Uniswap Permit2 签名，最初作为简化代币授权的工具，现在已成为 DeFi 生态系统中常见的攻击向量。

一位 PEPE 代币持有者成为最新的网络钓鱼诈骗受害者，在不知情的情况下签署了恶意的 Uniswap Permit2 交易，损失了价值 139 万美元的加密货币。

根据网络安全公司 ScamSniffer 的说法，被盗资产包括 Pepe (PEPE)、Microstrategy (MSTR) 和 Apu (APU) 代币，在受害者批准交易后仅一个小时就被转移到一个新钱包。

这一事件增加了一系列针对 Uniswap 的 Permit 和 Permit2 功能漏洞的攻击。这些功能旨在减少加密交易的摩擦——通过一次签名就能清空用户的钱包。

根据 ScamSniffer 的说法，受害者在不知情的情况下签署了一个链下的 Permit2 签名，这使得攻击者可以无限制地访问他们的钱包。

在不到一个小时的时间里，诈骗者将被盗代币转移到一个新的 地址，使受害者遭受重大损失。

Uniswap 于 2022 年推出 Permit2，以通过允许一次性批准多个代币来改善用户体验，从而节省燃气费用。然而，这种便利性已成为一把双刃剑。

在典型的 Permit2 网络钓鱼攻击中，诈骗者通过网络钓鱼网站或虚假的去中心化应用程序 (dApp) 界面诱使用户签署链下签名，正如 Gate.io 报告 所述。

该签名看似无害，但实际上授权攻击者在 Permit2 合约中执行两个关键操作——Permit 和 Transfer From——使他们能够控制受害者的代币。

一旦交易被签署，诈骗者迅速将代币转移到他们自己的地址。由于 Permit2 签名批准发生在链下，用户不会立即在区块链上看到任何可疑活动。

当交易到达区块链并且代币被转移时，损害已经造成。

这种链下批准过程使得 Permit2 网络钓鱼攻击如此危险，因为它使攻击者能够通过一次签名清空整个钱包。

默认情况下，Permit2 授权访问整个代币余额，除非用户手动设置限制，而许多人对此步骤视而不见。

Uniswap 并未立即回应置评请求。

Permit 网络钓鱼诈骗的趋势

这一攻击并非个案。它是利用 Permit2 功能的网络钓鱼诈骗上升趋势的一部分。仅在本月，就发生了另外两起涉及 Permit2 的事件：一位投资者在 10 月 11 日 的 Permit 网络钓鱼诈骗中损失了 15,079 fwdETH（约合 3600 万美元），而在前一天，另一位受害者在类似的网络钓鱼攻击中损失了价值 247 万美元的 Aave Ethereum sDAI 链接。

在九月份，情况更糟。一位用户 在签署了一个欺诈性的 Permit2 签名后损失了 12,083 spWETH（价值 3243 万美元），而 另一位用户 则因使用 Uniswap Permit2 授权的网络钓鱼诈骗而损失了价值 127,141 美元的 Neiro 代币。

针对这些持续的攻击，MetaMask 据报道已改善了 Permit 和 Permit2 签名的可读性，使用户更容易识别他们所授予的权限。

最近的 CertiK Web3 安全报告 突出了加密领域网络钓鱼和其他攻击向量的威胁。报告显示，网络钓鱼诈骗和私钥泄露占据了大部分损失，仅网络钓鱼就造成了 3.43 亿美元的损失。

编辑：Stacy Elliott。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。