Um detentor da memecoin PEPE tornou-se a vítima de um golpe de phishing, perdendo US$ 1,39 milhão em criptomoedas após assinar inadvertidamente uma transação maliciosa utilizando o Uniswap Permit2, ferramenta projetada para simplificar as aprovações de tokens.
De acordo com a empresa de cibersegurança ScamSniffer, os ativos roubados — Pepe (PEPE), Microstrategy (MSTR) e Apu (APU) — foram transferidos para uma nova carteira apenas uma hora após a aprovação da transação pelo usuário.
Neste caso, a vítima assinou uma permissão off-chain do Permit2, o que concedeu ao atacante acesso irrestrito à sua carteira.
Saiba mais detalhes do golpe
Introduzido em 2022, o Permit2 foi criado para melhorar a experiência do usuário, permitindo que múltiplos tokens fossem aprovados em uma única transação, economizando nas taxas de gas. No entanto, essa conveniência acabou se tornando uma faca de dois gumes.
Os ataques de phishing utilizando o Permit2 geralmente atraem os usuários a assinar uma permissão off-chain por meio de sites de phishing ou interfaces de aplicativos descentralizados (dApps) falsos.
A assinatura, que parece inofensiva, na verdade autoriza o atacante a executar duas ações críticas dentro do contrato Permit2, conferindo ao golpista o controle sobre os tokens da vítima.
Uma vez que a permissão é assinada, o golpista transfere os tokens para seu próprio endereço. Como a aprovação da permissão Permit2 acontece off-chain, os usuários não percebem imediatamente nenhuma atividade suspeita na blockchain.
