Posiadacz tokena PEPE niedawno padł ofiarą wyrafinowanego ataku phishingowego, tracąc kryptowalutę o wartości 1,39 mln USD po nieświadomym podpisaniu złośliwej transakcji Uniswap Permit2. Oto, co musisz wiedzieć:

🔴 Co się stało?

Według firmy cyberbezpieczeństwa ScamSniffer, ofiara nieumyślnie podpisała pozałańcuchowy podpis Permit2, przyznając atakującemu nieograniczony dostęp do swojego portfela. Skradzione aktywa obejmowały tokeny Pepe (PEPE), Microstrategy (MSTR) i Apu (APU), które zostały szybko przeniesione do nowego portfela zaledwie godzinę po zatwierdzeniu.

⚠️ O zezwoleniu Uniswap Permit2:

Uniswap Permit2 został pierwotnie wprowadzony w celu uproszczenia zatwierdzania tokenów i zaoszczędzenia na opłatach za gaz. Jednak ta funkcja stała się teraz powszechnym wektorem ataku w ekosystemie DeFi, a oszuści wykorzystują jej mechanizm podpisu poza łańcuchem, aby oszukać użytkowników i zrzec się kontroli nad swoimi funduszami.

🚫 Jak działają ataki phishingowe Permit2?

Oszuści wykorzystują witryny phishingowe lub fałszywe interfejsy zdecentralizowanej aplikacji (dApp), aby zwabić ofiary do podpisania złośliwego podpisu poza łańcuchem. Podpis wydaje się nieszkodliwy, ale w rzeczywistości upoważnia atakujących do wykonywania działań Permit i Transfer From, przyznając im kontrolę nad tokenami. Ponieważ zatwierdzenie następuje poza łańcuchem, użytkownicy pozostają nieświadomi żadnej podejrzanej aktywności, dopóki nie jest za późno.

🔍 Dlaczego to jest niebezpieczne?

Proces zatwierdzania poza łańcuchem sprawia, że ​​ataki te są szczególnie podstępne, umożliwiając atakującym opróżnienie całych portfeli za pomocą jednego podpisu. Domyślnie Permit2 zezwala na dostęp do całego salda tokenów, chyba że zostanie ręcznie ograniczony — krok, który wielu użytkowników często pomija.

📊 Szerszy obraz:

Ten incydent jest częścią rosnącego trendu oszustw phishingowych Permit2 w przestrzeni kryptograficznej. Tylko w tym miesiącu inne ofiary straciły ponad 38 milionów dolarów w podobnych atakach, co podkreśla podatności w ekosystemie DeFi. Według raportu bezpieczeństwa Web3 firmy CertiK, phishing i naruszenia kluczy prywatnych stanowiły większość strat kryptograficznych, łącznie 343 miliony dolarów strat.

🔐 Zachowaj bezpieczeństwo w DeFi:

- Zawsze dokładnie sprawdzaj uprawnienia, które chcesz przyznać, zanim podpiszesz jakąkolwiek transakcję, zwłaszcza poza łańcuchem.

- Używaj bezpiecznych portfeli i włącz dodatkowe funkcje bezpieczeństwa.

- Bądź na bieżąco z najnowszymi metodami phishingu i nie klikaj podejrzanych linków.

👉 Obserwuj nas, aby otrzymywać więcej informacji na temat tego, jak chronić swoje aktywa kryptowalutowe i być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa w świecie DeFi! 🔒