Un trader ha perso circa 1 milione di dollari senza che nessun protocollo venisse violato, senza exploit tecnici sofisticati, senza vulnerabilità nei contratti intelligenti. È bastata una firma. L’attacco ha sfruttato Uniswap Permit2, una funzionalità pensata per semplificare la vita degli utenti DeFi, trasformandola nel vettore di uno dei furti più rapidi e silenziosi che si possano subire onchain. Il phishing su Uniswap Permit2 non è una minaccia teorica: è già costato oltre un miliardo di dollari dal 2021, e i numeri continuano a salire.
Summary
Punti chiave
- Un trader ha perso circa $1 milione firmando un messaggio Permit2 malevolo; un secondo utente ha perso $196.000 in un attacco simile sul token $VIRTUAL.
- Permit2 consente di approvare più token con una singola firma off-chain, eliminando i checkpoint on-chain e amplificando il danno di una firma compromessa.
- Chainalysis stima $14 miliardi di perdite da truffe onchain nel 2025; CertiK rileva $370 milioni persi per phishing e social engineering nel solo gennaio 2026.
- L’approval phishing ha superato $1 miliardo di perdite cumulative dal 2021, mentre i wallet drainer sono calati dell’83% nel 2025.
- Strumenti come Revoke.cash permettono di verificare e revocare le approvazioni attive, incluse quelle Permit2.
Perdita da 1 milione di dollari: come Permit2 diventa un’arma
Permit2 è un contratto di approvazione token introdotto da Uniswap per rendere più fluida l’esperienza d’uso nelle applicazioni decentralizzate. Il meccanismo è elegante nella sua logica: invece di autorizzare ogni singola interazione con ogni singolo token tramite una transazione on-chain separata, Permit2 consente di firmare un unico messaggio off-chain che copre più token contemporaneamente.
Il problema sta proprio in questa efficienza. Quando un attaccante riesce a far firmare all’utente un messaggio Permit2 malevolo, ottiene accesso non autorizzato all’intero portafoglio in un colpo solo. Nessuna seconda schermata di conferma, nessun avviso, nessun checkpoint. I fondi spariscono in silenzio.
È esattamente quello che è successo al trader che ha perso circa $1 milione. E non si tratta di un caso isolato: un detentore del token $VIRTUAL ha subito una perdita di circa $196.000 attraverso lo stesso meccanismo. Wallet diverso, token diverso, stesso risultato: una firma sbagliata, perdita totale.
Perché Permit2 amplifica il rischio rispetto alle approvazioni tradizionali
Con le approvazioni ERC-20 classiche, ogni token e ogni protocollo richiedono una transazione on-chain separata. Questo crea una serie di momenti di verifica naturali: l’utente vede ogni richiesta, può rifiutarla, e il danno di una firma compromessa è circoscritto a quel singolo token.
Permit2 rimuove questi checkpoint a favore di un singolo messaggio firmato. Il risultato è che una sola firma compromessa può esporre l’intero portafoglio a un contratto malevolo. I siti di phishing sfruttano questa caratteristica impersonando interfacce DeFi legittime, pagine di claim airdrop e portali di minting NFT, tutti progettati per far sembrare normale una richiesta di firma Permit2.
L’aumento delle truffe onchain mette in luce il phishing sulle approvazioni
I numeri del settore raccontano una storia preoccupante. Secondo il Crypto Crime Report 2026 di Chainalysis, le truffe onchain hanno generato perdite per almeno $14 miliardi nel 2025, in aumento rispetto ai $12 miliardi del 2024.
I dati di CertiK aggiungono un dettaglio che fa riflettere: nel solo gennaio 2026, phishing e social engineering hanno causato perdite per $370 milioni nel settore crypto. Un singolo incidente di quel mese ha contribuito per $284 milioni a quella cifra.
Trend a confronto: wallet drainer in calo, approval phishing in crescita
C’è un dato che rischia di generare falsa rassicurazione. Le perdite legate ai wallet drainer sono calate dell’83% nel 2025, scendendo a circa $84 milioni. Le azioni mirate contro l’infrastruttura dei drainer stanno funzionando.
Ma l’approval phishing opera su infrastrutture diverse e non ha subito lo stesso declino. Dal 2021 a oggi, questo tipo specifico di attacco ha accumulato oltre $1 miliardo in perdite documentate. Il calo dei drainer non deve far abbassare la guardia su un vettore d’attacco che continua a crescere silenziosamente.
La distinzione è importante per chi opera nel settore: non si tratta dello stesso fenomeno sotto nomi diversi, ma di due categorie di minaccia con meccanismi, infrastrutture e contromisure distinte.
Operation Atlantic blocca 12 milioni di dollari legati a schemi di phishing
Sul fronte delle risposte istituzionali, Operation Atlantic, condotta nell’aprile 2026, ha portato al congelamento di circa $12 milioni collegati a schemi di approval phishing. È un segnale che le autorità stanno iniziando a mappare e colpire questa categoria di frode, ma l’entità delle perdite cumulative rende evidente quanto la risposta regolamentare sia ancora lontana dal tamponare il problema.
Difendersi dagli attacchi di phishing sulle approvazioni Permit2
La difesa efficace parte dalla consapevolezza del meccanismo. Sapere che Permit2 funziona tramite firme off-chain senza ulteriori conferme on-chain è già metà della battaglia: ogni richiesta di firma deve essere trattata con la stessa attenzione di una transazione irreversibile.
Strumenti e pratiche per ridurre il rischio
Il primo strumento concreto è Revoke.cash, che consente di verificare tutte le approvazioni attive sul proprio wallet — incluse quelle Permit2 — e di revocarle. Eseguire questo controllo regolarmente, soprattutto dopo aver interagito con nuovi protocolli o siti sconosciuti, limita significativamente il danno potenziale di qualsiasi errore futuro.
La verifica dell’indirizzo del contratto prima di firmare qualsiasi cosa è non negoziabile. I siti di phishing sono spesso visivamente indistinguibili da quelli legittimi. L’indirizzo del contratto nella richiesta di approvazione è l’unico elemento che non può essere falsificato visivamente: è lì che si trova la verità.
Wallet hardware: protezione reale ma non totale
I wallet hardware aggiungono un livello di conferma fisica che i software wallet non offrono. Ma non sono una soluzione completa. Se un utente firma un messaggio Permit2 malevolo su un sito compromesso, anche con un hardware wallet il danno è fatto. La protezione hardware vale solo se l’utente verifica attivamente cosa sta firmando prima di confermare sul dispositivo fisico.
Il punto critico è proprio questo: la sicurezza nel contesto dell’approval phishing dipende più dalla consapevolezza dell’utente che dalla tecnologia del wallet. Nessuno strumento sostituisce la verifica manuale dell’indirizzo del contratto e la comprensione di cosa si sta autorizzando.
Con $370 milioni persi in un solo mese e una tendenza annuale in crescita, la finestra per sviluppare abitudini di sicurezza solide si sta restringendo. Il vero vantaggio competitivo per chi opera in DeFi non è più solo saper scegliere i protocolli giusti: è saper riconoscere una firma pericolosa prima di apporre il segno.
FAQ
Cos’è Uniswap Permit2 e perché rappresenta un rischio per il phishing?
Permit2 è un contratto introdotto da Uniswap che permette agli utenti di firmare un unico messaggio off-chain per approvare più interazioni con token contemporaneamente. Questo significa che una singola firma malevola può concedere accesso ampio all’intero wallet, senza ulteriori conferme on-chain.
Come hanno sfruttato Permit2 gli attaccanti negli episodi recenti?
Gli attaccanti hanno indotto gli utenti a firmare messaggi Permit2 malevoli, spesso tramite siti che imitano interfacce DeFi legittime, senza che comparisse alcun avviso o schermata di conferma. Il risultato è stato l’accesso non autorizzato al wallet e la perdita immediata dei fondi.
Quali misure concrete si possono adottare contro l’approval phishing su Permit2?
Gli utenti dovrebbero verificare sempre l’indirizzo del contratto prima di firmare qualsiasi approvazione, usare regolarmente strumenti di revoca come Revoke.cash per controllare e cancellare le approvazioni attive, e considerare l’uso di un wallet hardware — pur sapendo che non elimina il rischio se si firma un messaggio malevolo su un sito compromesso.
Quanto è rilevante l’impatto finanziario dell’approval phishing nel settore crypto?
Dal 2021, l’approval phishing ha causato oltre $1 miliardo in perdite documentate. Nel contesto più ampio, Chainalysis ha rilevato $14 miliardi di perdite da truffe onchain nel 2025, mentre CertiK ha registrato $370 milioni persi per phishing e social engineering nel solo gennaio 2026.
Contenuto realizzato con l’assistenza dell’intelligenza artificiale e con revisione editoriale umana.

