Что взлом на $440,000 показывает о растущей угрозе «permit-скамов» в Ethereum

Кратко

• Владелец USDC потерял более $440 000 после подписания вредоносной транзакции “permit”.
• Фишинговые атаки с использованием “permit” стали причиной одних из крупнейших индивидуальных потерь в криптовалюте в ноябре.
• Эксперты предупреждают, что мошенники рассчитывают на человеческий фактор, а вернуть средства практически невозможно.

Арт, мода и развлечения на Decrypt.

Откройте для себя SCENE

Хакер похитил более $440 000 в USDC после того, как владелец кошелька, не подозревая об опасности, подписал вредоносную подпись “permit”, согласно твиту Scam Sniffer в понедельник.

Кража произошла на фоне всплеска фишинговых потерь. Согласно ежемесячному отчету Scam Sniffer, в ноябре было украдено около $7,77 млн у более чем 6 000 жертв, что на 137% больше по сравнению с октябрем, несмотря на сокращение числа жертв на 42%.

🚨 Кто-то потерял $440 358 в $USDC после подписания вредоносной подписи “permit”. pic.twitter.com/USjHRUY3Lc

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 8 декабря 2025

“Охота на «китов» усилилась, а максимальная сумма потерь достигла $1,22 млн из-за подписи (permit). Несмотря на сокращение числа атак, индивидуальные потери значительно выросли,” отметили в компании.

Что такое permit-схемы?

Мошенничество на основе permit строится вокруг обмана пользователей с целью заставить их подписать транзакцию, которая выглядит легитимной, но на самом деле незаметно передает злоумышленнику право распоряжаться их токенами. Вредоносные dapp могут маскировать поля, подделывать имена контрактов или подавать запрос на подпись как рутинный.

Если пользователь не проверяет детали, подпись запроса фактически предоставляет злоумышленнику разрешение на доступ ко всем ERC-20 токенам пользователя. Обычно мошенники сразу выводят средства после получения доступа.

Метод использует функцию permit в Ethereum, которая изначально предназначена для упрощения переводов токенов путем делегирования права тратить средства доверенным приложениям. Однако удобство превращается в уязвимость, если права получает злоумышленник.

“Особенность этой атаки в том, что злоумышленники могут либо провести permit и перевод токенов в одной транзакции (по принципу «ударил и убежал»), либо получить доступ через permit и ждать, чтобы в будущем вывести любые новые поступления средств (если они установят достаточно отдаленную дату истечения доступа в метаданных функции permit),” рассказала Тара Эннисон, руководитель продукта Twinstake, изданию Decrypt.

“Успех таких схем строится на том, что вы подписываете нечто, не до конца понимая, к чему это приведет,” добавила она, отметив: “Всё дело в человеческой уязвимости и желании пользователей получить выгоду.”

Эннисон подчеркнула, что этот случай далеко не единичен. “Есть множество примеров фишинговых атак с крупными суммами и большим количеством жертв, которые заставляют пользователей подписывать то, что они не до конца понимают. Часто это делается под видом бесплатных airdrop, фейковых лендинговых страниц проектов для подключения кошелька или ложных предупреждений о безопасности,” добавила она.

Как защитить себя

Поставщики кошельков внедряют всё больше защитных функций. Например, MetaMask предупреждает пользователей, если сайт кажется подозрительным, и пытается перевести данные транзакции в понятный вид. Другие кошельки также выделяют действия с высоким риском. Однако мошенники продолжают совершенствоваться.

Гарри Доннелли, основатель и CEO Circuit, рассказал Decrypt, что атаки с использованием permit “довольно распространены” и посоветовал пользователям проверять адреса отправителя и детали контракта.

“Это самый простой способ понять, если протокол не совпадает с тем, куда вы действительно хотите отправить средства, то, скорее всего, кто-то пытается их украсть,” отметил он. “Можно также проверить сумму — часто мошенники пытаются получить неограниченные разрешения.”

Эннисон подчеркнула, что бдительность — всё ещё самая сильная защита пользователя. “Лучший способ защитить себя от permit-, approveAll- или transferFrom-мошенничества — убедиться, что вы полностью понимаете, что подписываете. Какие именно действия будут выполнены в транзакции? Какие функции используются? Соответствует ли это тому, что вы хотели подписать?”

“Многие кошельки и dapp улучшили интерфейсы, чтобы вы не подписывали вслепую и видели, к чему это приведет, а также предупреждают о рисковых функциях. Однако важно, чтобы пользователи самостоятельно проверяли, что именно они подписывают, а не просто подключали кошелек и нажимали ‘Подписать’,” сказала она.

После кражи вернуть средства практически невозможно. Мартин Дерка, сооснователь и технический директор Zircuit Finance, сообщил Decrypt, что шансы вернуть средства “практически нулевые”.

“В фишинговых атаках вы имеете дело с человеком, чья единственная цель — забрать ваши средства. Нет переговоров, нет контактов, часто неизвестно, кто вторая сторона,” отметил он.

“Эти злоумышленники играют в игру больших чисел,” добавил Дерка. “Как только деньги ушли — они ушли. Восстановить их практически невозможно.”