
Non è un hack, è una firma: phishing su Uniswap Permit2 costa $1 milione
Un trader ha perso circa 1 milione di dollari senza che nessun protocollo venisse violato, senza exploit tecnici sofisticati, senza vulnerabilità nei contratti intelligenti. È bastata una firma. L’attacco ha sfruttato...
Bitcoin 1 Minute
Ecco gli ultimi aggiornamenti dai mercati delle attività digitali: Un trader ha perso circa 1 milione di dollari senza che nessun protocollo venisse violato, senza exploit tecnici sofisticati, senza vulnerabilità nei contratti intelligenti. L’attacco ha sfruttato Uniswap Permit2, una funzionalità pensata per semplificare la vita degli utenti DeFi, trasformandola nel vettore di uno dei furti più rapidi e silenziosi che si possano subire onchain. Il phishing su Uniswap Permit2 non è una minaccia teorica: è già costato oltre un miliardo di dollari dal 2021, e i numeri continuano a salire.
Punti chiave Un trader ha perso circa $1 milione firmando un messaggio Permit2 malevolo; un secondo utente ha perso $196. 000 in un attacco simile sul token $VIRTUAL. Permit2 consente di approvare più token con una singola firma off-chain, eliminando i checkpoint on-chain e amplificando il danno di una firma compromessa.
Dinamiche di mercato
Chainalysis stima $14 miliardi di perdite da truffe onchain nel 2025; CertiK rileva $370 milioni persi per phishing e social engineering nel solo gennaio 2026. L’approval phishing ha superato $1 miliardo di perdite cumulative dal 2021, mentre i wallet drainer sono calati dell’83% nel 2025. Strumenti come Revoke.
cash permettono di verificare e revocare le approvazioni attive, incluse quelle Permit2. Perdita da 1 milione di dollari: come Permit2 diventa un’arma Permit2 è un contratto di approvazione token introdotto da Uniswap per rendere più fluida l’esperienza d’uso nelle applicazioni decentralizzate. Il meccanismo è elegante nella sua logica: invece di autorizzare ogni singola interazione con ogni singolo token tramite una transazione on-chain separata, Permit2 consente di firmare un unico messaggio off-chain che copre più token contemporaneamente.
Il problema sta proprio in questa efficienza. Quando un attaccante riesce a far firmare all’utente un messaggio Permit2 malevolo, ottiene accesso non autorizzato all’intero portafoglio in un colpo solo. Nessuna seconda schermata di conferma, nessun avviso, nessun checkpoint.
Impatto sui mercati
I fondi spariscono in silenzio. È esattamente quello che è successo al trader che ha perso circa $1 milione. E non si tratta di un caso isolato: un detentore del token $VIRTUAL ha subito una perdita di circa $196.
000 attraverso lo stesso meccanismo. Wallet diverso, token diverso, stesso risultato: una firma sbagliata, perdita totale. Perché Permit2 amplifica il rischio rispetto alle approvazioni tradizionali Con le approvazioni ERC-20 classiche, ogni token e ogni protocollo richiedono una transazione on-chain separata.
Questo crea una serie di momenti di verifica naturali: l’utente vede ogni richiesta, può rifiutarla, e il danno di una firma compromessa è circoscritto a quel singolo token. Permit2 rimuove questi checkpoint a favore di un singolo messaggio firmato. Il risultato è che una sola firma compromessa può esporre l’intero portafoglio a un contratto malevolo.
I mercati delle criptovalute seguono da vicino questo sviluppo, mentre gli investitori valutano il potenziale impatto sui prezzi.




