Pepe Coin criptomoeda de meme, valoriza e entra no top 100 das criptomoedas
Shutterstock

A assinatura Permit2 da Uniswap, que começou como uma ferramenta para simplificar aprovações de tokens, agora se tornou um vetor de ataque comum no ecossistema DeFi.

Um investidor da memecoin Pepe (PEPE) se tornou a mais recente vítima de um golpe de phishing, perdendo US$ 1,39 milhão (R$ 7,8 milhões) em criptomoedas após assinar, sem saber, uma transação maliciosa Permit2 da Uniswap.

Publicidade

De acordo com a empresa de segurança cibernética ScamSniffer, os ativos roubados, incluindo tokens Pepe (PEPE), Microstrategy (MSTR) e Apu (APU), foram transferidos para uma nova carteira apenas uma hora após a vítima aprovar a transação.

https://twitter.com/realScamSniffer/status/1845503748514492492

Este incidente se soma a uma série de ataques que visam as vulnerabilidades nos recursos ‘Permit’ e ‘Permit2’ do Uniswap. Eles têm como objetivo reduzir o atrito em transações de criptomoedas — esvaziar as carteiras dos usuários com uma única assinatura.

A vítima assinou sem saber uma assinatura Permit2 fora da blockchain, o que concedeu ao invasor acesso irrestrito à sua carteira, de acordo com o ScamSniffer.

Em menos de uma hora, o golpista moveu os tokens roubados para um novo endereço, deixando a vítima com perdas significativas.

Publicidade

A Uniswap introduziu o Permit2 em 2022 para melhorar a experiência do usuário, permitindo que vários tokens sejam aprovados de uma só vez, economizando em taxas de gás. No entanto, essa conveniência se tornou uma faca de dois gumes.

Em um ataque de phishing típico do Permit2, os golpistas atraem os usuários para assinar uma assinatura off-chain por meio de sites de phishing ou interfaces falsas de aplicativos descentralizados (dApp), de acordo com um relatório do Gate.io.

A assinatura parece inofensiva, mas na verdade autoriza o invasor a executar duas ações críticas dentro do contrato Permit2 — Permitir e Transferir de — dando a ele controle sobre os tokens da vítima.

Uma vez que a transação é assinada, o golpista move rapidamente os tokens para seu próprio endereço. Como a aprovação da assinatura Permit2 acontece off-chain, os usuários não veem imediatamente nenhuma atividade suspeita no blockchain.

Publicidade

Quando a transação chega ao blockchain e os tokens são transferidos, o dano já foi feito.

Esse processo de aprovação fora da rede é o que torna os ataques de phishing Permit2 tão perigosos, pois permite que os invasores esvaziem carteiras inteiras com uma única assinatura.

O Permit2, por padrão, autoriza o acesso a todo o saldo do token, a menos que o usuário defina manualmente um limite, uma etapa que muitos ignoram.

Procurada para comentar o assunto, a Uniswap não retornou imediatamente ao pedido.

A tendência de permitir golpes de phishing

Este ataque não é um caso isolado. Ele faz parte de uma tendência crescente de golpes de phishing explorando o recurso Permit2.

Só neste mês, houve dois outros incidentes envolvendo o Permit2: um investidor perdeu 15.079 fwdETH (no valor de aproximadamente US$ 36 milhões) em um golpe de phishing Permit em 11 de outubro, que seguiu outra vítima perdendo US$ 2,47 milhões em sDAI da Aave, blockchain de segunda camada Ethereum, em um ataque de phishing semelhante no dia anterior.

Em setembro, as coisas estavam ainda piores. Um usuário perdeu 12.083 spWETH (avaliados em US$ 32,43 milhões) após assinar uma assinatura fraudulenta Permit2 e outro viu US$ 127.141 em tokens Neiro retirados de sua carteira por causa de um golpe de phishing usando a aprovação do Uniswap Permit2.

Publicidade

Em resposta a esses ataques contínuos, a MetaMask supostamente melhorou a legibilidade das assinaturas Permit e Permit2, tornando mais fácil para os usuários reconhecerem as permissões que estão concedendo.

A ameaça de phishing e outros vetores de ataque no espaço cripto foi destacada no recente relatório de segurança Web3 da CertiK. Os golpes de phishing revelados e comprometimentos de chaves privadas foram responsáveis ​​pela maioria das perdas, com o phishing sozinho causando US$ 343 milhões em danos.

*Traduzido e editado com autorização do Decrypt.

  • Com Staking de Solana, você pode ganhar até 4,45% ao ano* + a valorização do ativo no longo prazo. Tenha renda passiva em cripto e receba recompensas a cada 3 dias. Abra sua conta no MB e comece já! *Consulte condições.
VOCÊ PODE GOSTAR
Imagem da matéria: Brasileiro vai parar no hospital por estresse após perder carteira com R$ 2 milhões em Bitcoin

Brasileiro vai parar no hospital por estresse após perder carteira com R$ 2 milhões em Bitcoin

O youtuber e pianista vendeu Bitcoin na baixa, comprou outros 4 BTC na alta e, posteriormente, perdeu o acesso à carteira
Imagem da matéria: ETF de Bitcoin da BlackRock bate recorde de entradas ao captar US$ 1,1 bilhão

ETF de Bitcoin da BlackRock bate recorde de entradas ao captar US$ 1,1 bilhão

O IBIT da BlackRock subiu em meio ao momento mais favorável do mercado, com um analista prevendo fluxos de entrada sustentados até a próxima semana
Uma pessoa segura um celular que mostra figuras grandes e vermelhas em formato triangular de alerta de vírus

Popular carteira da Solana pede que usuários façam backup com urgência

Usuários que não fizeram backup das chaves privadas perderam o acesso aos seus fundos após baixar uma atualização
criptomoedas saindo de tela de celular

Além do Bitcoin: Ethereum, Solana e mais 3 criptomoedas que bateram recordes de preço

Com o Bitcoin batendo todos os recordes com sua alta acima dos 30% no mês e chegando a US$ 82 mil, muitas altcoins também estão subindo