Trader perde US$ 1 milhão em ataque de phishing usando Permite2 do Uniswap

UNI2,06%
VIRTUAL-1,09%
AIRDROP-3,94%

Um trader de criptomoedas perdeu aproximadamente US$ 1 milhão após cair em um ataque de phishing que explorou o recurso Permit2 do Uniswap, segundo relatos recentes. O atacante enganou a vítima fazendo-a assinar uma mensagem maliciosa que concedia acesso total à carteira, sem envolver vulnerabilidade no protocolo ou brecha técnica. O incidente ocorreu como parte de uma epidemia mais ampla de phishing que gerou perdas totais de US$ 14 bilhões em golpes onchain em 2025, aumento em relação aos US$ 12 bilhões de 2024, de acordo com o Relatório de Crimes Cripto de 2026 da Chainalysis. O ataque teve sucesso porque o trader assinou uma autorização fora da cadeia, que acreditava ser legítima, demonstrando como a conveniência do Permit2 pode se tornar um vetor de ataque quando usuários interagem com interfaces enganosas.

Trader perde US$ 1 milhão em ataque de phishing com Permit2 no Uniswap

A perda de US$ 1 milhão resultou de um ataque de phishing que explorou o contrato Permit2 do Uniswap, um sistema de aprovação de tokens projetado para simplificar interações DeFi. Permit2 permite uma assinatura única fora da cadeia para aprovar múltiplas interações com tokens de uma só vez, eliminando a necessidade de transações onchain separadas para cada interação com o protocolo. Uma vítima separada perdeu aproximadamente US$ 196 mil em ataque semelhante envolvendo o token $VIRTUAL . Em ambos os casos, não houve brecha técnica no protocolo do Uniswap — os ataques foram bem-sucedidos por meio de engano ao usuário, e não por vulnerabilidades em contratos inteligentes. Sites de phishing se passaram por interfaces legítimas de DeFi, incluindo páginas de reivindicação de airdrops e telas de troca, para apresentar solicitações convincentes de assinatura Permit2 em momentos oportunos. Após a assinatura, os contratos maliciosos obtiveram acesso imediato a toda a carteira das vítimas, sem prompts adicionais de confirmação.

Phishing de aprovação gera US$ 14 bilhões em perdas de golpes onchain em 2025

Golpes onchain geraram pelo menos US$ 14 bilhões em perdas durante 2025, aumento em relação aos US$ 12 bilhões de 2024, segundo o Relatório de Crimes Cripto de 2026 da Chainalysis. Somente em janeiro de 2026, phishing e engenharia social representaram US$ 370 milhões em perdas totais de criptoativos, com um incidente contribuindo com US$ 284 milhões desse total, de acordo com dados da CertiK. Desde 2021, o phishing de aprovação foi responsável por mais de US$ 1 bilhão em perdas reportadas. Perdas relacionadas a drainers de carteiras caíram 83% em 2025, chegando a aproximadamente US$ 84 milhões, indicando que operações de desativação de infraestrutura direcionada reduziram esse vetor de ataque específico. No entanto, o phishing de aprovação opera em infraestrutura diferente, explorando mecânicas legítimas do protocolo ao invés de contratos maliciosos implantáveis. A Operação Atlântico, conduzida em abril de 2026, resultou no congelamento de aproximadamente US$ 12 milhões ligados a esquemas de phishing de aprovação.

Revoke.cash e ferramentas de verificação oferecem defesa contra phishing com Permit2

Revoke.cash permite que usuários auditem e cancelem aprovações pendentes de tokens, incluindo permissões Permit2. Executar uma verificação de revogação após interagir com qualquer protocolo novo ou desconhecido limita a janela de dano caso uma aprovação maliciosa seja concedida. Verificar endereços de contratos antes de assinar qualquer solicitação de aprovação é essencial, pois sites de phishing são feitos para serem visualmente indistinguíveis de plataformas legítimas. Carteiras de hardware adicionam uma camada de confirmação física, mas não protegem contra assinatura de mensagens maliciosas em sites comprometidos — se um usuário conectar uma carteira de hardware a um site malicioso e confirmar manualmente uma solicitação de assinatura Permit2, o dispositivo físico passa a fazer parte do ataque, e não uma defesa. Práticas defensivas incluem verificar endereços de contrato em cada solicitação de assinatura contra endereços legítimos conhecidos, realizar auditorias regulares com Revoke.cash ou ferramentas similares, e tratar solicitações inesperadas de assinatura Permit2 com ceticismo até serem verificadas.

FAQ

O que é o Permit2 do Uniswap e por que ele cria risco de phishing?

Permit2 permite que usuários assinem uma única mensagem fora da cadeia para aprovar múltiplas interações com tokens ao mesmo tempo. Uma assinatura maliciosa pode conceder a um atacante acesso amplo e imediato a toda a carteira de um usuário, sem passos adicionais de confirmação.

Como os atacantes exploraram o Permit2 na perda de US$ 1 milhão?

Os atacantes criaram sites que se passaram por plataformas legítimas de DeFi e solicitaram que os usuários assinassem mensagens Permit2. Como o Permit2 não gera aviso ou tela de confirmação onchain, as vítimas não tinham indicação de que estavam autorizando um contrato malicioso, resultando em transferências de fundos não autorizadas e imediatas.

Qual o impacto financeiro do phishing de aprovação na indústria de criptoativos?

O phishing de aprovação causou mais de US$ 1 bilhão em perdas reportadas desde 2021. Contribuiu para os US$ 14 bilhões em perdas totais de golpes onchain registradas pela Chainalysis em 2025, e dados da CertiK mostram que phishing e engenharia social sozinhos causaram US$ 370 milhões em perdas em janeiro de 2026.

Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.
Comentário
0/400
Sem comentários