Hoe Een Hack Van $440.000 De Groeiende Gevaren Van Ethereum Permit Scams Onthult

Een recente gebeurtenis heeft de aandacht van de crypto-gemeenschap getrokken: een houder van USDC verloor meer dan $440.000 door het ondertekenen van een kwaadwillige “permit”-transactie. Dit incident herinnert ons eraan hoe belangrijk het is om waakzaam te zijn binnen deze dynamische en vaak complexe digitale economie. Phishing-aanvallen, en met name dat van permit-fraude, zijn verantwoordelijk voor een significante stijging van de verliezen onder crypto-investeerders. In de maand november alleen al werd ongeveer $7,77 miljoen ontvreemd van meer dan 6.000 slachtoffers, dat is een schrikbarende stijging van 137% ten opzichte van oktober, ondanks een daling van het aantal slachtoffers met 42%.

Permit-scams draaien om het misleiden van gebruikers zodat ze een transactie ondertekenen die op het eerste gezicht legitiem lijkt, maar in werkelijkheid de aanvaller het recht geeft om hun tokens uit te geven. Kwaadwillige gedecentraliseerde applicaties (dapps) kunnen gegevens vervalsen of de naam van een contract manipuleren om de ondertekeningsaanvraag als iets alledaags te presenteren. Als een gebruiker de details niet grondig controleert, kan het ondertekenen van de aanvraag de aanvaller effectief toestemming geven om toegang te krijgen tot alle ERC-20 tokens van de gebruiker. Dit stelt oplichters in staat om de fondsen onmiddellijk te drainen.

Het misbruik van de Ethereum permit-functie, die bedoeld is om tokenoverdrachten te vergemakkelijken door gebruikers de mogelijkheid te geven om bestedingsrechten te delegeren aan vertrouwde applicaties, verandert gemak in een kwetsbaarheid. De complexiteit van deze aanvalsmethode ligt in het feit dat de aanvallers de permit en de overdracht van tokens in één enkele transactie kunnen uitvoeren, ofwel ‘smash and grab’-stijl, of ze kunnen hun toegang stilhouden totdat ze later extra fondsen willen overmaken. Tara Annison, hoofd product bij Twinstake, benadrukt dat het succes van dergelijke scams afhankelijk is van de onwetendheid van gebruikers. “Het draait allemaal om menselijke kwetsbaarheid en het profiteren van de bereidheid van mensen om snel te handelen,” zegt ze.

Hoewel wallet-providers steeds meer beschermende functies implementeren, blijft voorzichtigheid van het grootste belang. Platforms zoals MetaMask waarschuwen gebruikers voor verdachte sites en vertalen transactiegegevens naar begrijpelijke intenties. Het is essentieel dat gebruikers actief de verzendadressen en contractdetails verifiëren voordat ze akkoord gaan. Het nalaten van deze voorzorgsmaatregelen kan leiden tot aanzienlijke verliezen. “Als het protocol niet overeenkomt met waar je probeert je fondsen naartoe te sturen, dan is dit een duidelijke aanwijzing dat iemand je wil bedriegen,” adviseert Harry Donnelly, CEO van Circuit.

Annison benadrukt dat gebruikers zich bewust moeten zijn van wat ze ondertekenen. “Wat zijn de werkelijke acties die in de transactie plaatsvinden? Kloppen deze met wat je dacht dat je aan het ondertekenen was?” Het is cruciaal dat wallets en dapps gebruikersinterfaces bieden die inzicht geven in de gevolgen van hun ondertekeningen.

Wanneer de fondsen eenmaal zijn gestolen, is het vrijwel onmogelijk om ze te herstellen. Martin Derka, medeoprichter van Zircuit Finance, stelt dat de kans op terugvordering “bijna nul” is. “Bij phishing-aanvallen heb je te maken met een individu wiens primaire doel is om je fondsen te stelen. Er is geen onderhandeling, geen contact, en vaak geen idee wie de tegenpartij is.” Dit maakt de situatie des te kritischer; aanvallers spelen een getallenspel en zodra het geld weg is, blijft het vaak voorgoed verloren.

Vraag & Antwoord

Hoe herken ik een permit-scam?
Een permit-scam kan worden herkend aan verdachte verzoeken om toestemming die lijken op legitieme handelingen. Controleer altijd het verzendadres en de details van het contract voordat je iets ondertekent.

Wat kan ik doen om mijzelf te beschermen tegen dit soort aanvallen?
Zorg ervoor dat je begrijpt wat je ondertekent en welke acties daarbij plaatsvinden. Wees kritisch op aanvragen die niet overeenkomen met de verwachte bestemming van je fondsen.

Is het mogelijk om gestolen fondsen terug te krijgen?
De kans om gestolen crypto terug te krijgen is vrijwel niet-existent. Phishing-aanvallen zijn ontworpen om je persoonlijke activa permanent te verliezen.