根據最新報導,一名加密貨幣交易者在利用 Uniswap 的 Permit2 功能進行釣魚攻擊後,損失約 100 萬美元。攻擊者誘使受害者簽署一則惡意訊息,授予完全的錢包存取權,並未涉及協議漏洞或技術入侵。此事件是更廣泛的釣魚疫情的一部分,根據 Chainalysis 的 2026 年加密犯罪報告,2025 年的鏈上詐騙總損失達 140 億美元,較 2024 年的 120 億美元有所增加。攻擊成功的原因在於交易者相信自己簽署的鏈下授權是合法的,展現出 Permit2 的便利功能在用戶與欺騙界面互動時可能成為攻擊向量。
交易者在 Uniswap Permit2 釣魚攻擊中損失 100 萬美元
這次 100 萬美元的損失源於利用 Uniswap 的 Permit2 合約的釣魚攻擊,Permit2 是一個設計用來簡化 DeFi 互動的代幣授權系統。Permit2 允許用戶簽署單一的鏈下訊息,即可批准多個代幣互動,免去每次協議操作都需進行獨立的鏈上交易。在類似攻擊中,另一名受害者在涉及 $VIRTUAL 代幣的事件中損失約 19.6 萬美元。在這兩個案例中,Uniswap 協議本身沒有技術漏洞——攻擊成功的原因在於用戶被欺騙,而非智能合約被入侵。釣魚網站冒充合法的 DeFi 介面,包括空投領取頁面和兌換界面,於關鍵時刻呈現逼真的 Permit2 簽署請求。一旦簽署,惡意合約即可立即存取受害者的全部資產,無需額外確認。
2025 年批准釣魚產生 140 億美元鏈上詐騙損失
根據 Chainalysis 的 2026 年加密犯罪報告,2025 年鏈上詐騙造成的損失至少 140 億美元,較 2024 年的 120 億美元有所增加。僅在 2026 年 1 月,釣魚和社交工程就造成約 3.7 億美元的加密貨幣損失,其中一宗事件貢獻了 2.84 億美元,根據 CertiK 的資料。自 2021 年以來,批准釣魚已造成超過 10 億美元的損失。與此同時,與錢包提取相關的損失在 2025 年下降了 83%,約為 840 萬美元,顯示針對特定基礎設施的打擊已降低該攻擊向量。然而,批准釣魚利用不同的基礎設施,攻擊者利用合法協議機制而非部署惡意合約。2026 年 4 月開展的 Operation Atlantic 行動,已凍結約 1200 萬美元與批准釣魚方案相關的資金。
Revoke.cash 和驗證工具提供對 Permit2 釣魚的防禦
Revoke.cash 允許用戶審核並取消未完成的代幣授權,包括 Permit2 權限。在與任何新或不熟悉的協議互動後進行撤銷檢查,可限制惡意授權造成的損害範圍。簽署任何授權請求前,驗證合約地址至關重要,因為釣魚網站的界面設計與合法平台幾乎無法區分。硬體錢包提供額外的實體確認層,但無法防止在受損網站上簽署惡意訊息——如果用戶將硬體錢包連接到惡意網站並手動確認 Permit2 簽署請求,實體裝置反而可能成為攻擊的一部分。防禦措施包括在每次簽署提示中驗證合約地址是否為已知合法地址,定期使用 Revoke.cash 或類似工具進行審核,並對未經驗證的 Permit2 簽署請求保持懷疑態度。
FAQ
什麼是 Uniswap 的 Permit2,為何會帶來釣魚風險?
Permit2 允許用戶簽署單一鏈下訊息,即可批准多個代幣互動。單一惡意簽署即可授予攻擊者對用戶整個錢包的廣泛、即時存取權,無需額外確認。
攻擊者如何利用 Permit2 造成 100 萬美元的損失?
攻擊者建立冒充合法 DeFi 平台的網站,誘使用戶簽署 Permit2 訊息。由於 Permit2 不會產生鏈上警告或確認畫面,受害者無法察覺自己正在授權惡意合約,導致資金立即被轉移。
批准釣魚在加密產業造成了哪些經濟影響?
批准釣魚自 2021 年以來已造成超過 10 億美元的損失。它是 Chainalysis 2025 年記錄的 140 億美元鏈上詐騙總損失的原因之一,CertiK 的資料顯示,僅在 2026 年 1 月,釣魚和社交工程就造成約 3.7 億美元的損失。