Трейдер втратив 1 мільйон доларів через фішинг-атаку з Permit2 у Uniswap

UNI2,78%
VIRTUAL0,96%
AIRDROP-4,80%

Криптовалютний трейдер втратив приблизно 1 мільйон доларів після потрапляння в фішингову атаку, яка використовувала функцію Permit2 від Uniswap, повідомляють останні звіти. Зловмисник обдурив жертву, змусивши підписати шкідливе повідомлення, що надавало повний доступ до гаманця, без вразливостей протоколу або технічних зломів. Інцидент став частиною ширшої епідемії фішингу, яка у 2025 році спричинила загальні збитки на суму 14 мільярдів доларів у блокчейн-скемах, порівняно з 12 мільярдами у 2024 році, згідно з доповіддю Chainalysis про криптову злочинність 2026 року. Атака успішно здійснилася через те, що трейдер підписав поза ланцюгом авторизацію, яку вважав легітимною, демонструючи, як зручна функція Permit2 може стати вектором атаки, коли користувачі взаємодіють з обманливими інтерфейсами.

Трейдер втратив 1 мільйон доларів у фішинговій атаці з Permit2 від Uniswap

Втрата у 1 мільйон доларів стала результатом фішингової атаки, яка експлуатувала контракт Permit2 від Uniswap — систему затвердження токенів, створену для спрощення взаємодій у DeFi. Permit2 дозволяє однією поза ланцюговою підпискою затвердити кілька взаємодій з токенами одночасно, усуваючи необхідність окремих транзакцій у ланцюгу для кожної операції протоколу. Інша жертва втратила приблизно 196 тисяч доларів у подібній атаці з використанням токена $VIRTUAL . У обох випадках не було технічних зломів протоколу Uniswap — атаки успішно здійснилися через обман користувачів, а не через вразливості смарт-контрактів. Фішингові сайти імітували легітимні інтерфейси DeFi, включаючи сторінки для отримання аірдропів і екрани обміну, щоб створити переконливі запити підпису Permit2 у зручний момент. Після підписання шкідливі контракти отримували негайний доступ до всіх портфелів жертв без додаткових підтверджень.

Фішинг затверджень приніс 14 мільярдів доларів збитків у блокчейні у 2025 році

Загальні збитки від шахрайств у блокчейні сягнули щонайменше 14 мільярдів доларів у 2025 році, зростаючи з 12 мільярдів у 2024 році, згідно з доповіддю Chainalysis про криптову злочинність 2026 року. Лише у січні 2026 року фішинг і соціальна інженерія спричинили втрати у криптовалюті на суму 370 мільйонів доларів, з яких один інцидент склав 284 мільйони, за даними CertiK. З 2021 року фішинг затверджень відповідає за понад 1 мільярд доларів у задокументованих збитках. Втрати, пов’язані з виведенням гаманців, зменшилися на 83% у 2025 році і склали приблизно 84 мільйони доларів, що свідчить про зменшення цільових інфраструктурних атак. Однак фішинг затверджень працює на іншій інфраструктурі, яка експлуатує легітимні механізми протоколів, а не розгортає шкідливі контракти. Операція Atlantic, проведена у квітні 2026 року, призвела до замороження приблизно 12 мільйонів доларів, пов’язаних із схемами фішингу через затвердження.

Revoke.cash і інструменти перевірки пропонують захист від фішингу Permit2

Revoke.cash дозволяє користувачам перевіряти та скасовувати невикористані затвердження токенів, включаючи дозволи Permit2. Виконання перевірки скасування після взаємодії з новим або незнайомим протоколом обмежує шкоду, якщо було надано шкідливе затвердження. Перед підписанням будь-якого запиту на затвердження важливо перевірити адреси контрактів, оскільки фішингові сайти створені так, щоб бути візуально невідрізнюваними від легітимних платформ. Апарати для зберігання криптовалюти додають фізичний рівень підтвердження, але не захищають від підписання шкідливого повідомлення на зламаному сайті — якщо користувач підключить апаратний гаманець до шкідливого сайту і вручну підтвердить запит підпису Permit2, фізичний пристрій стане частиною атаки, а не захистом. Захисні практики включають перевірку адрес контрактів у кожному запиті на підписання, регулярний аудит за допомогою Revoke.cash або аналогічних інструментів і ставлення з підозрою до несподіваних запитів на підпис Permit2, доки вони не будуть перевірені.

FAQ

Що таке Permit2 від Uniswap і чому він створює ризик фішингу?

Permit2 дозволяє користувачам підписати одне поза ланцюгове повідомлення для затвердження кількох взаємодій з токенами одночасно. Одна шкідлива підписка може надати зловмиснику широкий і негайний доступ до всього гаманця користувача без додаткових підтверджень.

Як зловмисники експлуатували Permit2 у випадку втрати 1 мільйона доларів?

Зловмисники створювали сайти, що імітували легітимні платформи DeFi, і просили користувачів підписати повідомлення Permit2. Оскільки Permit2 не видає попереджень або підтверджень у ланцюгу, жертви не мали уявлення, що вони авторизують шкідливий контракт, що призводило до миттєвих несанкціонованих переказів коштів.

Який фінансовий вплив спричинив фішинг затверджень у криптоіндустрії?

З 2021 року фішинг затверджень спричинив понад 1 мільярд доларів задокументованих збитків. Він став частиною загальних збитків у 14 мільярдів доларів у 2025 році, зафіксованих Chainalysis, а дані CertiK показують, що у січні 2026 року фішинг і соціальна інженерія спричинили втрати на 370 мільйонів доларів.

Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.
Прокоментувати
0/400
Немає коментарів