Uniswap Permit2签名最初是一种简化代币审批的工具，现在已成为DeFi生态系统中常见的攻击向量。

PEPE代币持有者成为网络钓鱼骗局的最新受害者，在不知不觉中签署了恶意Uniswap后，损失了价值139万美元的加密货币；允许2交易。

据网络安全公司称诈骗嗅探器，被盗资产，包括Pepe（Pepe）、Microstrategy（MSTR）和Apu（Apu）代币，在受害者批准交易一小时后被转移到一个新钱包。

此事件增加了一系列针对Uniswap的Permit和Permit2功能中漏洞的攻击。它们旨在减少加密交易中的摩擦——用一个签名清空用户的钱包。

根据ScamSniffer的说法，受害者在不知不觉中签署了一个链下Permit2签名，该签名使攻击者可以不受限制地访问他们的钱包。

在不到一个小时的时间里，骗子将被盗的代币转移到了一个新的地址使受害者遭受重大损失。

Uniswap于2022年推出了Permit2，通过允许一次性批准多个代币来改善用户体验，从而节省了汽油费。然而，这种便利性已成为一把双刃剑。

在典型的Permit2网络钓鱼攻击中，根据Gate.io报告.

该签名看似无害，但它实际上授权攻击者在Permit2合约中执行两个关键操作——许可和转移——使他们能够控制受害者的令牌。

一旦交易被签署，骗子就会迅速将代币转移到自己的地址。由于Permit2签名审批是在链下进行的，用户不会立即在区块链上看到任何可疑活动。

当交易到达区块链并转移代币时，损害已经造成。

这种链下审批流程使Permit2网络钓鱼攻击如此危险，因为它使攻击者能够用一个签名耗尽整个钱包。

默认情况下，Permit2授权访问整个令牌余额，除非用户手动设置限制，这一步很多人都会忽略。

Uniswap没有立即回复置评请求。

许可钓鱼诈骗的趋势

这次袭击不是一个孤立的案例。这是利用Permit2功能的网络钓鱼诈骗日益增长的趋势的一部分。仅在本月，就发生了另外两起涉及Permit2的事件：一名投资者在Permit网络钓鱼骗局中损失了15079 fwdETH（价值约3600万美元）10月11日此前，另一名受害者在类似的网络钓鱼攻击中损失了价值247万美元的Aave Ethereum sDAI前一天.

9月，情况甚至更糟。一个用户在签署欺诈性的Permit2签名后，损失了12083 spWETH（价值3243万美元），以及另一个由于使用Uniswap Permit2批准的网络钓鱼骗局，他们的钱包中被盗取了价值127141美元的Neiro代币。

为了应对这些持续的攻击，MetaMask据报道，它提高了Permit和Permit2签名的可读性，使用户更容易识别他们授予的权限。

CertiK最近发布的一份报告强调了加密货币领域中网络钓鱼和其他攻击媒介的威胁Web3安全报告。被揭露的网络钓鱼诈骗和私钥泄露占损失的大部分，仅网络钓鱼就造成了3.43亿美元的损失。

编辑人斯泰西·埃利奥特.