¡Adiós a las tarifas de Gas exorbitantes y a la autorización infinita! Todo lo que necesitas saber sobre el nuevo líder de autorización de Ethereum, Permit2

¿Estás expuesto con cada "autorización" en Web3?

Si eres un jugador de Web3 que suele navegar en la cadena, seguramente detestas este escenario: cuando quieres intercambiar tokens en una nueva aplicación descentralizada (DApp), el sistema siempre te obliga a hacer clic en "Approve (autorización)" primero, gastando una alta tarifa de Gas (tarifa de minero) y esperando con ansias la confirmación, antes de poder proceder al verdadero intercambio en el segundo paso.

Para ahorrar molestias, muchas DApps te permiten otorgar "límites infinitos (autorización infinita)" por defecto. Es como si para comprar una botella de agua en la tienda de abajo, le entregarás al cajero el permiso de "pagos sin contraseña ilimitados" de tu tarjeta bancaria. Una vez que este DApp sea hackeado, los activos en tu billetera serán robados de inmediato.

Para resolver completamente el dolor de “experiencia deficiente, costos altos, grandes vulnerabilidades de seguridad”, el equipo de Uniswap ha lanzado un nuevo estándar de autorización de tokens de próxima generación: Permit2. Está convirtiéndose rápidamente en la infraestructura base del ecosistema de Ethereum.

Hoy, desglosaremos esta tecnología emergente que revolucionará la experiencia de interacción en Web3.

1. Dolor tradicional: ¿por qué necesitamos Permit2?

Antes de entender Permit2, veamos cuán “inhumano” es el funcionamiento de los dos modelos de autorización existentes.

1. La pesadilla de “dos pasos” de los tokens ERC20 tradicionales. El estándar de token más antiguo (ERC20) requiere que el uso de fondos se realice en dos pasos:

• Primer paso: autorización (Approve). El usuario registra en la cadena una transacción, informando al contrato inteligente “te permito mover mi dinero”.

  
  

• Segundo paso: transferencia (TransferFrom). El contrato realmente transfiere el dinero. Dolor: cada vez que cambie de DApp o de token, debe repetir este proceso. No solo es complicado, sino que también quemará una gran cantidad de dinero real (Gas fees) por la acción de “autorización”.

  
  

2. La versión mejorada de la vieja generación: limitaciones de EIP-2612. Más tarde, la comunidad de Ethereum lanzó la propuesta EIP-2612 (introduciendo el mecanismo Permit), permitiendo a los usuarios “firmar directamente en la billetera sin necesidad de ir a la cadena” para completar la autorización, combinando dos pasos en uno.

Dolor: la idea es buena, pero no es compatible hacia atrás. Esto significa que solo los nuevos tokens que han añadido este mecanismo en su código podrán utilizarlo. Los antiguos tokens emitidos en el mercado (incluso muchos activos principales) no podrán disfrutar de esta funcionalidad suave.

2. La ruptura de Permit2: una autorización, acceso total a la red

Permit2 no modifica el código base de cada token, sino que inteligentemente construye una capa media unificada de autorización (contrato del mayordomo general) entre el “usuario” y “todos los DApp”.

Su diseño central se resume en ocho palabras: una autorización, uso en todas partes.

Magia de flujo de Permit2 sin código: suponga que desea moverse entre diferentes DApp, bajo la estructura de Permit2, el proceso se convierte en esto:

1. Una única vez en la cadena: el usuario solo necesita abrir una vez la autorización ilimitada para un cierto token con Permit2, el “mayordomo general”.

   
   

2. Firma fuera de la cadena (completamente gratis): cuando desee realizar una transacción en cualquier DApp que soporte Permit2 (como Uniswap), solo necesita hacer clic en **“firmar”** en la ventana emergente de su billetera. Esta firma electrónica incluye: qué moneda desea transferir, cuánto, a quién y cuándo expira.

   
   

3. Ejecución instantánea: el DApp presenta su firma al mayordomo general de Permit2. Una vez verificado que la firma es correcta, el token se transfiere instantáneamente al DApp.

   
   

El resultado es que: no importa cuántos nuevos DApp juegues en el futuro, siempre que estén conectados a Permit2, ya no necesitarás pagar ninguna “tarifa de Gas de autorización”, solo necesitas firmar gratis, ¡directamente en un solo paso!

3. Tecnología central de nivel aplastante

Permit2 es considerado el próximo gran protagonista no solo porque ahorra dinero, sino también por introducir muchas características letales en el nivel base:

💡 【Explicación sencilla】 Número de serie anti-repetición (Nonce): muchos sistemas en el pasado usaban números de serie “incrementales” (el número 1 debe ser firmado antes de poder firmar el 2, si el 2 se queda atascado, el 3 debe esperar). Innovación de Permit2: utiliza un mecanismo de mapa de bits (Bitmap) similar al “selección de asientos en el cine”. Puede firmar simultáneamente diferentes transacciones (por ejemplo, seleccionando 3 asientos en la fila 1 y 6 en la fila 5), se procesan en paralelo, sin interferencias, aumentando enormemente la velocidad de transacción concurrente.

💡 【Explicación sencilla】 Intención vinculante (mecanismo Witness): la firma tradicional es como firmar un “cheque en blanco”, el hacker puede llenar el propósito como quiera. Innovación de Permit2: introduce el mecanismo de Witness (testigo). Puede vincular estrictamente el “propósito de la transacción” a la firma (por ejemplo, especificando: este dinero solo se puede usar para comprar ETH en descuento). Si el hacker intercepta la firma y quiere comprar algo diferente, la firma se invalida instantáneamente.

• Herramienta de operaciones en masa: en el pasado, para autorizar o transferir 5 tipos diferentes de tokens a la vez, necesitaba abrir 5 ventanas. Ahora, Permit2 admite empaquetar múltiples tokens en una lista, firmar una vez y transferir en masa, muy adecuado para operaciones complejas de DeFi.

  
  

• Con “fecha de caducidad” incorporada: introduce la dimensión del tiempo. Todas las autorizaciones no solo pueden limitar la cantidad, sino que también pueden establecer un “tiempo de caducidad absoluto” (por ejemplo, caduca en media hora). Una vez que llega el tiempo, la autorización se invalida automáticamente, cortando de raíz el riesgo de “autorización indefinida”.

  
  

4. Los infiltrados del bosque oscuro: ataques de phishing de firmas

Aunque Permit2 supera a los antiguos sistemas en mecanismo, también trae un nuevo riesgo de seguridad mortal: el phishing de firmas.

Dado que la autorización de Permit2 se completa completamente “fuera de la cadena (firma sin costo de Gas)”, muchos usuarios se han acostumbrado a hacer clic ciegamente.

Los métodos de ataque de los hackers suelen ser los siguientes: falsifican un sitio web de DApp que parece legítimo. Cuando conectas tu billetera, aparece una ventana que te pide “firmar”. Si no miras detenidamente, en realidad, este documento electrónico dice:

• Receptor (Spender): dirección oculta del hacker

• Monto (Amount): monto máximo (vaciar billetera)

• Tiempo de expiración (Deadline): año 2050

  
  

Una vez que presione “confirmar firma”, los tokens en su billetera serán transferidos legalmente al hacker en un segundo. Todo el proceso ni siquiera requiere que inicie ninguna transacción en la cadena.

5. Guía para evitar hoyos y sobrevivir

Frente a un riesgo de firma más encubierto, cada enlace en el ecosistema debe actualizar su postura defensiva.

1. Consejos de “salvación” para los usuarios comunes:

• Rechazar firmas ciegas: cuando la billetera muestra la ventana de firma, ¡debe detenerse y leer detenidamente el texto dentro! Las principales billeteras ahora admiten el formato de análisis (EIP-712), mostrando en palabras simples cuánto “dinero” está dando a “quién”. Si no lo entiende, no firme.

  
  

• Autorización precisa: necesita firmar la cantidad exacta de dinero que desea gastar, nunca firme el “máximo” por conveniencia.

  
  

• Utilice herramientas de limpieza: use regularmente herramientas seguras como Revoke.cash para limpiar las autorizaciones históricas de Permit2 que pudo haber dejado accidentalmente.

  
  

2. Consejos de conciencia para los desarrolladores de DApp:

• No sea perezoso: en el nivel del código, asegúrese de generar dinámicamente “montos precisos” y “tiempos de expiración muy cortos (como 10 minutos)” según las necesidades reales de transacción del usuario.

  
  

• Transparente en el front-end: antes de guiar a los usuarios a firmar, marque claramente en su front-end: “Está a punto de autorizar una cantidad de XX”, reduciendo la ansiedad de seguridad del usuario.

  
  

6. El futuro ya está aquí: infraestructura digital de liquidez unificada

Actualmente, Permit2 ya no es solo la opinión de Uniswap. El gigante de pagos Circle (emisor de USDC) ya lo ha integrado profundamente, e incluso ha logrado la experiencia definitiva de “cobrar tarifas directamente en USDC (pago de Gas)”.

Al mismo tiempo, este contrato ya ha sido implementado en la red principal de Ethereum, Arbitrum, Optimism y otras redes principales con la misma dirección de contrato.

Conclusión: la popularidad de Permit2 marca un gran avance en la infraestructura Web3. Con un diseño de “mayordomo general” extremadamente liviano, no solo salva a los usuarios de perder miles de millones en costos de Gas ineficaces cada año, sino que también hace que la interacción a través de la cadena sea tan suave como la seda.

Sin embargo, la conveniencia de la tecnología siempre viene acompañada de riesgos. Cuando el umbral de autorización disminuye de “dinero real en cadena” a “una simple firma en la pantalla”, cada uno de nosotros debe construir una conciencia de seguridad más aguda.

Abracemos Permit2, abracemos una era Web3 más eficiente, pero recuerde siempre: comprenda cada uno de sus contratos electrónicos.