI 三大领域。 让 Pharos 能够跳出同质化竞争，专注于真正有价值的问题——如何将现实世界的应用场景无缝迁移到链上。 而最打动我的是 Pharos 团队的踏实态度。他们不谈"革命"，不讲"颠覆"，而是专注于解决实际问题。在一个充斥着浮夸的行业里，这种务实精神尤为珍贵。 Pharos，古希腊亚历山大港的灯塔，为迷雾中的航海者指引方向。在这片区块链的海域，我们需要的正是这样一座灯塔，照亮航道。 而我，很荣幸能成为这座灯塔的守护者之一。 Web3 世界需要更多"双语者"——既懂 Web3 和区块链技术的前沿思维，又深谙传统金融体系以及监管框架的运行逻辑。 在这两个看似平行却又必将交融的世界之间，能够自如穿梭、精准翻译，这或许就是我能带来的价值。 之后还请大家多多关照！

《新加坡对Web3“赶尽杀绝”，监管套利时代结束，一场Web3“大撤退”正在来临》 新加坡金管局MAS在2025年5月30日发布了数字代币服务提供商 DTSP 的新规的回应文件，许多人还没有意识到这实际上将影响整个亚洲 Web3 行业的格局。 新规于2025年6月30日正式实施，MAS明确表示没有任何缓冲期！一场大规模的"新加坡Web3大撤退"或许已经悄然开始。 "We will be extremely cautious." 当MAS在这份措辞严厉的咨询文件中毫不掩饰地表达这种态度时，那个曾经被全球Web3从业者誉为"亚洲加密友好天堂"的新加坡，正在以一种令人意外的方式告别过去 ——不是渐进式的政策调整，而是近乎"断崖式"的监管收紧。 对于那些仍在观望的项目方和机构而言，这或许不再是一个"要不要离开"的问题，而是"何时离开"以及"去往何处"的抉择。 昔日荣光：监管套利的黄金时代 还记得2021年的新加坡吗？当中国全面禁止加密货币交易，美国SEC四处挥舞监管大棒时，这个小岛国却张开怀抱欢迎Web3创业者。Three Arrows Capital、Alameda Research、FTX亚洲总部... 一个个响亮的名字选择在这里安家，不仅仅是因为0%的资本利得税，更是因为那时的MAS展现出的"拥抱创新"姿态。 彼时的新加坡，堪称Web3行业的"监管套利圣地"。在这里注册一家公司，就能合法合规地向除新加坡外的全球用户提供数字资产服务，同时享受新加坡金融中心的声誉加持。 这种"身在新加坡，心系全球"的商业模式，一度让无数Web3从业者趋之若鹜。 而如今，新加坡的DTSP新规意味着新加坡彻底关上监管友好的大门，其态度简单来说一句话就是： -- 把Web3行业没有牌照的人全部轰出新加坡。 什么是DTSP？让人"细思极恐"的定义 DTSP全称为数字代币服务提供商，按照FSM Act第137条的定义以及文件3.10的内容，DTSP包括两类主体： 一. 在新加坡营业场所运营的个人或合伙企业； 二. 在新加坡境外开展数字代币服务业务的新加坡公司（无论该公司来自新加坡还是其他地方） 这个定义看似简单，实则暗藏杀机。 首先，新加坡对于“营业场所”的定义是什么？MAS给出的"营业场所"定义是"在新加坡由持证人用于开展业务的任何地点（包括可以从一个地点移动到另一个地点的摊位）"。 注意这个定义中的几个关键点： "任何地点"：没有限制必须是正式的商业场所 "包括摊位"：连移动摊位都被纳入，显示监管范围之广 "用于开展业务"：关键在于是否在该地点进行业务活动 简单来说就是，只要你在新加坡没有持牌，在任何场所展开任何涉及数字资产的业务都会有触犯法律的风险，不管你是新加坡当地公司，还是海外公司，不管你是在针对新加坡本地，还是境外客户。 那么居家办公会不会犯法呢？ 针对这个问题，Baker McKenzie律所在文件中向MAS提交了反馈 Baker McKenzie律所专门就这个问题向MAS寻求澄清： "考虑到远程工作的普遍性，MAS的政策意图是否要覆盖受雇于海外实体但在新加坡的家中或住宅场所工作的个人？" 律所的担忧很现实。他们列出了几种可能踩雷的情况： 从家中为海外公司提供DT服务的个人（可能是咨询性质） 海外公司的员工或董事，在远程工作安排下于新加坡工作 但同时，律所也试图为居家办公者提供一些"护身符"： "基于现行立法的起草，可以论证家庭或住宅场所不应被纳入，因为家庭或住宅场所通常不被理解为许可方开展业务的场所。" 然而，MAS针对这个问题泼了盆冷水： “根据《金融服务和市场法》第137(1)条的规定，所有在新加坡营业场所从事向新加坡境外提供数字代币服务业务的个人都需要获得DTSP许可证，除非该个人属于《金融服务和市场法》第137(5)条规定的某一类人员。在这方面，如果个人位于新加坡并从事向新加坡境外人员（即个人和非个人）提供数字代币服务的业务，则该个人需要根据《金融服务和市场法》第137(1)条申请许可。 但是，如果个人是向新加坡境外提供数字代币服务的外国注册公司的雇员，该个人作为其在外国注册公司就业的一部分所从事的工作本身不会触发《金融服务和市场法》第137(1)条下的许可要求。” 以及 "但是，如果这些个人在共享办公空间工作或在海外实体的关联公司办公室工作，那么他们显然更容易被纳入范围。" 总结一下新规就是： - 没有牌照，不管是个人还是公司，都不可以在新加坡任何营业场所开展针对新加坡本地或海外客户的业务 - 如果你是海外员工的雇员，在家办公是可以被接受的 但是新规也有很多模糊的地方： - MAS对于雇员的定义非常模糊，项目创始人是否算雇员，持有股份是否算雇员？都是MAS说了算 - 如果你是海外公司的BD、销售，你去了别人的共享办公室谈业务，算不算在营业场所开展业务？MAS说了算 模糊的数字代币服务定义，KOL或许也将波及？ MAS对于数字代币服务的定义覆盖范围广得令人咋舌，几乎涵盖了所有相关的token类型和服务。而其中甚至连发布研究报告都被包含其中？ 根据FSM Act第一附表第(j)项的规定，监管范围包括： "任何与数字代币销售或要约相关的服务，包括： (1) 直接或通过出版物、文章等任何形式（电子、印刷或其他形式）提供与数字代币相关的建议。 或 (2) 通过发布或传播研究分析或研究报告（电子、印刷或其他形式）提供与数字代币相关的建议" 这可能意味着，如果你作为一个KOL或者机构在新加坡发布一份分析某个代币投资价值的报告，理论上就可能需要DTSP许可，不然就有可能被判定为违法。 Blockchain Association of Singapore在反馈中就这个问题向MAS发出了灵魂拷问： "传统研究报告是否会被认定为与代币销售或要约相关？参与者应该如何区分与代币销售或要约相关的研究报告？" MAS并未给出明确答复，这种模糊性可以说让所有内容创作者都如履薄冰。 哪些群体可能受到波及？ 🔴 个人身份类型（高风险） 独立从业者：包含开发者、项目顾问、做市商、矿工等等 内容创作者和KOL：包含分析师、KOL、社群运营等等 项目核心人员：包含创始人、BD、销售等核心业务人员 🟠 机构类型（高风险） 未持牌交易所：CEX、DEX 项目方：DeFi、钱包、NFT等等 结语：新加坡监管套利时代的结束 一个恐怖的现实浮现出来：新加坡这次是来真的了，要把所有不合规的人全部“轰出”新加坡，只要不合规，几乎任何与数字代币相关的活动都可能被纳入监管范围。 无论你是在豪华写字楼还是在家里的沙发上，无论你是大公司的CEO还是自由职业，只要涉及数字代币服务。 而由于"营业场所"和"开展业务"的定义存在大量灰色地带和模糊定义，MAS很可能会采用"案例导向"的执法策略——先杀几只鸡，再儆猴子。 想临时抱佛脚拥抱合规？不好意思，MAS明确表示将以"极其谨慎"的方式审批DTSP牌照，只有在"极其有限的情况下"才会批准申请。 在新加坡，监管套利时代正式结束，大鱼吃小鱼的时代来临了。 MAS文件来源：mas.gov.sg/publications/c…

1/n 菠菜最新大作，RWA底层逻辑全景式梳理，也是写过最长、内容最密集的一篇研报了，菠菜也正式宣布加入ERC-3525孟岩老师团队@myanTokenGeek ，另外下个月在新加坡金融科技节我们将会有重磅消息公布，研报内容近3万字，菠菜总结了一些核心观点，欢迎点赞转发！ 完整版研报链接在下👇

大表哥 @cz_binance 这是我亲自为你做了几个小时的视频，那我问你，我可以得到你的关注吗？😆😆😆

时隔7年 大表哥重回日本🇯🇵@cz_binance 没想到大表哥还记得我🤣 依旧亲和力Max！ 日本经济正在复苏的起点，财团已经蠢蠢欲动，未来日本市场将会是主战场之一，跟随大表哥的脚步！！BNB to the Moon！！

“亲身实测”Base生态最新大火的MeMe币Launch平台 @flaunchgg 🤪 是否有望掀起一轮全新Base生态Meme热潮？ 就在不久前，Uniswap v4正式上线 @Uniswap ，对于流动性的机制上来说有一些很大的创新，其中最核心的创新就是Hook机制，Hook允许开发者为流动性池添加自定义逻辑（实现可编程流动性），在交易生命周期（创建池子、交易前后、LP头寸调整）的任意节点触发特定操作。🦄 而就在Uniswap v4上线的同时，一个建立在Base生态且使用了Hook机制的Meme发射平台 @flaunchgg 也出现了，如此巧合难道这二者之间会没有一点关系？🤫🤫 于是菠菜也亲自自己发射了一个meme实测了一下（发完才发现是实名的😭），下面给大家介绍 @flaunchgg 的几个核心机制以及实测后的一些感想👇 1️⃣Fair Launch内盘机制 不同与Pump的Bonding Curve机制，Falunch上每个Meme币launch之后将会有限时30分钟的内盘买入时间，在此期间所有人将以一样的价格购买到初始筹码，并且在Launch成功之后，所有内盘的买家都可以以原价退出（相当于内盘保底机制，最多只亏个gas）。 2️⃣自定义手续费收益分成比例 在Falunch部署Token时，Dev可以自定义该Token的手续费分成比例，界面会提供一个可视化的拉条来调整分配比例，Community方面的分成会被自动用于Token回购，而Dev方面的分成将会进到开发者口袋里。 3️⃣自动回购功能Auto Buybacks 这个功能使用了Uni v4的Hook功能，可以使得交易费用的一部分将会被用于自动回购Token，每累积到0.1E 就会触发一次，但实际上这并不是真正意义上的回购，而是通过Uniswap V4 的Hook合约，把这0.1E 添加到现在现货价格下方的流动性里去，为Token价格提供一个额外购买力支持。 这三个是 @flaunchgg 比较核心的特征。 以下是菠菜“亲自发了一个币”实测的效果👇 我用自己带有bocaibocai.eth 域名的钱包发了一个meme测试了一下（😭不是想真发币，纯实验一下，发完才发现纯实名） 关于内盘功能的实测👇 在我发行后的一分钟不到，所有内盘被瞬间买完，开盘的速度远超我想象.....开盘后1分钟内市值涨了50%，几十个交易者瞬间冲进来，随后一波快进快出，行情结束，我看了一下手头的0.1%份额，几乎是可以以内盘的价格直接退出，不会归零。🤯 机制缺陷：保底机制虽好，但是基本都是机器人的福利，散户很难抢到内盘份额，长期来说这对于散户来说非常不友好，机器人的赔率太高了，以损失gas的风险博取上百上千倍的回报，未来对于散户参与动力的影响未知㊙️ 关于自定义手续费的实测👇 我设置的是10%的dev手续费分成，开盘2分钟，为我带来了18u的收入，基本把发行的gas成本收回来了，这对于dev来说，如果搞成一个神盘，那收入是极其可观的。 关于自动回购功能的实测👇 😭😭菠菜无能，到现在都还没有累积到0.1E触发，不过我看到有两个选项可供选择： 1️⃣市场价回购：以最新市场价回购池子里的Token 2️⃣Burn：直接烧毁池子里的Token 总结：看得出来，该平台基本是被当作Base“亲儿子”来看待的，Base和Solana一直是两个互相抢占 Meme市场的竞争对手，近期肯定值得保持关注，说不定会跑出来神盘。但对于设计机制，虽然用到了很多Uni v4的创新功能，但是对于机器人来说太友好了，如果散户很难获利，是否可以可持续性维持下去呢？ 如果你喜欢本篇内容，请屏幕前的帅哥美女❤️可以关注 @bocaibocai_ 点赞转发评论三连！感谢支持！

你好，我是菠菜，感谢你们见证我在 Web3 行业三年的成长，今天我将正式官宣我的新身份：Pharos @pharos_network 的 RWA 亚太战略负责人🐙（刚刚上线测试网，欢迎大家体验！） 近期，23岁这个话题非常火，回顾过去三年： 23岁，我成为了一名 Web3 领域的内容创作者，成功积累了我的一万名粉丝，开启了我在 Web3 领域的旅程。 24岁，我亲身参与了三国央行的 RWA 试点项目，深度与央行政府、传统金融以及国际组织接触，看到了两个世界融合的可能。 25岁，我很荣幸地加入了 Pharos，成为了公链 RWA 负责人，开启了一段全新的人生探索之旅。 他们说，Web3 已死，炒作一片。 我的直觉恰恰相反。 - "工业革命不得不等待一场金融革命" 近期肖风博士的演讲《从原点出发》引发了行业热议，回望历史长河，这一规律清晰可见： 从最早的城邦文明 - 到远洋贸易与文艺复兴 - 到蒸汽机时代以及电气化时代 - 再到如今的互联网革命，记账方式的每一次跃迁，都深刻改变着经济规模与组织形态。 而如今，区块链的分布式记账正在重构全球资本流动方式，资产通证化（Tokenization）成为一种全新的资产形态，通证化经济（Token Economy）也将催生全新的经济形态改变人类协作方式。 - 未来的金融体系，将是传统金融与区块链技术的融合体，不是谁取代谁，而是谁先建立桥梁。 RWA 不是一条捷径，但我坚信这是正确的方向。就像长江黄河，不是一夜暴涨，而是日夜不息地奔流，最终改变地貌。 当我们看到各大传统金融积极拥抱 RWA，央行将区块链和 Tokenization 视为下一代金融体系，美国 SEC 新主席将 RWA 视为是音频录制从模拟黑胶唱片到磁带再到数字软件的转变。 我就知道，风来了🌬️ RWA 的时代即将到来！ 为什么是 Pharos？ 选择加入一个项目，就像选择一艘船。船的性能决定了你能航行多远，船长的视野决定了你会驶向何方，船员的配置决定了航行的稳定性。 团队核心成员来自蚂蚁集团，在区块链技术领域有着极其丰厚的积累，是目前性能最高可比肩 Solana 的并行 EVM 区块链，也是少有的有能力在区块链底层做技术创新的团队。 在商业布局上，蚂蚁集团作为 RWA 领域的先行者，其香港 RWA 项目已成为业内标杆案例，被广泛研究与讨论，得益于 Pharos 深厚的蚂蚁背景。 这种独特的背景优势使 Pharos 能够直接对接传统金融机构，在海量 RWA 资产的通证化过程中占据先发优势，打造出独特的产业协同价值护城河。 Pharos 的差异化战略：不盲目参与公链赛道的"军备竞赛"，而是借助其独特的技术优势和大厂背景，聚焦RWAFi、支付以及 AI 三大领域。 让 Pharos 能够跳出同质化竞争，专注于真正有价值的问题——如何将现实世界的应用场景无缝迁移到链上。 而最打动我的是 Pharos 团队的踏实态度。他们不谈"革命"，不讲"颠覆"，而是专注于解决实际问题。在一个充斥着浮夸的行业里，这种务实精神尤为珍贵。 Pharos，古希腊亚历山大港的灯塔，为迷雾中的航海者指引方向。在这片区块链的海域，我们需要的正是这样一座灯塔，照亮航道。 而我，很荣幸能成为这座灯塔的守护者之一。 Web3 世界需要更多"双语者"——既懂 Web3 和区块链技术的前沿思维，又深谙传统金融体系以及监管框架的运行逻辑。 在这两个看似平行却又必将交融的世界之间，能够自如穿梭、精准翻译，这或许就是我能带来的价值。 之后还请大家多多关照！

1/n 菠菜最新大作，RWA底层逻辑全景式梳理，也是写过最长、内容最密集的一篇研报了，菠菜也正式宣布加入ERC-3525孟岩老师团队@myanTokenGeek ，另外下个月在新加坡金融科技节我们将会有重磅消息公布，研报内容近3万字，菠菜总结了一些核心观点，欢迎点赞转发！ 完整版研报链接在下👇

大表哥 @cz_binance 这是我亲自为你做了几个小时的视频，那我问你，我可以得到你的关注吗？😆😆😆

《新加坡对Web3“赶尽杀绝”，监管套利时代结束，一场Web3“大撤退”正在来临》 新加坡金管局MAS在2025年5月30日发布了数字代币服务提供商 DTSP 的新规的回应文件，许多人还没有意识到这实际上将影响整个亚洲 Web3 行业的格局。 新规于2025年6月30日正式实施，MAS明确表示没有任何缓冲期！一场大规模的"新加坡Web3大撤退"或许已经悄然开始。 "We will be extremely cautious." 当MAS在这份措辞严厉的咨询文件中毫不掩饰地表达这种态度时，那个曾经被全球Web3从业者誉为"亚洲加密友好天堂"的新加坡，正在以一种令人意外的方式告别过去 ——不是渐进式的政策调整，而是近乎"断崖式"的监管收紧。 对于那些仍在观望的项目方和机构而言，这或许不再是一个"要不要离开"的问题，而是"何时离开"以及"去往何处"的抉择。 昔日荣光：监管套利的黄金时代 还记得2021年的新加坡吗？当中国全面禁止加密货币交易，美国SEC四处挥舞监管大棒时，这个小岛国却张开怀抱欢迎Web3创业者。Three Arrows Capital、Alameda Research、FTX亚洲总部... 一个个响亮的名字选择在这里安家，不仅仅是因为0%的资本利得税，更是因为那时的MAS展现出的"拥抱创新"姿态。 彼时的新加坡，堪称Web3行业的"监管套利圣地"。在这里注册一家公司，就能合法合规地向除新加坡外的全球用户提供数字资产服务，同时享受新加坡金融中心的声誉加持。 这种"身在新加坡，心系全球"的商业模式，一度让无数Web3从业者趋之若鹜。 而如今，新加坡的DTSP新规意味着新加坡彻底关上监管友好的大门，其态度简单来说一句话就是： -- 把Web3行业没有牌照的人全部轰出新加坡。 什么是DTSP？让人"细思极恐"的定义 DTSP全称为数字代币服务提供商，按照FSM Act第137条的定义以及文件3.10的内容，DTSP包括两类主体： 一. 在新加坡营业场所运营的个人或合伙企业； 二. 在新加坡境外开展数字代币服务业务的新加坡公司（无论该公司来自新加坡还是其他地方） 这个定义看似简单，实则暗藏杀机。 首先，新加坡对于“营业场所”的定义是什么？MAS给出的"营业场所"定义是"在新加坡由持证人用于开展业务的任何地点（包括可以从一个地点移动到另一个地点的摊位）"。 注意这个定义中的几个关键点： "任何地点"：没有限制必须是正式的商业场所 "包括摊位"：连移动摊位都被纳入，显示监管范围之广 "用于开展业务"：关键在于是否在该地点进行业务活动 简单来说就是，只要你在新加坡没有持牌，在任何场所展开任何涉及数字资产的业务都会有触犯法律的风险，不管你是新加坡当地公司，还是海外公司，不管你是在针对新加坡本地，还是境外客户。 那么居家办公会不会犯法呢？ 针对这个问题，Baker McKenzie律所在文件中向MAS提交了反馈 Baker McKenzie律所专门就这个问题向MAS寻求澄清： "考虑到远程工作的普遍性，MAS的政策意图是否要覆盖受雇于海外实体但在新加坡的家中或住宅场所工作的个人？" 律所的担忧很现实。他们列出了几种可能踩雷的情况： 从家中为海外公司提供DT服务的个人（可能是咨询性质） 海外公司的员工或董事，在远程工作安排下于新加坡工作 但同时，律所也试图为居家办公者提供一些"护身符"： "基于现行立法的起草，可以论证家庭或住宅场所不应被纳入，因为家庭或住宅场所通常不被理解为许可方开展业务的场所。" 然而，MAS针对这个问题泼了盆冷水： “根据《金融服务和市场法》第137(1)条的规定，所有在新加坡营业场所从事向新加坡境外提供数字代币服务业务的个人都需要获得DTSP许可证，除非该个人属于《金融服务和市场法》第137(5)条规定的某一类人员。在这方面，如果个人位于新加坡并从事向新加坡境外人员（即个人和非个人）提供数字代币服务的业务，则该个人需要根据《金融服务和市场法》第137(1)条申请许可。 但是，如果个人是向新加坡境外提供数字代币服务的外国注册公司的雇员，该个人作为其在外国注册公司就业的一部分所从事的工作本身不会触发《金融服务和市场法》第137(1)条下的许可要求。” 以及 "但是，如果这些个人在共享办公空间工作或在海外实体的关联公司办公室工作，那么他们显然更容易被纳入范围。" 总结一下新规就是： - 没有牌照，不管是个人还是公司，都不可以在新加坡任何营业场所开展针对新加坡本地或海外客户的业务 - 如果你是海外员工的雇员，在家办公是可以被接受的 但是新规也有很多模糊的地方： - MAS对于雇员的定义非常模糊，项目创始人是否算雇员，持有股份是否算雇员？都是MAS说了算 - 如果你是海外公司的BD、销售，你去了别人的共享办公室谈业务，算不算在营业场所开展业务？MAS说了算 模糊的数字代币服务定义，KOL或许也将波及？ MAS对于数字代币服务的定义覆盖范围广得令人咋舌，几乎涵盖了所有相关的token类型和服务。而其中甚至连发布研究报告都被包含其中？ 根据FSM Act第一附表第(j)项的规定，监管范围包括： "任何与数字代币销售或要约相关的服务，包括： (1) 直接或通过出版物、文章等任何形式（电子、印刷或其他形式）提供与数字代币相关的建议。 或 (2) 通过发布或传播研究分析或研究报告（电子、印刷或其他形式）提供与数字代币相关的建议" 这可能意味着，如果你作为一个KOL或者机构在新加坡发布一份分析某个代币投资价值的报告，理论上就可能需要DTSP许可，不然就有可能被判定为违法。 Blockchain Association of Singapore在反馈中就这个问题向MAS发出了灵魂拷问： "传统研究报告是否会被认定为与代币销售或要约相关？参与者应该如何区分与代币销售或要约相关的研究报告？" MAS并未给出明确答复，这种模糊性可以说让所有内容创作者都如履薄冰。 哪些群体可能受到波及？ 🔴 个人身份类型（高风险） 独立从业者：包含开发者、项目顾问、做市商、矿工等等 内容创作者和KOL：包含分析师、KOL、社群运营等等 项目核心人员：包含创始人、BD、销售等核心业务人员 🟠 机构类型（高风险） 未持牌交易所：CEX、DEX 项目方：DeFi、钱包、NFT等等 结语：新加坡监管套利时代的结束 一个恐怖的现实浮现出来：新加坡这次是来真的了，要把所有不合规的人全部“轰出”新加坡，只要不合规，几乎任何与数字代币相关的活动都可能被纳入监管范围。 无论你是在豪华写字楼还是在家里的沙发上，无论你是大公司的CEO还是自由职业，只要涉及数字代币服务。 而由于"营业场所"和"开展业务"的定义存在大量灰色地带和模糊定义，MAS很可能会采用"案例导向"的执法策略——先杀几只鸡，再儆猴子。 想临时抱佛脚拥抱合规？不好意思，MAS明确表示将以"极其谨慎"的方式审批DTSP牌照，只有在"极其有限的情况下"才会批准申请。 在新加坡，监管套利时代正式结束，大鱼吃小鱼的时代来临了。 MAS文件来源：mas.gov.sg/publications/c…

《大白话讲解Web3签名钓鱼底层逻辑：授权钓鱼、Permit与Permit2的区别》 明明只是签了个名，我的钱怎么没了呢？？“签名钓鱼”目前正成为了Web3的黑客们最喜欢的钓鱼方式，最近看余弦大佬 @evilcos 和各大钱包和安全公司都在不断宣传科普钓鱼签名的知识，但是每天还是有好多人被钓鱼。 菠菜认为其中一个原因就是大部分人对钱包交互的底层逻辑并不了解，并且对于不懂技术的人来说学习门槛过高，所以菠菜决定出一个图解版科普签名钓鱼的底层逻辑，并且尝试用最大白话的形式让不懂技术的人也能看明白。 如果大家认为有帮助，帮忙点赞转发帮助更多人看到呀！如果有错误也欢迎大家指出！ 首先我们要知道我们使用钱包一共只有两种操作：“签名”和“交互”。最简单直接的理解就是：签名是发生在区块链之外的（链下），不需要花Gas费的；交互是发生在区块链上面的（链上），是需要花Gas费的。 一般签名的使用场景是为了验证你是你，比如登入钱包，就像你如果要去Uniswap换Token的话，你需要先链接你的钱包，那么这个时候你就需要签一个名告诉网站“我是这个钱包的拥有者”，然后你就可以使用Uniswap了，这个步骤对区块链不会有任何数据或者状态上的变化，所以不需要花钱。 而交互的话就是当你要真正在Uniswap上换Token的时候，你需要先花一笔钱告诉Uniswap的智能合约：“我要用100USDT换一个菠菜币，我批准你可以挪动我的100USDT”，这个步骤就叫做授权（approve），然后你还要再花一笔钱告诉Uniswap的智能合约：“我现在要用100USDT换一个菠菜币了，你现在可以进行操作了”，然后你就完成了用100USDT换一个菠菜币的操作。 简单理解签名和交互的区别之后，我们就来介绍一下钓鱼的原理，菠菜会列举三个不同的方式：授权钓鱼、Permit签名钓鱼和Permit2签名钓鱼，这三个是非常常见的钓鱼方式。 咱们先讲授权钓鱼，这是以前Web3最经典的钓鱼手法之一，顾名思义就是利用授权（approve）这个机制，之前Uniswap的例子告诉我们，授权就是告诉智能合约“我批准你挪动我多少xxx的Token”，那么黑客就可以做一个假的钓鱼网站，有着精美的前端伪装成一个NFT项目，网站中间是一个漂亮的大按钮“领取你的空投”，实际上你点了之后钱包弹出来的界面实际上是让你授权你的Token给黑客的地址，那么这时候如果你点了确认，那么就恭喜黑客成功完成一个KPI了。 但是授权钓鱼有一个问题：因为要花Gas费，现在很多人在涉及到花钱的操作上会有所警惕，在陌生网站点击之后稍微一看就会发现不对劲，还是比较好防范的。 那么接下来就来到了今天的主角：Permit和Permit2签名钓鱼啦，是Web3资产安全领域的重灾区，为什么这么难防呢？因为每次你要使用一个Dapp之前一定要签名登入你的钱包，在许多人脑子里可能已经形成了一种惯性思维：”这个操作是安全的”，再加上不需要花钱和大多数人不知道每个签名背后意味着什么。 我们先来看Permit机制，Permit是针对ERC-20标准下授权的一个扩展功能，像我们平常用的USDT就是ERC-20，简单来说就是你可以签名批准其他人来挪动你的Token，我们知道授权（Approve）是你花钱告诉智能合约：“你可以挪动我xxx数量的Token”，那么Permit就是你在一张“条子”上签了个名给某一个人，这个纸上写着：“我允许某某某可以挪动我xxx数量的Token”，然后这个人拿着这个“条子”给智能合约并花一笔Gas费告诉智能合约：“他允许我挪动他xxx数量的Token”，然后你的钱就可以被其他人挪走了，在这个过程中你只是签了一个名，而背后却意味着你允许其他人去调用授权（Approve）并转走你的Token，黑客可以做一个钓鱼网站，把登入钱包的按钮替换成Permit钓鱼，那么就可以轻轻松松把你的资产钓走啦。 那么Permit2又是什么呢？Permit2其实并不是ERC-20的一个功能，而是Uniswap为了方便用户推出的一个功能，之前的例子讲了你要在Uniswap上用USDT换菠菜币你需要先授权（Approve）一次，然后再进行兑换，这需要花两笔Gas费，所以Uniswap就想了个办法：“你一次性把额度全部授权给我好了，每次兑换你签个名我就给你处理了”，这个功能帮助Uniswap用户使用的时候只需要支付一次Gas费即可，并且这个步骤是签名，所以Gas费其实不是你付的，而是Permit2合约代付了，但是会从你最终兑换的Token里扣除掉。 但是中Permit2钓鱼的条件是你曾经使用过Uniswap，并且你还授权了无限额度给Permit2智能合约，由于目前Uniswap默认的操作就是无限额度授权，所以其实满足该条件的用户数量还是蛮大的，同样黑客只要骗你把名签了就可以把你的Token转走（仅限给过授权的）。 总结一下，授权钓鱼的本质是你花一笔钱告诉智能合约：“我批准你挪用我的Token给黑客”，签名钓鱼的本质是你签了一张允许别人去挪动你资产的“条子”给到黑客，黑客花钱告诉智能合约：“我要挪用他的Token转给我”。Permit和Permit2是目前钓鱼签名的重灾区，Permit是ERC-20的一个授权扩展功能，Permit2是Uniswap推出的一个新功能。 那么理解了原理，怎么防范呢？ 1.首先最最重要的就是培养你的安全意识，每一次钱包的操作都要去检查一下你在做的操作到底是什么？ 2.大资金和玩链上的钱包分离，一旦被钓鱼了可以把损失降到最低 3.学会识别Permit和Permit2的签名格式，只要你看到以下签名格式，那你就要警惕起来了： Interactive：交互网址 Owner：授权方地址 Spender：被授权方地址 Value：授权数量 Nonce：随机数 Deadline：过期时间