Трейдер потерял 1 миллион долларов в результате фишинговой атаки с использованием Permit2 в Uniswap

UNI2,23%
VIRTUAL0,68%
AIRDROP-3,94%

Криптовалютный трейдер потерял примерно 1 миллион долларов после того, как стал жертвой фишинговой атаки, использующей функцию Permit2 в Uniswap, согласно последним сообщениям. Злоумышленник обманом заставил жертву подписать вредоносное сообщение, которое предоставляло полный доступ к кошельку, при этом не было обнаружено уязвимостей протокола или технических сбоев. Инцидент произошёл в рамках более широкой эпидемии фишинга, которая в 2025 году принесла в общей сложности 14 миллиардов долларов потерь на блокчейне, что больше 12 миллиардов в 2024 году, согласно отчёту Chainalysis о криптовой преступности за 2026 год. Атака удалась потому, что трейдер подписал оффчейн-авторизацию, которая, по его мнению, была легитимной, что демонстрирует, как функция удобства Permit2 может стать вектором атаки при взаимодействии пользователей с обманными интерфейсами.

Трейдер теряет 1 миллион долларов в фишинговой атаке с Permit2 в Uniswap

Потеря в 1 миллион долларов произошла в результате фишинговой атаки, использующей контракт Permit2 в Uniswap — систему одобрения токенов, предназначенную для упрощения взаимодействий в DeFi. Permit2 позволяет одной оффчейн-подписью одобрить сразу несколько взаимодействий с токенами, устраняя необходимость в отдельных транзакциях на блокчейне для каждого протокола. Другой жертвой подобной атаки, связанной с токеном $VIRTUAL , потеряно примерно 196 тысяч долларов. В обоих случаях не было технических уязвимостей протокола Uniswap — атаки прошли за счёт обмана пользователей, а не из-за уязвимостей смарт-контрактов. Фишинговые сайты маскировались под легитимные интерфейсы DeFi, включая страницы получения аирдропов и экраны обмена, чтобы убедительно запрашивать подписи Permit2 в подходящие моменты. После подписи вредоносные контракты получали мгновенный доступ к полным портфелям жертв без дополнительных подтверждений.

Фишинг с одобрениями принес 14 миллиардов долларов потерь на блокчейне в 2025 году

На блокчейне было зафиксировано не менее 14 миллиардов долларов потерь в 2025 году, что больше 12 миллиардов в 2024 году, согласно отчёту Chainalysis о криптовой преступности за 2026 год. Только в январе 2026 года фишинг и социальная инженерия привели к потерям в 370 миллионов долларов, из которых один инцидент составил 284 миллиона долларов, по данным CertiK. С 2021 года фишинг с одобрениями ответственен за более чем миллиард долларов зарегистрированных потерь. Потери, связанные с выводом средств с кошельков, снизились на 83% в 2025 году, до примерно 84 миллионов долларов, что свидетельствует о снижении этого вектора атак благодаря устранению инфраструктурных уязвимостей. Однако фишинг с одобрениями работает на другой инфраструктуре, эксплуатирующей легитимные механизмы протоколов, а не внедряющей вредоносные контракты. Операция Atlantic, проведённая в апреле 2026 года, привела к заморозке примерно 12 миллионов долларов, связанных с схемами фишинга с одобрениями.

Revoke.cash и инструменты проверки помогают защититься от фишинга Permit2

Revoke.cash позволяет пользователям проверять и отменять ожидающие одобрения токенов, включая разрешения Permit2. Проведение проверки отмены после взаимодействия с новым или незнакомым протоколом ограничивает ущерб, если было выдано вредоносное разрешение. Перед подписанием любого запроса на одобрение важно проверять адреса контрактов, так как фишинговые сайты созданы так, чтобы быть визуально неотличимыми от легитимных платформ. Аппаратные кошельки добавляют слой физического подтверждения, но не защищают от подписания вредоносного сообщения на скомпрометированном сайте — если пользователь подключит аппаратный кошелек к вредоносному сайту и вручную подтвердит запрос подписи Permit2, физическое устройство станет частью атаки, а не защитой. Защитные меры включают проверку адресов контрактов в каждом запросе на подпись по сравнению с известными легитимными адресами, регулярные аудиты с помощью Revoke.cash или аналогичных инструментов и скептическое отношение к неожиданным запросам подписи Permit2 до их проверки.

FAQ

Что такое Uniswap Permit2 и почему он создает риск фишинга?

Permit2 позволяет пользователям подписывать одно оффчейн-сообщение для одобрения нескольких взаимодействий с токенами одновременно. Одна вредоносная подпись может дать злоумышленнику широкий, мгновенный доступ к всему кошельку пользователя без дополнительных подтверждений.

Как злоумышленники использовали Permit2 в случае с потерей 1 миллиона долларов?

Злоумышленники создали сайты, маскирующиеся под легитимные платформы DeFi, и предлагали пользователям подписать сообщения Permit2. Поскольку Permit2 не вызывает предупреждений или подтверждений на блокчейне, жертвы не подозревали, что авторизуют вредоносный контракт, что приводило к немедленным несанкционированным переводам средств.

Какой финансовый ущерб нанесла криптоиндустрии фишинг с одобрениями?

Фишинг с одобрениями вызвал более миллиарда долларов зарегистрированных потерь с 2021 года. Он стал частью общего ущерба в 14 миллиардов долларов, зафиксированного Chainalysis за 2025 год, а данные CertiK показывают, что только в январе 2026 года фишинг и социальная инженерия привели к потерям в 370 миллионов долларов.

Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев