Un poseedor de tokens PEPE fue víctima recientemente de un sofisticado ataque de phishing y perdió 1,39 millones de dólares en criptomonedas tras firmar sin saberlo una transacción maliciosa de Uniswap Permit2. Esto es lo que necesita saber:
🔴¿Qué pasó?
Según la firma de ciberseguridad ScamSniffer, la víctima firmó sin darse cuenta una firma Permit2 fuera de la cadena, lo que le otorgó al atacante acceso sin restricciones a su billetera. Los activos robados incluían tokens Pepe (PEPE), Microstrategy (MSTR) y Apu (APU), que se transfirieron rápidamente a una nueva billetera solo una hora después de la aprobación.
⚠️ Acerca de Uniswap Permit2:
Uniswap Permit2 se introdujo inicialmente para simplificar las aprobaciones de tokens y ahorrar en tarifas de gas. Sin embargo, esta característica se ha convertido en un vector de ataque común en el ecosistema DeFi, donde los estafadores explotan su mecanismo de firma fuera de la cadena para engañar a los usuarios y lograr que renuncien al control de sus fondos.
🚫 ¿Cómo funcionan los ataques de phishing de Permit2?
Los estafadores utilizan sitios web de phishing o interfaces de aplicaciones descentralizadas (dApp) falsas para atraer a las víctimas y hacer que firmen una firma maliciosa fuera de la cadena. La firma parece inofensiva, pero en realidad autoriza a los atacantes a realizar acciones de permiso y transferencia, lo que les otorga el control sobre los tokens. Dado que la aprobación se produce fuera de la cadena, los usuarios permanecen ajenos a cualquier actividad sospechosa hasta que es demasiado tarde.
🔍¿Por qué es esto peligroso?
El proceso de aprobación fuera de la cadena hace que estos ataques sean particularmente insidiosos, ya que les permite a los atacantes vaciar billeteras enteras con una sola firma. De manera predeterminada, Permit2 permite el acceso a todo el saldo de tokens a menos que se restrinja manualmente, un paso que muchos usuarios suelen pasar por alto.
📊 El panorama más amplio:
Este incidente forma parte de una tendencia creciente de estafas de phishing de Permit2 en el espacio criptográfico. Solo este mes, otras víctimas han perdido más de 38 millones de dólares en ataques similares, lo que pone de relieve las vulnerabilidades dentro del ecosistema DeFi. Según el informe de seguridad Web3 de CertiK, el phishing y las violaciones de claves privadas representaron la mayoría de las pérdidas de criptomonedas, con un total de 343 millones de dólares en daños.
🔐 Manténgase seguro en DeFi:
- Siempre verifique dos veces los permisos que está otorgando antes de firmar cualquier transacción, especialmente fuera de la cadena.
- Utilice billeteras seguras y habilite funciones de seguridad adicionales.
- Manténgase actualizado sobre las últimas tácticas de phishing y evite hacer clic en enlaces sospechosos.
👉 ¡Síguenos para obtener más actualizaciones sobre cómo proteger tus criptoactivos y estar a la vanguardia de las últimas amenazas de seguridad en el mundo DeFi! 🔒
