Pepe Coin criptomoeda de meme, valoriza e entra no top 100 das criptomoedas
Shutterstock
Autor
Tags
COMPARTILHAR
WhatsApp
Facebook
Twitter
Telegram
Mais

A assinatura Permit2 da Uniswap, que começou como uma ferramenta para simplificar aprovações de tokens, agora se tornou um vetor de ataque comum no ecossistema DeFi.

Um investidor da memecoin Pepe (PEPE) se tornou a mais recente vítima de um golpe de phishing, perdendo US$ 1,39 milhão (R$ 7,8 milhões) em criptomoedas após assinar, sem saber, uma transação maliciosa Permit2 da Uniswap.

Publicidade

De acordo com a empresa de segurança cibernética ScamSniffer, os ativos roubados, incluindo tokens Pepe (PEPE), Microstrategy (MSTR) e Apu (APU), foram transferidos para uma nova carteira apenas uma hora após a vítima aprovar a transação.

https://twitter.com/realScamSniffer/status/1845503748514492492

Este incidente se soma a uma série de ataques que visam as vulnerabilidades nos recursos ‘Permit’ e ‘Permit2’ do Uniswap. Eles têm como objetivo reduzir o atrito em transações de criptomoedas — esvaziar as carteiras dos usuários com uma única assinatura.

A vítima assinou sem saber uma assinatura Permit2 fora da blockchain, o que concedeu ao invasor acesso irrestrito à sua carteira, de acordo com o ScamSniffer.

Em menos de uma hora, o golpista moveu os tokens roubados para um novo endereço, deixando a vítima com perdas significativas.

Publicidade

A Uniswap introduziu o Permit2 em 2022 para melhorar a experiência do usuário, permitindo que vários tokens sejam aprovados de uma só vez, economizando em taxas de gás. No entanto, essa conveniência se tornou uma faca de dois gumes.

Em um ataque de phishing típico do Permit2, os golpistas atraem os usuários para assinar uma assinatura off-chain por meio de sites de phishing ou interfaces falsas de aplicativos descentralizados (dApp), de acordo com um relatório do Gate.io.

A assinatura parece inofensiva, mas na verdade autoriza o invasor a executar duas ações críticas dentro do contrato Permit2 — Permitir e Transferir de — dando a ele controle sobre os tokens da vítima.

Uma vez que a transação é assinada, o golpista move rapidamente os tokens para seu próprio endereço. Como a aprovação da assinatura Permit2 acontece off-chain, os usuários não veem imediatamente nenhuma atividade suspeita no blockchain.

Publicidade
Leia Também

Quando a transação chega ao blockchain e os tokens são transferidos, o dano já foi feito.

Esse processo de aprovação fora da rede é o que torna os ataques de phishing Permit2 tão perigosos, pois permite que os invasores esvaziem carteiras inteiras com uma única assinatura.

O Permit2, por padrão, autoriza o acesso a todo o saldo do token, a menos que o usuário defina manualmente um limite, uma etapa que muitos ignoram.

Procurada para comentar o assunto, a Uniswap não retornou imediatamente ao pedido.

A tendência de permitir golpes de phishing

Este ataque não é um caso isolado. Ele faz parte de uma tendência crescente de golpes de phishing explorando o recurso Permit2.

Só neste mês, houve dois outros incidentes envolvendo o Permit2: um investidor perdeu 15.079 fwdETH (no valor de aproximadamente US$ 36 milhões) em um golpe de phishing Permit em 11 de outubro, que seguiu outra vítima perdendo US$ 2,47 milhões em sDAI da Aave, blockchain de segunda camada Ethereum, em um ataque de phishing semelhante no dia anterior.

Em setembro, as coisas estavam ainda piores. Um usuário perdeu 12.083 spWETH (avaliados em US$ 32,43 milhões) após assinar uma assinatura fraudulenta Permit2 e outro viu US$ 127.141 em tokens Neiro retirados de sua carteira por causa de um golpe de phishing usando a aprovação do Uniswap Permit2.

Publicidade

Em resposta a esses ataques contínuos, a MetaMask supostamente melhorou a legibilidade das assinaturas Permit e Permit2, tornando mais fácil para os usuários reconhecerem as permissões que estão concedendo.

A ameaça de phishing e outros vetores de ataque no espaço cripto foi destacada no recente relatório de segurança Web3 da CertiK. Os golpes de phishing revelados e comprometimentos de chaves privadas foram responsáveis ​​pela maioria das perdas, com o phishing sozinho causando US$ 343 milhões em danos.

*Traduzido e editado com autorização do Decrypt.

  • Com Staking de Solana, você pode ganhar até 4,45% ao ano* + a valorização do ativo no longo prazo. Tenha renda passiva em cripto e receba recompensas a cada 3 dias. Abra sua conta no MB e comece já! *Consulte condições.
VOCÊ PODE GOSTAR
Imagem da matéria: Manhã Cripto: XRP desaba 11,4% após SEC recorrer em processo contra Ripple

Manhã Cripto: XRP desaba 11,4% após SEC recorrer em processo contra Ripple

“Se Gary Gensler e a SEC fossem racionais, eles teriam abandonado este caso há muito tempo”, disse CEO da Ripple
Imagem da matéria: Executivo da FTX é preso após tentar usar mordida de cachorro para adiar detenção

Executivo da FTX é preso após tentar usar mordida de cachorro para adiar detenção

O pedido mais recente de Ryan Salame para adiar sua prisão não foi concedido após ele parecer totalmente saudável em podcast com Tucker Carlson
Imagem da matéria: Nova parceria entre MB e Livelo vai dar até 6 mil pontos para clientes da corretora

Nova parceria entre MB e Livelo vai dar até 6 mil pontos para clientes da corretora

A nova parceria permite que os participantes do programa invistam em ativos de Renda Fixa Digital e acumulem pontos, que podem ser trocados por produtos, viagens e até cashback
Imagem da matéria: BC revela vazamento de 53 mil chaves Pix por instituição de pagamento

BC revela vazamento de 53 mil chaves Pix por instituição de pagamento

BC afirma que o vazamento ocorreu por conta “de falhas pontuais em sistemas dessa instituição” entre os dias 10 e 19 de setembro
Comentários
Carregando os comentários...