Фейковий Uniswap, що вичистив усе
Листопад 2024. Київський холдер гуглить «uniswap». Перший рекламний результат — uniswap-app.org, виглядає ідентично справжньому app.uniswap.org. Він підключає гаманець, щоб свапнути ETH на USDC. Сайт просить підпис PermitBatch для «безгазового схвалення токенів». Він підписує.
Підписаний Permit2 batch включав USDC, USDT, DAI, WBTC і чотири інших токени — усі ERC-20 у гаманці. За вісім хвилин витекло 312 000 USD.
Чому Permit2 при фішингу особливо небезпечний
Permit2 — універсальний контракт схвалень від Uniswap. Одна адреса контракту тримає права в безлічі інтегрованих dApp. Підпишіть шкідливий PermitBatch — і один атакуючий адрес отримує право списати будь-які токени в списку одним підписом. Жодного пер-токен-огляду: гаманець показує typed-data-промпт зі списком символів і єдиною кнопкою «Sign».
Чотири кроки верифікації перед будь-яким підписом на Uniswap
- URL —
app.uniswap.org. Неuniswap-app.org, неuniswap.exchange, неuniswap.fi. Закладка на справжній і більше ніколи через пошук. - Підпис показує spender-адресу. Відкрийте «Show full» у MetaMask. Легітимний Permit2 на Ethereum mainnet —
0x000000000022D473030F116dDEE9F6B43aC78BA3. Якщо spender інший — відмовляйтеся. - Список токенів відповідає тому, що ви свапаєте. Свап ETH → USDC має запитувати permit максимум на USDC, а не на вісім токенів.
- Дедлайн короткий. Реальний Permit2 від Uniswap за замовчуванням ставить 30 днів. Дедлайн «рік 2099» — це «коли руки дійдуть» від дрейнера.
Якщо підписали
У вас хвилини. Відкрийте гаманець, переведіть кожен токен зі списку Permit на свіжий, у порядку спадання доларової вартості. Дрібницю пропустіть — газ важливий. Після — на revoke.cash, відкличте кожен активний permit на Permit2.
Правило закладок
Я не використовую Google для навігації до DeFi-протоколів. Закладка при першому візиті, верифікація через Twitter-кросчек, і ніколи не відхилятися. Пошукові системи — це вектор атаки зараз, а не інструмент.