خسر متداول للعملات المشفرة حوالي مليون دولار بعد تعرضه لهجوم تصيد احتيالي استغل ميزة Permit2 في Uniswap، وفقًا لتقارير حديثة. خدع المهاجم الضحية بتوقيع رسالة خبيثة منحت الوصول الكامل إلى المحفظة، دون وجود ثغرة في البروتوكول أو اختراق تقني. وقع الحادث كجزء من وباء تصيد احتيالي أوسع، حيث بلغت خسائر الاحتيال على الشبكة الإجمالية 14 مليار دولار في 2025، مرتفعة من 12 مليار دولار في 2024، وفقًا لتقرير جرائم العملات المشفرة لعام 2026 من Chainalysis. نجح الهجوم لأن المتداول وقع على تفويض خارج السلسلة اعتقد أنه شرعي، مما يوضح كيف يمكن لميزة الراحة في Permit2 أن تصبح مسار هجوم عندما يتفاعل المستخدمون مع واجهات خادعة.
نتجت خسارة مليون دولار من هجوم تصيد استغل عقد Permit2 في Uniswap، وهو نظام موافقة على الرموز مصمم لتسهيل تفاعلات التمويل اللامركزي. يسمح Permit2 بتوقيع واحد خارج السلسلة للموافقة على عدة تفاعلات رمزية دفعة واحدة، مما يلغي الحاجة إلى معاملات منفصلة على السلسلة لكل تفاعل مع البروتوكول. خسر ضحية آخر حوالي 196 ألف دولار في هجوم مماثل استهدف $VIRTUAL token. في كلا الحالتين، لم يحدث اختراق تقني في بروتوكول Uniswap — نجحت الهجمات عبر خداع المستخدمين بدلاً من ثغرات في العقود الذكية. انتحلت مواقع التصيد احتيالي واجهات شرعية للتمويل اللامركزي، بما في ذلك صفحات المطالبة بالتوزيعات المجانية وشاشات المبادلة، لعرض طلبات توقيع Permit2 مقنعة في أوقات مناسبة. بمجرد التوقيع، تمكنت العقود الخبيثة من الوصول الفوري إلى محافظ الضحايا بالكامل دون حاجة لمزيد من التأكيد.
ولدت عمليات الاحتيال على الشبكة خسائر لا تقل عن 14 مليار دولار خلال 2025، مرتفعة من 12 مليار دولار في 2024، وفقًا لتقرير جرائم العملات المشفرة لعام 2026 من Chainalysis. في يناير 2026 وحده، شكل التصيد الاحتيالي والهندسة الاجتماعية 370 مليون دولار من إجمالي خسائر العملات المشفرة، مع مساهمة حادث واحد بـ 284 مليون دولار من ذلك المجموع، وفقًا لبيانات CertiK. منذ 2021، كان التصيد عبر الموافقات مسؤولًا عن خسائر تتجاوز مليار دولار. انخفضت خسائر سحب المحافظ بنسبة 83% في 2025، لتصل إلى حوالي 84 مليون دولار، مما يشير إلى أن عمليات إيقاف البنى التحتية المستهدفة قللت من هذا المسار الهجومي المحدد. ومع ذلك، يعمل التصيد عبر الموافقات على بنية تحتية مختلفة تستغل آليات البروتوكول الشرعية بدلاً من نشر عقود خبيثة قابلة للتنفيذ. أدت عملية Atlantic في أبريل 2026 إلى تجميد حوالي 12 مليون دولار مرتبطة بعمليات التصيد عبر الموافقات.
يتيح Revoke.cash للمستخدمين تدقيق وإلغاء الموافقات على الرموز غير المنتهية، بما في ذلك أذونات Permit2. يحد إجراء فحص الإلغاء بعد التفاعل مع أي بروتوكول جديد أو غير مألوف من مدى الضرر إذا تم منح إذن خبيث. من الضروري التحقق من عناوين العقود قبل توقيع أي طلب إذن، حيث تُبنى مواقع التصيد لتكون غير قابلة للتمييز بصريًا عن المنصات الشرعية. تضيف المحافظ المادية طبقة تأكيد فعلية، لكنها لا تحمي من توقيع رسالة خبيثة على موقع مخترق — إذا قام المستخدم بتوصيل محفظة مادية بموقع خبيث وأكد يدويًا طلب توقيع Permit2، يصبح الجهاز جزءًا من الهجوم بدلاً من أن يكون دفاعًا. تشمل الممارسات الدفاعية التحقق من عناوين العقود في كل طلب توقيع مقابل عناوين معروفة وموثوقة، وإجراء تدقيقات منتظمة باستخدام Revoke.cash أو أدوات مماثلة، ومعاملة طلبات توقيع Permit2 غير المتوقعة بشك حتى يتم التحقق منها.
ما هو Permit2 في Uniswap ولماذا يخلق خطر التصيد الاحتيالي؟
Permit2 يتيح للمستخدمين توقيع رسالة واحدة خارج السلسلة للموافقة على عدة تفاعلات رمزية في آن واحد. يمكن لتوقيع خبيث واحد أن يمنح المهاجم وصولاً واسعًا وفوريًا إلى كامل المحفظة دون خطوات تأكيد إضافية.
كيف استغل المهاجمون Permit2 في حادثة خسارة مليون دولار؟
أنشأ المهاجمون مواقع تنتحل هويات منصات التمويل اللامركزي الشرعية وطلبوا من المستخدمين توقيع رسائل Permit2. نظرًا لعدم وجود تحذير على السلسلة أو شاشة تأكيد، لم يكن الضحايا على علم بأنهم يوافقون على عقد خبيث، مما أدى إلى تحويل الأموال بشكل فوري وغير مصرح به.
أخبار ذات صلة
صناعة العملات الرقمية تستعد لمواجهة التهديد الذي تشكله الحوسبة الكمومية لشفرة البلوكشين
DAXA تحذر من مواقع تصيد تنتحل صفة منصات تداول العملات الرقمية الكورية
خسر متداول إيثيريوم $2M في استغلال هجوم سباق خلفي بكتلة واحدة على يونيسواب
مبادلة إيثر بقيمة 2 مليون دولار تنتهي بـ $14K بعد خطأ في توجيه السيولة المنخفضة