Permit2-Phishing
Was ist Permit2-Phishing?
Permit2-PhishingPermit2-Phishing verleitet einen Ethereum-Nutzer dazu, eine Uniswap-Permit2-Off-Chain-Nachricht zu signieren, die einem Angreifer das Recht gibt, dessen ERC-20-Token zu transferieren.
Uniswaps Permit2 ist ein Singleton-Contract, ueber den Nutzer Token-Transfers per gasloser EIP-712-Signatur freigeben, mit pro Token oder pro Spender festgelegten Allowances und Ablaufzeiten. Angreifer betreiben gefaelschte DeFi- oder NFT-Seiten, die das Wallet zur Signatur einer Permit2-Nachricht (PermitTransferFrom oder PermitBatch) auffordern; mit der Signatur kann der Angreifer spaeter Permit2 aufrufen und die freigegebenen Token abziehen, ohne dass das Opfer eine On-Chain-Transaktion senden muss. Da das Signieren kostenlos wirkt und nur eine Off-Chain-Nachricht ist, unterschaetzen Opfer das Risiko. Schutz: Wallet-UX, die EIP-712 dekodiert, Hardware-Wallet mit Token-Namen und Betrag, Allowance-Scanner (Revoke.cash) und die Regel, nie unverstandene Prompts zu signieren.
● Beispiele
- 01
Eine gefakte Airdrop-Seite bittet, das Wallet per Permit2-Signatur zu 'verifizieren'; tatsaechlich wird der Drain von USDC und DAI autorisiert.
- 02
Ein Angreifer kettet eine einzige Permit2-Signatur in Batch-Transfers ueber mehrere ERC-20-Token.
● Häufige Fragen
Was ist Permit2-Phishing?
Permit2-Phishing verleitet einen Ethereum-Nutzer dazu, eine Uniswap-Permit2-Off-Chain-Nachricht zu signieren, die einem Angreifer das Recht gibt, dessen ERC-20-Token zu transferieren. Es gehört zur Kategorie Web3 und Blockchain der Cybersicherheit.
Was bedeutet Permit2-Phishing?
Permit2-Phishing verleitet einen Ethereum-Nutzer dazu, eine Uniswap-Permit2-Off-Chain-Nachricht zu signieren, die einem Angreifer das Recht gibt, dessen ERC-20-Token zu transferieren.
Wie schützt man sich gegen Permit2-Phishing?
Schutzmaßnahmen gegen Permit2-Phishing kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Permit2-Phishing?
Übliche alternative Bezeichnungen: Uniswap-Permit2-Phishing, EIP-712-Phishing.