La herramienta Uniswap Permit2, usada para simplificar las aprobaciones de tokens, se ha visto comprometida con una de las modalidades de ataque más comunes en el ecosistema DeFi. Una víctima a rubricado en Permit2 sin saber que lo estaba haciendo fuera de la cadena.
Un poseedor de tokens PEPE se ha convertido en la más reciente víctima de un ataque phishing. Tras firmar sin saberlo una transacción maliciosa perdió $1,39 millones en criptomonedas. La operación fue monitoreada por la firma de ciberseguridad, ScamSniffer, quienes determinaron que los activos robados fueron transferidos a una nueva billetera. El usuario perdió una cantidad millonaria en tokens Pepe (PEPE), Microstrategy (MSTR) y Apu (APU).
🚨💔 A victim lost $317,849 worth of MAGA due to signing a Uniswap Permit2 phishing signature. pic.twitter.com/7fxiJzdrtv
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) May 31, 2024
ScamSniffer confirmó la transferencia a la billetera del malhechor una hora después de que la víctima aprobara la transacción. Este incidente no solo se suma a otros ataques similares, sino que además pone en duda la seguridad y expone las vulnerabilidades de las funciones Permit y Permit2 de Uniswap. El objetivo de Permit2 es reducir la fricción en las transacciones de criptomonedas. Un ataque a herramienta permite vaciar las billeteras de los usuarios con una sola firma.
🚨 3 hours ago, another victim lost $1.57M after signing a "permit" phishing signature.💸 pic.twitter.com/wDGZIMdJ7N
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) October 15, 2024
Uniswap introdujo Permit2 en 2022. La intención fue mejorar la experiencia del usuario al permitir la aprobación de varios tokens a la vez. Permitiendo así ahorrar en tarifas de gas, pero esta comodidad es hoy un arma de doble filo para los usuarios. El ataque phishing a esta herramienta permite a los estafadores mover los tokens a una nueva dirección casi de inmediato, dejando a las víctimas con pérdidas significativas.
Te puede interesar: FBI Creó un Token Para Atrapar Estafadores
Este no es un ataque aislado
Gate.io califica este ataque como “típico de Permit2 y es además muy común. El modus de los estafadores es atraer a los usuarios para que aprueben con su rúbrica digital una firma fuera de la cadena. Usan sitios web de phishing o interfaces de aplicaciones descentralizadas (dApp) falsas.
La firma de seguridad blockchain también alerta que “esto no es un caso aislado”. Ellos han identificado varios casos similares que ya han generado una tendencia creciente de estafas de phishing que explotan la función Permit2. El 11 de octubre se reportó otro ataque millonario: un inversor perdió 36 millones de dólares en 15.079 fwdETH sustraídos de su billetera.
how to avoid being phished?
be cautious of phishing attempts in these common scenarios,
and familiarize yourself with common phishing signatures that can lead to the theft of your assets. https://t.co/FbeOaGkoqU pic.twitter.com/TXgDTWrfwl
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) February 4, 2024
El problema está en el proceso de aprobación fuera de la cadena. La firma puede resultar inofensiva, pero en realidad es una puerta a las billeteras. Autoriza al atacante a realizar dos acciones críticas dentro del contrato Permit2 (Permitir y Transferir desde). Con esa firma fuera de cadena el hacker tiene el control total sobre los tokens de la víctima. Es por esto que los ataques de phishing de Permit2 son tan peligrosos.
🚨 25 mins ago, a PEPE holder lost $1.39M worth of PEPE, MSTR, and APU after signing a "permit2" phishing signature.💸 pic.twitter.com/Wf4nd8eFxl
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) October 13, 2024
Es importante destacar que el phishing y otros vectores de ataque en el espacio criptográfico se han convertido en una gran amenaza. CertiK, en su informe de seguridad Web3, alertó sobre las estafas de phishing y las violaciones de claves privadas reveladas. Estás representaron la mayoría de las pérdidas en lo que va de 2024. El phishing por sí solo causó daños por 343 millones de dólares.
