Por Vismaya V
4 min lectura
La firma de Uniswap Permit2, que comenzó como una herramienta para simplificar las aprobaciones de tokens, ahora se ha convertido en un vector de ataque común en el ecosistema DeFi.
Un titular de tokens PEPE se convirtió en la última víctima de una estafa de phishing, perdiendo $1,39 millones de dólares en criptomonedas después de firmar involuntariamente una transacción maliciosa de Uniswap Permit2.
Según la firma de ciberseguridad ScamSniffer, los activos robados, incluidos los tokens Pepe (PEPE), Microstrategy (MSTR) y Apu (APU), fueron transferidos a una nueva billetera justo una hora después de que la víctima aprobara la transacción.
Este incidente se suma a una serie de ataques que apuntan a las vulnerabilidades en las funciones Permit y Permit2 de Uniswap. Estas están destinadas a reducir la fricción en las transacciones de criptomonedas, para vaciar las billeteras de los usuarios con una sola firma.
La víctima firmó involuntariamente una firma Permit2 off-chain, lo que otorgó al atacante acceso irrestricto a su billetera, según ScamSniffer.
En menos de una hora, el estafador transfirió los tokens robados a una nueva dirección, dejando a la víctima con pérdidas significativas.
Uniswap introdujo Permit2 en 2022 para mejorar la experiencia del usuario al permitir la aprobación de múltiples tokens de una sola vez, ahorrando en tarifas de gas. Sin embargo, esta conveniencia se ha convertido en una espada de doble filo.
En un típico ataque de phishing de Permit2, los estafadores atraen a los usuarios a firmar un permiso off-chain a través de sitios web de phishing o interfaces falsas de aplicaciones descentralizadas (dApp), según un informe de Gate.io.
La firma parece inofensiva, pero en realidad autoriza al atacante a realizar dos acciones críticas dentro del contrato Permit2: Permitir y Transferir Desde, dándoles control sobre los tokens de la víctima.
Una vez que la transacción es firmada, el estafador mueve rápidamente los tokens a su propia dirección. Debido a que la aprobación de la firma Permit2 ocurre off-chain, los usuarios no ven de inmediato ninguna actividad sospechosa en la blockchain.
Para cuando la transacción llega a la blockchain y los tokens son transferidos, el daño ya está hecho.
Este proceso de aprobación off-chain es lo que hace que los ataques de phishing de Permit2 sean tan peligrosos, ya que permite a los atacantes vaciar billeteras enteras con una sola firma.
Por defecto, Permit2 autoriza el acceso al saldo completo de tokens a menos que el usuario establezca manualmente un límite, un paso que muchos pasan por alto.
Uniswap no respondió de inmediato a una solicitud de comentarios.
La tendencia de los ataques de phishing de Permit
Este ataque no es un caso aislado. Es parte de una tendencia creciente de estafas de phishing que explotan la función Permit2. Solo en este mes ha habido otros dos incidentes relacionados con Permit2: Un inversor perdió 15.079 fwdETH (valorados en aproximadamente $36 millones) en una estafa de phishing de Permit el 11 de octubre, que siguió a otra víctima que perdió $2,47 millones en Aave Ethereum sDAI en un ataque de phishing similar el día anterior.
En septiembre, las cosas fueron aún peores. Un usuario perdió 12.083 spWETH (valorados en $32,43 millones) después de firmar una firma fraudulenta de Permit2 y otro vio cómo le robaban $127.141 en tokens Neiro de su billetera debido a una estafa de phishing que utilizaba la aprobación Uniswap Permit2.
En respuesta a estos ataques continuos, se informa que MetaMask ha mejorado la legibilidad de las firmas de Permit y Permit2, facilitando a los usuarios reconocer los permisos que están otorgando.
La amenaza de phishing y otros vectores de ataque en el espacio cripto fue destacada en el reciente informe de seguridad Web3 de CertiK. Las estafas de phishing y compromisos de claves privadas revelados representaron la mayoría de las pérdidas, con los ataques de phishing causando $343 millones en daños.
Editado por Stacy Elliott.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.