交易员在 Uniswap Permit2 钓鱼攻击中损失 100 万美元

UNI2.06%
VIRTUAL-1.09%
AIRDROP-3.94%

据最新报道,一名加密货币交易者在利用 Uniswap 的 Permit2 功能进行钓鱼攻击后,损失了大约 100 万美元。攻击者诱使受害者签署一条恶意信息,授予其完全的钱包访问权限,整个过程没有涉及协议漏洞或技术入侵。此次事件是2025年总链上诈骗损失达 140 亿美元的更广泛钓鱼疫情的一部分,较2024年的 120 亿美元有所增加,根据 Chainalysis 的 2026 年加密犯罪报告。此次攻击成功的原因在于交易者签署了他们认为合法的链下授权,展示了 Permit2 的便利功能在用户与欺骗界面交互时可能成为攻击向量。

交易者在 Uniswap Permit2 钓鱼攻击中损失 100 万美元

这次 100 万美元的损失源于利用 Uniswap 的 Permit2 合约的钓鱼攻击,Permit2 是一种旨在简化 DeFi 交互的代币授权系统。Permit2 允许通过单一链下签名同时批准多次代币交互,免去了每次协议交互都需单独链上交易的步骤。一名受害者在类似的 $VIRTUAL 代币攻击中也损失了约 19.6 万美元。在这两起案例中,Uniswap 协议本身没有技术漏洞——攻击通过用户欺骗而非智能合约漏洞实现。钓鱼网站冒充合法的 DeFi 界面,包括空投领取页面和兑换界面,在关键时刻呈现逼真的 Permit2 签名请求。一旦签署,恶意合约即可立即访问受害者的全部资产,无需额外确认。

2025 年批准钓鱼造成 140 亿美元链上诈骗损失

根据 Chainalysis 的 2026 年加密犯罪报告,2025 年链上诈骗总计造成 140 亿美元的损失,高于 2024 年的 120 亿美元。仅在 2026 年 1 月,钓鱼和社交工程就造成了 3.7 亿美元的加密货币损失,其中一起事件贡献了 2.84 亿美元,根据 CertiK 的数据。自 2021 年以来,批准钓鱼已造成超过 10 亿美元的报告损失。钱包提取相关的损失在 2025 年下降了 83%,降至约 8400 万美元,表明针对基础设施的有针对性打击减少了该攻击向量。然而,批准钓鱼利用不同的基础设施,利用合法协议机制而非可部署的恶意合约。2026 年 4 月进行的“大西洋行动”导致约 1200 万美元与批准钓鱼相关的资产被冻结。

Revoke.cash 和验证工具提供 Permit2 钓鱼的防御

Revoke.cash 允许用户审计并取消未完成的代币授权,包括 Permit2 权限。在与任何新或不熟悉的协议交互后进行撤销检查,可以限制恶意授权带来的损害。如果在签署任何授权请求前验证合约地址至关重要,因为钓鱼网站的界面设计与合法平台几乎无法区分。硬件钱包提供了物理确认层,但不能防止在受损网站上签署恶意信息——如果用户连接硬件钱包到恶意网站并手动确认 Permit2 签名请求,物理设备反而成为攻击的一部分而非防御措施。防御实践包括在每次签名请求中验证合约地址是否为已知合法地址,定期使用 Revoke.cash 或类似工具进行审计,以及对意外出现的 Permit2 签名请求保持怀疑态度,直到确认无误。

常见问题

什么是 Uniswap 的 Permit2,为什么它会带来钓鱼风险?

Permit2 允许用户签署单一链下信息,批准多次代币交互。单一的恶意签名可以授予攻击者对用户整个钱包的广泛、即时访问权限,无需额外确认步骤。

攻击者如何利用 Permit2 导致 100 万美元的损失?

攻击者构建冒充合法 DeFi 平台的网站,诱导用户签署 Permit2 信息。由于 Permit2 不会生成链上警告或确认界面,受害者无法察觉自己在授权恶意合约,导致资金立即被转移。

批准钓鱼在加密行业造成了哪些财务影响?

批准钓鱼自 2021 年以来已造成超过 10 亿美元的报告损失。它是 Chainalysis 2025 年记录的 140 亿美元总链上诈骗损失的一个组成部分,CertiK 的数据显示,单在 2026 年 1 月,钓鱼和社交工程就造成了 3.7 亿美元的损失。

免责声明:本页面信息可能来自第三方,仅供参考,不代表 Gate 的观点或意见,亦不构成任何财务、投资或法律建议。数字资产交易风险较高,请勿仅依赖本页面信息作出决策。具体内容详见声明
评论
0/400
暂无评论