Trader kehilangan 1 juta dolar AS dalam serangan phishing Permit2 Uniswap

UNI2,06%
VIRTUAL-1,09%
AIRDROP-3,94%

Seorang trader cryptocurrency kehilangan sekitar 1 juta dolar AS setelah menjadi korban serangan phishing yang memanfaatkan fitur Permit2 dari Uniswap, menurut laporan terbaru. Penyerang menipu korban agar menandatangani pesan berbahaya yang memberikan akses penuh ke dompet, tanpa adanya kerentanan protokol atau pelanggaran teknis. Insiden ini terjadi sebagai bagian dari epidemi phishing yang secara total menghasilkan kerugian scam onchain sebesar 14 miliar dolar AS pada tahun 2025, meningkat dari 12 miliar dolar AS pada 2024, menurut Laporan Kejahatan Kripto Chainalysis 2026. Serangan berhasil karena trader menandatangani otorisasi off-chain yang mereka anggap sah, menunjukkan bagaimana fitur kenyamanan Permit2 dapat menjadi vektor serangan saat pengguna berinteraksi dengan antarmuka yang menipu.

Trader Kehilangan 1 Juta Dolar AS dalam Serangan Phishing Permit2 Uniswap

Kerugian 1 juta dolar AS tersebut berasal dari serangan phishing yang memanfaatkan kontrak Permit2 dari Uniswap, sebuah sistem persetujuan token yang dirancang untuk mempermudah interaksi DeFi. Permit2 memungkinkan satu tanda tangan off-chain untuk menyetujui beberapa interaksi token sekaligus, menghilangkan kebutuhan transaksi on-chain terpisah untuk setiap interaksi protokol. Seorang korban lain kehilangan sekitar 196 ribu dolar AS dalam serangan serupa yang melibatkan token $VIRTUAL . Dalam kedua kasus, tidak terjadi pelanggaran teknis pada protokol Uniswap—serangan berhasil melalui penipuan pengguna daripada kerentanan kontrak pintar. Situs phishing menyamar sebagai antarmuka DeFi yang sah, termasuk halaman klaim airdrop dan layar swap, untuk menampilkan permintaan tanda tangan Permit2 yang meyakinkan pada saat yang tepat. Setelah ditandatangani, kontrak berbahaya langsung mendapatkan akses ke seluruh portofolio korban tanpa konfirmasi tambahan.

Phishing Persetujuan Menghasilkan Kerugian Scam Onchain 14 Miliar Dolar AS Selama 2025

Scam onchain menghasilkan kerugian minimal 14 miliar dolar AS selama 2025, meningkat dari 12 miliar dolar AS pada 2024, menurut Laporan Kejahatan Kripto Chainalysis 2026. Pada Januari 2026 saja, phishing dan rekayasa sosial menyumbang 370 juta dolar AS dari total kerugian kripto, dengan satu insiden menyumbang 284 juta dolar AS dari jumlah tersebut, menurut data CertiK. Sejak 2021, phishing persetujuan bertanggung jawab atas kerugian lebih dari 1 miliar dolar AS yang dilaporkan. Kerugian terkait wallet drainer menurun 83% pada 2025, menjadi sekitar 84 juta dolar AS, menunjukkan bahwa penindakan infrastruktur yang ditargetkan telah mengurangi vektor serangan tersebut. Namun, phishing persetujuan beroperasi di infrastruktur berbeda yang mengeksploitasi mekanisme protokol yang sah daripada menyebarkan kontrak berbahaya yang dapat diterapkan. Operasi Atlantic, yang dilakukan pada April 2026, menyebabkan pembekuan sekitar 12 juta dolar AS yang terkait dengan skema phishing persetujuan.

Revoke.cash dan Alat Verifikasi Menawarkan Perlindungan terhadap Phishing Permit2

Revoke.cash memungkinkan pengguna untuk mengaudit dan membatalkan persetujuan token yang belum selesai, termasuk izin Permit2. Melakukan pemeriksaan pencabutan setelah berinteraksi dengan protokol baru atau tidak dikenal membatasi kerusakan jika persetujuan berbahaya diberikan. Memverifikasi alamat kontrak sebelum menandatangani permintaan persetujuan sangat penting, karena situs phishing dirancang agar tampak identik secara visual dengan platform yang sah. Dompet perangkat keras menambahkan lapisan konfirmasi fisik tetapi tidak melindungi dari penandatanganan pesan berbahaya di situs yang dikompromikan—jika pengguna menghubungkan dompet perangkat keras ke situs berbahaya dan secara manual mengonfirmasi permintaan tanda tangan Permit2, perangkat fisik menjadi bagian dari serangan daripada perlindungan. Praktik perlindungan termasuk memverifikasi alamat kontrak di setiap permintaan tanda tangan terhadap alamat yang dikenal sah, menjalankan audit rutin dengan Revoke.cash atau alat serupa, dan bersikap skeptis terhadap permintaan tanda tangan Permit2 yang tidak terduga sampai diverifikasi.

FAQ

Apa itu Uniswap Permit2 dan mengapa menimbulkan risiko phishing?

Permit2 memungkinkan pengguna menandatangani satu pesan off-chain untuk menyetujui beberapa interaksi token secara bersamaan. Satu tanda tangan berbahaya dapat memberikan penyerang akses luas dan langsung ke seluruh dompet pengguna tanpa langkah konfirmasi tambahan.

Bagaimana penyerang memanfaatkan Permit2 dalam insiden kehilangan 1 juta dolar AS?

Penyerang membangun situs yang menyamar sebagai platform DeFi yang sah dan meminta pengguna menandatangani pesan Permit2. Karena Permit2 tidak menampilkan peringatan atau layar konfirmasi di on-chain, korban tidak menyadari mereka mengotorisasi kontrak berbahaya, sehingga dana langsung dipindahkan tanpa izin.

Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.
Komentar
0/400
Tidak ada komentar