Що показує злам на $440 000 щодо зростаючої загрози «permit-шахрайств» в Ethereum

Коротко

• Власник USDC втратив понад $440 000 після підписання шкідливої транзакції “permit”.
• Фішингові атаки через “permit” стали причиною одних із найбільших індивідуальних криптовтрат у листопаді.
• Експерти попереджають, що шахраї розраховують на людську помилку, а повернення коштів майже неможливе.

Центр мистецтва, моди та розваг від Decrypt.

Відкрийте SCENE

Хакер викрав понад $440 000 у USDC після того, як власник гаманця ненавмисно підписав шкідливий підпис “permit”, згідно з твітом Scam Sniffer у понеділок.

Крадіжка сталася на фоні сплеску фішингових втрат. Згідно з щомісячним звітом Scam Sniffer, у листопаді понад 6 000 жертв втратили приблизно $7,77 мільйона, що становить зростання загальних втрат на 137% у порівнянні з жовтнем, навіть попри зниження кількості жертв на 42%.

🚨 Хтось втратив $440 358 у $USDC після підписання шкідливого підпису “permit”. pic.twitter.com/USjHRUY3Lc

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 8 грудня 2025

“Полювання на «китів» посилилося з рекордом у $1,22 мільйона (permit signature). Попри меншу кількість атак, індивідуальні втрати значно зросли”, зазначила компанія.

Що таке permit-шахрайства?

Схеми permit-шахрайства полягають у тому, щоб обдурити користувача і змусити його підписати транзакцію, яка здається легітимною, але насправді непомітно надає зловмиснику право витрачати токени користувача. Зловмисні dapp-и можуть маскувати поля, підробляти імена контрактів або подавати запит на підпис як щось рутинне.

Якщо користувач не перевіряє деталі, підписавши запит, він фактично дає зловмиснику дозвіл на доступ до всіх власних ERC-20 токенів. Після отримання доступу шахраї, як правило, одразу виводять кошти.

Метод експлуатує функцію permit в Ethereum, яка призначена для полегшення переказу токенів, дозволяючи користувачам делегувати права витрат на довірені додатки. Зручність перетворюється на вразливість, коли ці права отримує зловмисник.

“Особлива складність цього типу атак у тому, що зловмисники можуть або провести permit і переказ токенів в одній транзакції (за схемою «швидко й одразу»), або надати собі доступ через permit і чекати, щоб згодом вивести будь-які додані кошти (якщо у permit функції вказати відповідно віддалений дедлайн доступу в метаданих),” розповіла Тара Еннісон, директорка з продукту Twinstake, виданню Decrypt.

“Успіх таких шахрайств залежить від того, що ви підписуєте щось, не зовсім розуміючи, що це зробить,” сказала вона, додавши: “Все крутиться навколо людської вразливості й використання людської необачності.”

Еннісон додала, що цей інцидент — далеко не поодинокий. “Є багато прикладів фішингових атак з великими сумами й обсягами, які націлені на те, щоб змусити користувача підписати щось, що він не до кінця розуміє. Часто це робиться під виглядом безкоштовних airdrop-ів, фейкових лендинг-сторінок проєктів для підключення гаманця або шахрайських попереджень безпеки, щоб перевірити, чи ви не постраждали,” додала вона.

Як захистити себе

Провайдери гаманців впроваджують більше захисних функцій. MetaMask, наприклад, попереджає користувачів, якщо сайт здається підозрілим, і намагається перекласти дані транзакції на “людинозрозумілий” намір. Інші гаманці так само виділяють дії з підвищеним ризиком. Але шахраї теж не стоять на місці.

Гаррі Доннеллі, засновник і CEO Circuit, розповів Decrypt, що permit-атаки “досить поширені” й закликав користувачів перевіряти адреси відправників і деталі контракту.

“Це найпростіший спосіб зрозуміти: якщо це протокол, який не співпадає з тим, куди ви намагаєтесь відправити кошти, то, швидше за все, це хтось намагається їх вкрасти,” сказав він. “Можна також перевірити суму, часто вони намагаються дати необмежені дозволи, саме так.”

Еннісон підкреслила, що пильність — це все ще найсильніший захист користувача. “Найкращий спосіб захиститися від permit, approveAll чи transferFrom-шахрайств — це впевнитися, що ви точно знаєте, що підписуєте. Які саме дії буде виконано в транзакції? Які функції використовуються? Чи збігається це з тим, що ви думали, що підписуєте?”

“Багато гаманців і dapp-ів покращили інтерфейси, щоб ви не підписували щось наосліп і могли бачити наслідки підпису, а також отримували попередження про використання функцій з підвищеним ризиком. Але важливо, щоб користувачі самостійно перевіряли, що саме вони підписують, а не просто підключали гаманець і натискали ‘підписати’,” сказала вона.

Після крадіжки повернути кошти навряд чи вдасться. Мартін Дерка, співзасновник і технічний директор Zircuit Finance, розповів Decrypt, що шанси на повернення коштів — “практично нульові”.

“У випадку фішингових атак ви маєте справу з людиною, чия єдина мета — забрати ваші кошти. Немає переговорів, немає контактної особи, і часто невідомо, хто контрагент,” сказав він.

“Ці зловмисники грають у гру чисел,” додав Дерка, “якщо гроші зникли — вони зникли. Повернення практично неможливе.”