Nhà giao dịch mất 1 triệu USD trong vụ tấn công lừa đảo Permit2 của Uniswap

UNI2,21%
VIRTUAL-1,07%
AIRDROP-3,94%

Một nhà giao dịch tiền điện tử đã mất khoảng 1 triệu đô la sau khi trở thành nạn nhân của một cuộc tấn công lừa đảo qua mạng khai thác tính năng Permit2 của Uniswap, theo các báo cáo gần đây. Kẻ tấn công đã lừa nhà giao dịch ký một tin nhắn độc hại cho phép truy cập toàn bộ ví, mà không có lỗ hổng nào trong giao thức hoặc vi phạm kỹ thuật. Sự cố xảy ra trong bối cảnh dịch vụ lừa đảo qua mạng lan rộng, đã gây thiệt hại tổng cộng 14 tỷ đô la trên chuỗi trong năm 2025, tăng từ 12 tỷ đô la năm 2024, theo Báo cáo Tội phạm Tiền điện tử 2026 của Chainalysis. Cuộc tấn công thành công vì nhà giao dịch đã ký một ủy quyền ngoài chuỗi mà họ nghĩ là hợp lệ, cho thấy tính tiện lợi của Permit2 có thể trở thành một kênh tấn công khi người dùng tương tác với các giao diện lừa đảo.

Nhà Giao Dịch Mất 1 Triệu Đô La Trong Cuộc Tấn Công Lừa Đảo Permit2 của Uniswap

Số tiền 1 triệu đô la bị mất xuất phát từ một cuộc tấn công lừa đảo khai thác hợp đồng Permit2 của Uniswap, một hệ thống phê duyệt token nhằm đơn giản hóa các tương tác DeFi. Permit2 cho phép ký một tin nhắn ngoài chuỗi để phê duyệt nhiều tương tác token cùng lúc, loại bỏ nhu cầu thực hiện các giao dịch trên chuỗi riêng biệt cho từng tương tác với giao thức. Một nạn nhân khác đã mất khoảng 196 nghìn đô la trong một cuộc tấn công tương tự liên quan đến token $VIRTUAL . Trong cả hai trường hợp, không có vi phạm kỹ thuật nào xảy ra trong giao thức của Uniswap — các cuộc tấn công thành công nhờ lừa đảo người dùng thay vì lỗ hổng hợp đồng thông minh. Các trang lừa đảo giả mạo giao diện DeFi hợp pháp, bao gồm các trang yêu cầu nhận airdrop và màn hình hoán đổi, để trình bày các yêu cầu ký Permit2 thuyết phục vào thời điểm thích hợp. Sau khi ký, các hợp đồng độc hại ngay lập tức truy cập toàn bộ danh mục ví của nạn nhân mà không cần xác nhận thêm.

Lừa Đảo Phê Duyệt Tạo Ra 14 Tỷ Đô La Thiệt Hại Trên Chuỗi Trong Năm 2025

Các vụ lừa đảo trên chuỗi đã gây thiệt hại ít nhất 14 tỷ đô la trong năm 2025, tăng từ 12 tỷ đô la năm 2024, theo Báo cáo Tội phạm Tiền điện tử 2026 của Chainalysis. Riêng tháng 1 năm 2026, các vụ lừa đảo qua mạng và kỹ thuật xã hội đã chiếm 370 triệu đô la tổng thiệt hại tiền điện tử, trong đó một vụ chiếm 284 triệu đô la, theo dữ liệu của CertiK. Từ năm 2021, lừa đảo phê duyệt đã gây ra hơn 1 tỷ đô la thiệt hại được báo cáo. Các thiệt hại liên quan đến rút tiền khỏi ví giảm 83% trong năm 2025, còn khoảng 84 triệu đô la, cho thấy các chiến dịch triệt phá hạ tầng nhắm mục tiêu đã giảm thiểu kênh tấn công này. Tuy nhiên, lừa đảo phê duyệt vẫn hoạt động trên hạ tầng khác, khai thác cơ chế hợp thức của giao thức chứ không phải hợp đồng độc hại có thể triển khai. Chiến dịch Atlantic, thực hiện vào tháng 4 năm 2026, đã dẫn đến phong tỏa khoảng 12 triệu đô la liên quan đến các scheme lừa đảo phê duyệt.

Revoke.cash và Các Công Cụ Xác Thực Cung Cấp Lời Khuyên Chống Lừa Đảo Permit2

Revoke.cash cho phép người dùng kiểm tra và hủy các phê duyệt token còn tồn đọng, bao gồm quyền Permit2. Thực hiện kiểm tra thu hồi sau khi tương tác với bất kỳ giao thức mới hoặc không quen thuộc nào giúp giới hạn thiệt hại nếu một quyền phê duyệt độc hại được cấp. Việc xác minh địa chỉ hợp đồng trước khi ký bất kỳ yêu cầu phê duyệt nào là rất quan trọng, vì các trang lừa đảo được xây dựng để trông giống hệt các nền tảng hợp pháp. Ví phần cứng cung cấp lớp xác nhận vật lý nhưng không bảo vệ khỏi việc ký một tin nhắn độc hại trên trang bị xâm phạm — nếu người dùng kết nối ví phần cứng với trang độc hại và xác nhận thủ công yêu cầu ký Permit2, thiết bị vật lý trở thành một phần của cuộc tấn công thay vì biện pháp phòng vệ. Các thực hành phòng thủ bao gồm xác minh địa chỉ hợp đồng trong mọi yêu cầu ký, thực hiện kiểm tra định kỳ bằng Revoke.cash hoặc các công cụ tương tự, và thận trọng với các yêu cầu ký Permit2 bất ngờ cho đến khi xác minh rõ ràng.

Câu Hỏi Thường Gặp

Permit2 của Uniswap là gì và tại sao nó tạo ra rủi ro lừa đảo?

Permit2 cho phép người dùng ký một tin nhắn ngoài chuỗi để phê duyệt nhiều tương tác token cùng lúc. Một chữ ký độc hại duy nhất có thể cấp quyền truy cập rộng rãi, ngay lập tức vào toàn bộ ví của người dùng mà không cần thêm bước xác nhận nào.

Các kẻ tấn công đã khai thác Permit2 như thế nào trong vụ mất 1 triệu đô la?

Kẻ tấn công tạo ra các trang giả mạo nền tảng DeFi hợp pháp và yêu cầu người dùng ký các tin nhắn Permit2. Vì Permit2 không tạo cảnh báo hoặc màn hình xác nhận trên chuỗi, nạn nhân không nhận biết được họ đang ủy quyền cho hợp đồng độc hại, dẫn đến chuyển khoản ngay lập tức các quỹ trái phép.

Lừa đảo phê duyệt đã gây ra tác động tài chính như thế nào trong ngành tiền điện tử?

Lừa đảo phê duyệt đã gây ra hơn 1 tỷ đô la thiệt hại được báo cáo kể từ năm 2021. Nó góp phần vào tổng thiệt hại 14 tỷ đô la trên chuỗi trong năm 2025 theo Chainalysis, và dữ liệu của CertiK cho thấy riêng tháng 1 năm 2026, lừa đảo qua mạng và kỹ thuật xã hội đã gây thiệt hại 370 triệu đô la.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.
Bình luận
0/400
Không có bình luận