Pepe Holder 在 Uniswap Permit2 网络钓鱼攻击中损失 140 万美元

据 ScamSniffer 称，受害者在不知情的情况下签署了链外 Permit2 签名，这使得攻击者可以不受限制地访问他们的钱包。

Uniswap Permit2 签名最初是简化代币审批的工具，现在已成为 DeFi 生态系统中常见的攻击载体。

一名 PEPE 代币持有者成为网络钓鱼骗局的最新受害者，在不知情的情况下签署了恶意的 Uniswap Permit2 交易，损失了价值 139 万美元的加密货币。

据网络安全公司 ScamSniffer 称，被盗资产（包括 Pepe (PEPE)、Microstrategy (MSTR) 和 Apu (APU) 代币）在受害者批准交易后仅一个小时就被转移到了一个新钱包中。

这起事件是针对 Uniswap 的 Permit 和 Permit2 功能漏洞的一系列攻击的又一起。这两项功能旨在减少加密货币交易中的摩擦，只需一次签名就能清空用户的钱包。

根据 ScamSniffer 的说法，受害者在不知情的情况下签署了一个链外 Permit2 签名，这使得攻击者可以不受限制地访问他们的钱包。

在不到一个小时的时间里，骗子就将盗取的代币转移到了一个新地址，给受害者造成了巨大损失。

Uniswap 于 2022 年推出 Permit2，允许一次性批准多个代币，节省了加油费，从而改善了用户体验。然而，这种便利也成了一把双刃剑。

根据Gate.io的一份报告，在典型的Permit2钓鱼攻击中，骗子会通过钓鱼网站或虚假的去中心化应用程序（dApp）接口诱骗用户签署链外签名。

该签名看似无害，但实际上授权攻击者在 Permit2 合约中执行两个关键操作--"许可"（Permit2）和 "转出"（Transfer From）--从而控制受害者的代币。

一旦交易被签署，骗子就会迅速将代币转移到自己的地址。由于 Permit2 签名批准是在链外进行的，因此用户不会立即在区块链上看到任何可疑活动。

当交易到达区块链并转移代币时，损失已经造成。

这种链外审批流程使得 Permit2 网络钓鱼攻击变得如此危险，因为它使攻击者只需一个签名就能榨干整个钱包。

Permit2 在默认情况下会授权访问全部代币余额，除非用户手动设置限制，但很多人都忽略了这一步。

Uniswap 没有立即回复置评请求。

许可证钓鱼欺诈的趋势

这次攻击并非个案。这是利用 Permit2 功能进行网络钓鱼诈骗的上升趋势的一部分。仅本月就发生了两起涉及 Permit2 的事件：10 月 11 日，一名投资者在 Permit 钓鱼诈骗中损失了 15,079 fwdETH（价值约 3,600 万美元），前一天，另一名受害者在类似的钓鱼攻击中损失了价值 247 万美元的 Aave Ethereum sDAI。

9 月份的情况更糟。一名用户在签署了欺诈性 Permit2 签名后损失了 12083 个 spWETH（价值 3243 万美元），另一名用户则因为使用 Uniswap Permit2 批准的网络钓鱼骗局而从钱包中损失了价值 127141 美元的 Neiro 代币。

据报道，为了应对这些持续不断的攻击，MetaMask 已经改进了 Permit 和 Permit2 签名的可读性，使用户更容易识别他们授予的权限。

CertiK 最近发布的 Web3 安全报告强调了网络钓鱼和加密领域其他攻击载体的威胁。报告显示，网络钓鱼诈骗和私钥泄露占了大部分损失，仅网络钓鱼就造成了 3.43 亿美元的损失。

编辑：Stacy Elliott

More News

• All
• CT
• Coindesk
• Decrypt
• DLNews