A Uniswap falsa que drenou tudo

Novembro 2024. Um titular em Porto Alegre pesquisa "uniswap" no Google. O primeiro anúncio patrocinado é uniswap-app.org — parece idêntico à app.uniswap.org real. Ele conecta a carteira para trocar ETH por USDC. O site pede uma assinatura PermitBatch para "aprovação gasless de tokens". Ele assina.

O batch Permit2 assinado incluía USDC, USDT, DAI, WBTC e quatro outros tokens — todo ERC-20 na carteira dele. Total drenado nos oito minutos seguintes: 312 mil USD.

Por que Permit2 é singularmente perigoso quando phishado

Permit2 é o contrato universal de aprovações da Uniswap. Um endereço de contrato detém direitos de aprovação em centenas de dApps integradas. Assine um PermitBatch malicioso e você concede a um único endereço atacante o direito de drenar todo token da lista, em uma assinatura. Não há revisão por token — a carteira mostra um prompt typed-data com uma lista de símbolos de token e um único botão "Sign".

Os quatro passos de verificação antes de qualquer assinatura Uniswap

  • A URL é app.uniswap.org. Não uniswap-app.org, não uniswap.exchange, não uniswap.fi. Marque o real e nunca use busca.
  • A assinatura mostra um endereço spender. Abra a visão "Mostrar tudo" do MetaMask. O spender legítimo do Permit2 na mainnet Ethereum é 0x000000000022D473030F116dDEE9F6B43aC78BA3. Se o spender for qualquer outro, rejeite.
  • A lista de tokens combina com o que você está trocando. Uma troca de ETH por USDC deveria pedir permit no máximo para USDC, não para oito tokens.
  • O prazo de expiração é curto. Expirações reais do Permit2 da Uniswap padronizam em 30 dias. Um prazo de "ano 2099" é a assinatura "até eu pegar isso" do drainer.

Se você assinou

Você tem minutos. Abra a carteira, envie todo token na lista do Permit para uma carteira fresca sua, em ordem decrescente de valor em dólar. Pule os pequenos — gas importa. Depois que a poeira baixar, rode revoke.cash contra o Permit2 e revogue todo permit ativo.

A regra do bookmark

Não uso Google para navegar a qualquer protocolo DeFi. Bookmark na primeira visita, verificado por checagem cruzada no Twitter, e nunca desvio. Buscadores são vetor de ataque agora, não ferramenta.