A assinatura Permit2 da Uniswap, que começou como uma ferramenta para simplificar aprovações de tokens, agora se tornou um vetor de ataque comum no ecossistema DeFi.
Um investidor da memecoin Pepe (PEPE) se tornou a mais recente vítima de um golpe de phishing, perdendo US$ 1,39 milhão (R$ 7,8 milhões) em criptomoedas após assinar, sem saber, uma transação maliciosa Permit2 da Uniswap.
De acordo com a empresa de segurança cibernética ScamSniffer, os ativos roubados, incluindo tokens Pepe (PEPE), Microstrategy (MSTR) e Apu (APU), foram transferidos para uma nova carteira apenas uma hora após a vítima aprovar a transação.
Este incidente se soma a uma série de ataques que visam as vulnerabilidades nos recursos ‘Permit’ e ‘Permit2’ do Uniswap. Eles têm como objetivo reduzir o atrito em transações de criptomoedas — esvaziar as carteiras dos usuários com uma única assinatura.
A vítima assinou sem saber uma assinatura Permit2 fora da blockchain, o que concedeu ao invasor acesso irrestrito à sua carteira, de acordo com o ScamSniffer.
Em menos de uma hora, o golpista moveu os tokens roubados para um novo endereço, deixando a vítima com perdas significativas.
A Uniswap introduziu o Permit2 em 2022 para melhorar a experiência do usuário, permitindo que vários tokens sejam aprovados de uma só vez, economizando em taxas de gás. No entanto, essa conveniência se tornou uma faca de dois gumes.
Em um ataque de phishing típico do Permit2, os golpistas atraem os usuários para assinar uma assinatura off-chain por meio de sites de phishing ou interfaces falsas de aplicativos descentralizados (dApp), de acordo com um relatório do Gate.io.
A assinatura parece inofensiva, mas na verdade autoriza o invasor a executar duas ações críticas dentro do contrato Permit2 — Permitir e Transferir de — dando a ele controle sobre os tokens da vítima.
Uma vez que a transação é assinada, o golpista move rapidamente os tokens para seu próprio endereço. Como a aprovação da assinatura Permit2 acontece off-chain, os usuários não veem imediatamente nenhuma atividade suspeita no blockchain.
Quando a transação chega ao blockchain e os tokens são transferidos, o dano já foi feito.
Esse processo de aprovação fora da rede é o que torna os ataques de phishing Permit2 tão perigosos, pois permite que os invasores esvaziem carteiras inteiras com uma única assinatura.
O Permit2, por padrão, autoriza o acesso a todo o saldo do token, a menos que o usuário defina manualmente um limite, uma etapa que muitos ignoram.
Procurada para comentar o assunto, a Uniswap não retornou imediatamente ao pedido.
A tendência de permitir golpes de phishing
Este ataque não é um caso isolado. Ele faz parte de uma tendência crescente de golpes de phishing explorando o recurso Permit2.
Só neste mês, houve dois outros incidentes envolvendo o Permit2: um investidor perdeu 15.079 fwdETH (no valor de aproximadamente US$ 36 milhões) em um golpe de phishing Permit em 11 de outubro, que seguiu outra vítima perdendo US$ 2,47 milhões em sDAI da Aave, blockchain de segunda camada Ethereum, em um ataque de phishing semelhante no dia anterior.
Em setembro, as coisas estavam ainda piores. Um usuário perdeu 12.083 spWETH (avaliados em US$ 32,43 milhões) após assinar uma assinatura fraudulenta Permit2 e outro viu US$ 127.141 em tokens Neiro retirados de sua carteira por causa de um golpe de phishing usando a aprovação do Uniswap Permit2.
Em resposta a esses ataques contínuos, a MetaMask supostamente melhorou a legibilidade das assinaturas Permit e Permit2, tornando mais fácil para os usuários reconhecerem as permissões que estão concedendo.
A ameaça de phishing e outros vetores de ataque no espaço cripto foi destacada no recente relatório de segurança Web3 da CertiK. Os golpes de phishing revelados e comprometimentos de chaves privadas foram responsáveis pela maioria das perdas, com o phishing sozinho causando US$ 343 milhões em danos.
*Traduzido e editado com autorização do Decrypt.
- Com Staking de Solana, você pode ganhar até 4,45% ao ano* + a valorização do ativo no longo prazo. Tenha renda passiva em cripto e receba recompensas a cada 3 dias. Abra sua conta no MB e comece já! *Consulte condições.