Một nhà giao dịch tiền điện tử đã mất khoảng 1 triệu đô la sau khi trở thành nạn nhân của một cuộc tấn công lừa đảo qua mạng khai thác tính năng Permit2 của Uniswap, theo các báo cáo gần đây. Kẻ tấn công đã lừa nhà giao dịch ký một tin nhắn độc hại cho phép truy cập toàn bộ ví, mà không có lỗ hổng nào trong giao thức hoặc vi phạm kỹ thuật. Sự cố xảy ra trong bối cảnh dịch vụ lừa đảo qua mạng lan rộng, đã gây thiệt hại tổng cộng 14 tỷ đô la trên chuỗi trong năm 2025, tăng từ 12 tỷ đô la năm 2024, theo Báo cáo Tội phạm Tiền điện tử 2026 của Chainalysis. Cuộc tấn công thành công vì nhà giao dịch đã ký một ủy quyền ngoài chuỗi mà họ nghĩ là hợp lệ, cho thấy tính tiện lợi của Permit2 có thể trở thành một kênh tấn công khi người dùng tương tác với các giao diện lừa đảo.
Số tiền 1 triệu đô la bị mất xuất phát từ một cuộc tấn công lừa đảo khai thác hợp đồng Permit2 của Uniswap, một hệ thống phê duyệt token nhằm đơn giản hóa các tương tác DeFi. Permit2 cho phép ký một tin nhắn ngoài chuỗi để phê duyệt nhiều tương tác token cùng lúc, loại bỏ nhu cầu thực hiện các giao dịch trên chuỗi riêng biệt cho từng tương tác với giao thức. Một nạn nhân khác đã mất khoảng 196 nghìn đô la trong một cuộc tấn công tương tự liên quan đến token $VIRTUAL . Trong cả hai trường hợp, không có vi phạm kỹ thuật nào xảy ra trong giao thức của Uniswap — các cuộc tấn công thành công nhờ lừa đảo người dùng thay vì lỗ hổng hợp đồng thông minh. Các trang lừa đảo giả mạo giao diện DeFi hợp pháp, bao gồm các trang yêu cầu nhận airdrop và màn hình hoán đổi, để trình bày các yêu cầu ký Permit2 thuyết phục vào thời điểm thích hợp. Sau khi ký, các hợp đồng độc hại ngay lập tức truy cập toàn bộ danh mục ví của nạn nhân mà không cần xác nhận thêm.
Các vụ lừa đảo trên chuỗi đã gây thiệt hại ít nhất 14 tỷ đô la trong năm 2025, tăng từ 12 tỷ đô la năm 2024, theo Báo cáo Tội phạm Tiền điện tử 2026 của Chainalysis. Riêng tháng 1 năm 2026, các vụ lừa đảo qua mạng và kỹ thuật xã hội đã chiếm 370 triệu đô la tổng thiệt hại tiền điện tử, trong đó một vụ chiếm 284 triệu đô la, theo dữ liệu của CertiK. Từ năm 2021, lừa đảo phê duyệt đã gây ra hơn 1 tỷ đô la thiệt hại được báo cáo. Các thiệt hại liên quan đến rút tiền khỏi ví giảm 83% trong năm 2025, còn khoảng 84 triệu đô la, cho thấy các chiến dịch triệt phá hạ tầng nhắm mục tiêu đã giảm thiểu kênh tấn công này. Tuy nhiên, lừa đảo phê duyệt vẫn hoạt động trên hạ tầng khác, khai thác cơ chế hợp thức của giao thức chứ không phải hợp đồng độc hại có thể triển khai. Chiến dịch Atlantic, thực hiện vào tháng 4 năm 2026, đã dẫn đến phong tỏa khoảng 12 triệu đô la liên quan đến các scheme lừa đảo phê duyệt.
Revoke.cash cho phép người dùng kiểm tra và hủy các phê duyệt token còn tồn đọng, bao gồm quyền Permit2. Thực hiện kiểm tra thu hồi sau khi tương tác với bất kỳ giao thức mới hoặc không quen thuộc nào giúp giới hạn thiệt hại nếu một quyền phê duyệt độc hại được cấp. Việc xác minh địa chỉ hợp đồng trước khi ký bất kỳ yêu cầu phê duyệt nào là rất quan trọng, vì các trang lừa đảo được xây dựng để trông giống hệt các nền tảng hợp pháp. Ví phần cứng cung cấp lớp xác nhận vật lý nhưng không bảo vệ khỏi việc ký một tin nhắn độc hại trên trang bị xâm phạm — nếu người dùng kết nối ví phần cứng với trang độc hại và xác nhận thủ công yêu cầu ký Permit2, thiết bị vật lý trở thành một phần của cuộc tấn công thay vì biện pháp phòng vệ. Các thực hành phòng thủ bao gồm xác minh địa chỉ hợp đồng trong mọi yêu cầu ký, thực hiện kiểm tra định kỳ bằng Revoke.cash hoặc các công cụ tương tự, và thận trọng với các yêu cầu ký Permit2 bất ngờ cho đến khi xác minh rõ ràng.
Permit2 của Uniswap là gì và tại sao nó tạo ra rủi ro lừa đảo?
Permit2 cho phép người dùng ký một tin nhắn ngoài chuỗi để phê duyệt nhiều tương tác token cùng lúc. Một chữ ký độc hại duy nhất có thể cấp quyền truy cập rộng rãi, ngay lập tức vào toàn bộ ví của người dùng mà không cần thêm bước xác nhận nào.
Các kẻ tấn công đã khai thác Permit2 như thế nào trong vụ mất 1 triệu đô la?
Kẻ tấn công tạo ra các trang giả mạo nền tảng DeFi hợp pháp và yêu cầu người dùng ký các tin nhắn Permit2. Vì Permit2 không tạo cảnh báo hoặc màn hình xác nhận trên chuỗi, nạn nhân không nhận biết được họ đang ủy quyền cho hợp đồng độc hại, dẫn đến chuyển khoản ngay lập tức các quỹ trái phép.
Lừa đảo phê duyệt đã gây ra tác động tài chính như thế nào trong ngành tiền điện tử?
Lừa đảo phê duyệt đã gây ra hơn 1 tỷ đô la thiệt hại được báo cáo kể từ năm 2021. Nó góp phần vào tổng thiệt hại 14 tỷ đô la trên chuỗi trong năm 2025 theo Chainalysis, và dữ liệu của CertiK cho thấy riêng tháng 1 năm 2026, lừa đảo qua mạng và kỹ thuật xã hội đã gây thiệt hại 370 triệu đô la.
Tin tức liên quan
Ngành công nghiệp tiền điện tử chuẩn bị đối mặt với mối đe dọa của máy tính lượng tử đối với mã hóa blockchain
DAXA Cảnh báo về các trang web lừa đảo giả mạo các sàn giao dịch tiền điện tử Hàn Quốc
Nhà giao dịch Ethereum mất $2M trong khai thác backrun đơn khối trên Uniswap
Hoán đổi Ether trị giá 2 triệu USD kết thúc tại $14K sau lỗi định tuyến thanh khoản thấp