Trader pierde 1 millón de dólares en un ataque de phishing con Permit2 en Uniswap

UNI4,26%
VIRTUAL1,85%
AIRDROP-3,94%

Un trader de criptomonedas perdió aproximadamente 1 millón de dólares tras ser víctima de un ataque de phishing que explotó la función Permit2 de Uniswap, según informes recientes. El atacante engañó a la víctima para que firmara un mensaje malicioso que otorgaba acceso completo a la cartera, sin que hubiera vulnerabilidad en el protocolo ni brecha técnica involucrada. El incidente ocurrió como parte de una epidemia de phishing que generó en total 14 mil millones de dólares en pérdidas por estafas en la cadena en 2025, frente a 12 mil millones en 2024, según el Informe de Crimen Cripto 2026 de Chainalysis. El ataque tuvo éxito porque el trader firmó una autorización fuera de la cadena que creía legítima, demostrando cómo la función de conveniencia de Permit2 puede convertirse en un vector de ataque cuando los usuarios interactúan con interfaces engañosas.

Trader pierde 1 millón de dólares en ataque de phishing con Permit2 de Uniswap

La pérdida de 1 millón de dólares resultó de un ataque de phishing que explotó el contrato Permit2 de Uniswap, un sistema de aprobación de tokens diseñado para agilizar las interacciones en DeFi. Permit2 permite que una sola firma fuera de la cadena apruebe múltiples interacciones con tokens a la vez, eliminando la necesidad de transacciones en la cadena separadas para cada interacción con el protocolo. Otra víctima perdió aproximadamente 196 mil dólares en un ataque similar que involucró el token $VIRTUAL . En ambos casos, no hubo brecha técnica en el protocolo de Uniswap: los ataques se lograron mediante engaños a los usuarios en lugar de vulnerabilidades en los contratos inteligentes. Sitios de phishing suplantaron interfaces legítimas de DeFi, incluyendo páginas de reclamación de airdrops y pantallas de intercambio, para presentar solicitudes de firma de Permit2 convincentes en momentos oportunos. Una vez firmados, los contratos maliciosos obtuvieron acceso inmediato a toda la cartera de las víctimas sin necesidad de confirmaciones adicionales.

El phishing de aprobaciones genera 14 mil millones de dólares en pérdidas en la cadena en 2025

Las estafas en la cadena generaron al menos 14 mil millones de dólares en pérdidas en 2025, frente a 12 mil millones en 2024, según el Informe de Crimen Cripto 2026 de Chainalysis. Solo en enero de 2026, el phishing y la ingeniería social representaron 370 millones de dólares en pérdidas totales de criptoactivos, con un incidente que aportó 284 millones de esa cantidad, según datos de CertiK. Desde 2021, el phishing de aprobaciones ha sido responsable de más de mil millones de dólares en pérdidas reportadas. Las pérdidas relacionadas con drenajes de carteras disminuyeron un 83 % en 2025, hasta aproximadamente 84 millones de dólares, indicando que las operaciones dirigidas a desmantelar infraestructura han reducido ese vector de ataque específico. Sin embargo, el phishing de aprobaciones opera en infraestructura diferente que explota mecánicas legítimas del protocolo en lugar de contratos maliciosos desplegables. La operación Atlantic, realizada en abril de 2026, resultó en el congelamiento de aproximadamente 12 millones de dólares vinculados a esquemas de phishing de aprobaciones.

Revoke.cash y herramientas de verificación ofrecen defensa contra el phishing con Permit2

Revoke.cash permite a los usuarios auditar y cancelar aprobaciones de tokens pendientes, incluyendo permisos de Permit2. Realizar una verificación de revocación tras interactuar con un protocolo nuevo o desconocido limita la ventana de daño si se otorga una aprobación maliciosa. Verificar las direcciones de los contratos antes de firmar cualquier solicitud de aprobación es fundamental, ya que los sitios de phishing están diseñados para ser visualmente indistinguibles de plataformas legítimas. Las carteras hardware añaden una capa de confirmación física, pero no protegen contra la firma de un mensaje malicioso en un sitio comprometido: si un usuario conecta una cartera hardware a un sitio malicioso y confirma manualmente una solicitud de firma de Permit2, el dispositivo físico pasa a ser parte del ataque en lugar de una defensa. Las prácticas defensivas incluyen verificar las direcciones de los contratos en cada solicitud de firma contra direcciones legítimas conocidas, realizar auditorías periódicas con Revoke.cash u otras herramientas similares, y tratar con escepticismo las solicitudes de firma de Permit2 no esperadas hasta que sean verificadas.

Preguntas frecuentes

¿Qué es Permit2 de Uniswap y por qué genera riesgo de phishing?

Permit2 permite a los usuarios firmar un solo mensaje fuera de la cadena para aprobar múltiples interacciones con tokens simultáneamente. Una firma maliciosa puede otorgar a un atacante acceso amplio e inmediato a toda la cartera de un usuario sin pasos adicionales de confirmación.

¿Cómo explotaron los atacantes Permit2 en el incidente de pérdida de 1 millón de dólares?

Los atacantes crearon sitios que suplantaban plataformas legítimas de DeFi y solicitaron a los usuarios firmar mensajes de Permit2. Debido a que Permit2 no genera advertencias ni pantallas de confirmación en la cadena, las víctimas no tenían indicios de que estaban autorizando un contrato malicioso, lo que resultó en transferencias inmediatas y no autorizadas de fondos.

¿Qué impacto financiero ha causado el phishing de aprobaciones en la industria cripto?

El phishing de aprobaciones ha causado más de mil millones de dólares en pérdidas reportadas desde 2021. Contribuyó a los 14 mil millones de dólares en pérdidas totales en la cadena registradas por Chainalysis en 2025, y los datos de CertiK muestran que solo en enero de 2026, el phishing y la ingeniería social provocaron pérdidas por 370 millones de dólares.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios