متداول يخسر مليون دولار في هجوم تصيد احتيالي باستخدام Permit2 على Uniswap

UNI%4.28
VIRTUAL%0.95
AIRDROP%3.94-

خسر متداول للعملات المشفرة حوالي مليون دولار بعد تعرضه لهجوم تصيد احتيالي استغل ميزة Permit2 في Uniswap، وفقًا لتقارير حديثة. خدع المهاجم الضحية بتوقيع رسالة خبيثة منحت الوصول الكامل إلى المحفظة، دون وجود ثغرة في البروتوكول أو اختراق تقني. وقع الحادث كجزء من وباء تصيد احتيالي أوسع، حيث بلغت خسائر الاحتيال على الشبكة الإجمالية 14 مليار دولار في 2025، مرتفعة من 12 مليار دولار في 2024، وفقًا لتقرير جرائم العملات المشفرة لعام 2026 من Chainalysis. نجح الهجوم لأن المتداول وقع على تفويض خارج السلسلة اعتقد أنه شرعي، مما يوضح كيف يمكن لميزة الراحة في Permit2 أن تصبح مسار هجوم عندما يتفاعل المستخدمون مع واجهات خادعة.

متداول يخسر مليون دولار في هجوم تصيد احتيالي باستخدام Permit2 في Uniswap

نتجت خسارة مليون دولار من هجوم تصيد استغل عقد Permit2 في Uniswap، وهو نظام موافقة على الرموز مصمم لتسهيل تفاعلات التمويل اللامركزي. يسمح Permit2 بتوقيع واحد خارج السلسلة للموافقة على عدة تفاعلات رمزية دفعة واحدة، مما يلغي الحاجة إلى معاملات منفصلة على السلسلة لكل تفاعل مع البروتوكول. خسر ضحية آخر حوالي 196 ألف دولار في هجوم مماثل استهدف $VIRTUAL token. في كلا الحالتين، لم يحدث اختراق تقني في بروتوكول Uniswap — نجحت الهجمات عبر خداع المستخدمين بدلاً من ثغرات في العقود الذكية. انتحلت مواقع التصيد احتيالي واجهات شرعية للتمويل اللامركزي، بما في ذلك صفحات المطالبة بالتوزيعات المجانية وشاشات المبادلة، لعرض طلبات توقيع Permit2 مقنعة في أوقات مناسبة. بمجرد التوقيع، تمكنت العقود الخبيثة من الوصول الفوري إلى محافظ الضحايا بالكامل دون حاجة لمزيد من التأكيد.

التصيد عبر الموافقات يحقق 14 مليار دولار من خسائر الاحتيال على السلسلة خلال 2025

ولدت عمليات الاحتيال على الشبكة خسائر لا تقل عن 14 مليار دولار خلال 2025، مرتفعة من 12 مليار دولار في 2024، وفقًا لتقرير جرائم العملات المشفرة لعام 2026 من Chainalysis. في يناير 2026 وحده، شكل التصيد الاحتيالي والهندسة الاجتماعية 370 مليون دولار من إجمالي خسائر العملات المشفرة، مع مساهمة حادث واحد بـ 284 مليون دولار من ذلك المجموع، وفقًا لبيانات CertiK. منذ 2021، كان التصيد عبر الموافقات مسؤولًا عن خسائر تتجاوز مليار دولار. انخفضت خسائر سحب المحافظ بنسبة 83% في 2025، لتصل إلى حوالي 84 مليون دولار، مما يشير إلى أن عمليات إيقاف البنى التحتية المستهدفة قللت من هذا المسار الهجومي المحدد. ومع ذلك، يعمل التصيد عبر الموافقات على بنية تحتية مختلفة تستغل آليات البروتوكول الشرعية بدلاً من نشر عقود خبيثة قابلة للتنفيذ. أدت عملية Atlantic في أبريل 2026 إلى تجميد حوالي 12 مليون دولار مرتبطة بعمليات التصيد عبر الموافقات.

أدوات مثل Revoke.cash وعمليات التحقق توفر دفاعات ضد التصيد باستخدام Permit2

يتيح Revoke.cash للمستخدمين تدقيق وإلغاء الموافقات على الرموز غير المنتهية، بما في ذلك أذونات Permit2. يحد إجراء فحص الإلغاء بعد التفاعل مع أي بروتوكول جديد أو غير مألوف من مدى الضرر إذا تم منح إذن خبيث. من الضروري التحقق من عناوين العقود قبل توقيع أي طلب إذن، حيث تُبنى مواقع التصيد لتكون غير قابلة للتمييز بصريًا عن المنصات الشرعية. تضيف المحافظ المادية طبقة تأكيد فعلية، لكنها لا تحمي من توقيع رسالة خبيثة على موقع مخترق — إذا قام المستخدم بتوصيل محفظة مادية بموقع خبيث وأكد يدويًا طلب توقيع Permit2، يصبح الجهاز جزءًا من الهجوم بدلاً من أن يكون دفاعًا. تشمل الممارسات الدفاعية التحقق من عناوين العقود في كل طلب توقيع مقابل عناوين معروفة وموثوقة، وإجراء تدقيقات منتظمة باستخدام Revoke.cash أو أدوات مماثلة، ومعاملة طلبات توقيع Permit2 غير المتوقعة بشك حتى يتم التحقق منها.

الأسئلة الشائعة

ما هو Permit2 في Uniswap ولماذا يخلق خطر التصيد الاحتيالي؟

Permit2 يتيح للمستخدمين توقيع رسالة واحدة خارج السلسلة للموافقة على عدة تفاعلات رمزية في آن واحد. يمكن لتوقيع خبيث واحد أن يمنح المهاجم وصولاً واسعًا وفوريًا إلى كامل المحفظة دون خطوات تأكيد إضافية.

كيف استغل المهاجمون Permit2 في حادثة خسارة مليون دولار؟

أنشأ المهاجمون مواقع تنتحل هويات منصات التمويل اللامركزي الشرعية وطلبوا من المستخدمين توقيع رسائل Permit2. نظرًا لعدم وجود تحذير على السلسلة أو شاشة تأكيد، لم يكن الضحايا على علم بأنهم يوافقون على عقد خبيث، مما أدى إلى تحويل الأموال بشكل فوري وغير مصرح به.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة مستمدة من مصادر خارجية وهي للمرجعية فقط. لا تمثل هذه المعلومات آراء أو وجهات نظر Gate ولا تشكل أي نصيحة مالية أو استثمارية أو قانونية. ينطوي تداول الأصول الافتراضية على مخاطر عالية. يرجى عدم الاعتماد حصرياً على المعلومات الواردة في هذه الصفحة عند اتخاذ القرارات. لمزيد من التفاصيل، يرجى الرجوع على إخلاء المسؤولية.
تعليق
0/400
لا توجد تعليقات