Eén trader is ongeveer $1 miljoen kwijtgeraakt nadat een phishingaanval de eigen gebruiksvriendelijke functie van Uniswap tegen hem gebruikte. Er is geen protocol gehackt. Er is geen kwetsbaarheid uitgebuit in de traditionele zin. De trader heeft simpelweg een bericht ondertekend dat hij niet had moeten ondertekenen — en dat was genoeg.
Summary
Belangrijkste punten
- Een trader verloor ongeveer $1 miljoen nadat hij werd misleid om een kwaadaardig Uniswap Permit2-bericht te ondertekenen, waarmee aanvallers volledige wallet-toegang kregen.
- Een ander slachtoffer verloor $196.000 in een soortgelijke aanval met de $VIRTUAL-token.
- Approval phishing heeft sinds 2021 meer dan $1 miljard aan gemelde verliezen veroorzaakt en vertoont geen tekenen van vertraging.
- Chainalysis meldde $14 miljard aan totale onchain scam-verliezen in 2025, tegenover $12 miljard in 2024; CertiK registreerde $370 miljoen alleen al uit phishing in januari 2026.
- Tools zoals Revoke.cash stellen gebruikers in staat om token-toestemmingen te controleren en in te trekken, inclusief Permit2-rechten — een van de meest effectieve momenteel beschikbare verdedigingsmiddelen.
Enorm verlies van $1 miljoen legt Uniswap Permit2-phishingrisico bloot
De Uniswap Permit2-phishingaanval die de portefeuille van een trader leegveegde, herinnert eraan hoe snel één enkele misstap catastrofaal kan worden in DeFi. Permit2 is een token-approvalcontract dat Uniswap heeft geïntroduceerd om DeFi naadlozer te maken. In plaats van voor elke token en elk protocol een aparte onchain-transactie te vereisen, maakt Permit2 het mogelijk om met één enkele offchain-handtekening meerdere tokeninteracties tegelijk goed te keuren. Handig door ontwerp — en om dezelfde reden uit te buiten.
Hoe Permit2 token-toestemmingen vereenvoudigt maar de beveiligingsrisico’s verhoogt
Traditionele ERC-20-toestemmingen creëren natuurlijke controlepunten. Elke token, elke protocolinteractie vereist een eigen onchain-transactie, waardoor gebruikers herhaaldelijk de kans krijgen om zich te bedenken. Permit2 verwijdert die controlepunten volledig en vervangt ze door één enkel ondertekend bericht. Die efficiëntiewinst is reëel — maar dat geldt ook voor de blootstelling die het creëert.
Eén gecompromitteerde handtekening kan een kwaadaardig contract toegang geven tot de volledige portefeuille van een gebruiker. Er is geen tweede prompt. Geen bevestigingsscherm. Geen waarschuwing. Eenmaal ondertekend, verplaatsen de fondsen zich stil en onomkeerbaar.
Phishingsites doen er nu routinematig alles aan om legitieme DeFi-interfaces na te bootsen — airdrop-claimpagina’s, NFT-mintportalen, vertrouwd ogende swapschermen — allemaal ontworpen om op precies het juiste moment een overtuigend Permit2-handtekeningverzoek te tonen.
Praktijkgevallen: phishingverliezen van $1 miljoen en $196.000
Het verlies van $1 miljoen springt in het oog, maar staat niet op zichzelf. Een ander slachtoffer dat de $VIRTUAL-token in bezit had, verloor ongeveer $196.000 via exact hetzelfde mechanisme. Andere wallet, andere token, dezelfde uitkomst: één verkeerde handtekening en totaal verlies.
Wat beide incidenten gemeen hebben, is de afwezigheid van een technische inbreuk aan de kant van Uniswap. Het protocol werkte precies zoals ontworpen. Het aanvalsoppervlak was geen bug — het was gebruikersgedrag, gestuurd door misleiding.
Dat onderscheid is enorm belangrijk. Het betekent dat protocolaudits en smartcontract-beveiligingsreviews vrijwel geen bescherming bieden tegen dit type dreiging. De kwetsbaarheid bevindt zich tussen het scherm en de handtekening.
Groeiende onchain-scam-epidemie benadrukt aanhoudende approval phishing
Deze twee incidenten zijn geen afwijkingen — het zijn datapunten in een veel groter patroon. Approval phishing heeft in stilte een verwoestend trackrecord opgebouwd, en de bredere cijfers weerspiegelen een probleem dat blijft opschalen.
Rapporten over cryptocriminaliteit tonen miljardenverliezen door phishing en scams
Volgens het Crypto Crime Report 2026 van Chainalysis hebben onchain-scams in 2025 minstens $14 miljard aan verliezen veroorzaakt, tegenover $12 miljard in 2024. Dat is een jaar-op-jaar-stijging van $2 miljard, deels gedreven door de hardnekkigheid van social-engineeringtactieken die geen enkele firewall kan blokkeren.
CertiK’s gegevens scherpen het beeld verder aan. Alleen al in januari 2026 waren phishing en social engineering goed voor $370 miljoen aan totale cryptoverliezen — een buitengewoon hoog bedrag voor één enkele maand. Eén incident in die periode was goed voor $284 miljoen van het totaal.
Sinds 2021 is approval phishing verantwoordelijk geweest voor meer dan $1 miljard aan gemelde verliezen. De cumulatieve schade is gestaag opgebouwd, grotendeels buiten de schijnwerpers, terwijl de aandacht uitging naar meer spectaculaire exploits.
Tegengestelde trends: daling in wallet-drainer-verliezen versus hardnekkige approval phishing
Er is een opvallende divergentie die het begrijpen waard is. Wallet-drainer-gerelateerde verliezen daalden in 2025 met 83% tot ongeveer $84 miljoen — een echt teken dat gerichte infrastructuuraanpakken en samenwerking in de sector effect hebben op die specifieke aanvalsvector.
Maar approval phishing draait op een totaal andere infrastructuur. Drainer-scripts zijn afhankelijk van uitrolbare kwaadaardige contracten die beveiligingsbedrijven en beurzen kunnen identificeren, markeren en op zwarte lijsten zetten. Approval phishing daarentegen misbruikt legitieme protocolmechanismen en gebruikersvertrouwen. Het uitschakelen van één phishingsite neutraliseert de techniek niet.
Deze divergentie creëert een reëel risico op verkeerd geïnterpreteerde vooruitgang. De daling in drainer-verliezen oogt als een overwinning — en dat is het ook — maar kan de voortdurende groei verhullen van een dreiging die veel moeilijker te bestrijden is met louter technische middelen.
Handhavingsactie van Operation Atlantic bevriest $12 miljoen aan phishinggelden
Operation Atlantic, uitgevoerd in april 2026, resulteerde in het bevriezen van ongeveer $12 miljoen die gelinkt zijn aan approval-phishingregelingen. Handhaving op deze schaal is betekenisvol, maar $12 miljoen tegenover een achtergrond van $14 miljard aan jaarlijkse onchain-scamverliezen illustreert de kloof tussen wat toezichthouders momenteel kunnen terughalen en het tempo waarmee verliezen zich opstapelen.
Verdedigen tegen Permit2-approval-phishingaanvallen
De aard van deze dreiging betekent dat effectieve verdediging op gebruikersniveau moet plaatsvinden. Aanpassingen op protocollaag kunnen het aanvalsoppervlak verkleinen, maar ze kunnen niet voorkomen dat een gebruiker een kwaadaardig bericht ondertekent op een site die er precies uitziet als de echte.
Tools en best practices om approval-phishingrisico’s te beperken
De meest direct toepasbare stap is het regelmatig gebruik van wallet-revocationtools. Revoke.cash stelt gebruikers in staat om openstaande token-toestemmingen te controleren en in te trekken, inclusief Permit2-rechten. Het uitvoeren van een revocation-check na interactie met een nieuw of onbekend protocol verkleint het schadevenster aanzienlijk — als er een verkeerde toestemming doorheen glipt, beperkt vroegtijdige detectie de blootstelling.
Het verifiëren van contractadressen vóór het ondertekenen van iets is ononderhandelbaar. Phishingsites zijn gebouwd om visueel niet te onderscheiden te zijn van legitieme platforms. Het contractadres dat in een approval-prompt is opgenomen, is waar de waarheid ligt, en die extra tien seconden om het te controleren zijn het waard.
Een korte checklist van verdedigingsgewoonten die het meest tellen:
- Controleer het contractadres in elke ondertekeningsprompt aan de hand van bekende legitieme adressen voordat je bevestigt.
- Voer regelmatig controles uit met Revoke.cash of vergelijkbare tools om onnodige of onbekende toestemmingen in te trekken.
- Beschouw elke onverwachte Permit2-handtekeningaanvraag — vooral op airdrop- of mintpagina’s — als een rode vlag totdat deze is geverifieerd.
Beperkingen en voordelen van hardware wallets bij het voorkomen van phishingverliezen
Hardware wallets voegen een fysieke bevestigingslaag toe die softwarewallets niet bieden, en die laag heeft echte waarde. Maar hardware wallets zijn geen volledige oplossing als het gaat om approval phishing. Als een gebruiker een hardware wallet verbindt met een kwaadaardige site en vervolgens handmatig een Permit2-handtekeningverzoek bevestigt, wordt het fysieke apparaat onderdeel van de aanval in plaats van een verdediging ertegen.
Het belangrijkste inzicht is dat approval phishing het besluitvormingsproces aanvalt, niet de beveiligingsarchitectuur. Elk hulpmiddel dat vereist dat de gebruiker een transactie goedkeurt, kan worden bewapend als de gebruiker ervan overtuigd kan worden dat de transactie legitiem is. Dat is een moeilijker probleem dan het patchen van een smart contract — en de reden waarom educatie en waakzaamheid momenteel de meest duurzame verdedigingsmiddelen blijven.
FAQ
Wat is Uniswaps Permit2 en waarom vormt het een phishingrisico?
Permit2 stelt gebruikers in staat om één enkele offchain-boodschap te ondertekenen om meerdere tokeninteracties tegelijk goed te keuren. Hoewel dit het gebruik van DeFi stroomlijnt, betekent het dat één enkele kwaadaardige handtekening een aanvaller brede, directe toegang kan geven tot de volledige wallet van een gebruiker — zonder extra bevestigingsstappen.
Hoe hebben phishingaanvallers Permit2 misbruikt in recente incidenten?
Aanvallers bouwden sites die legitieme DeFi-platforms imiteerden en vroegen gebruikers om Permit2-berichten te ondertekenen. Omdat Permit2 geen onchain-waarschuwing of bevestigingsscherm genereert, hadden slachtoffers geen indicatie dat ze een kwaadaardig contract autoriseerden. Het resultaat waren onmiddellijke, ongeautoriseerde fondsoverdrachten — waaronder één verlies van ongeveer $1 miljoen en een afzonderlijk verlies van rond de $196.000 met de $VIRTUAL-token.
Wat zijn praktische stappen om je te beschermen tegen Permit2-approval phishing?
Gebruikers moeten contractadressen in elke ondertekeningsprompt verifiëren vóór bevestiging, regelmatig token-toestemmingen controleren en intrekken met tools zoals Revoke.cash, en onverwachte Permit2-verzoeken met scepsis benaderen. Hardware wallets voegen een extra bevestigingslaag toe, maar beschermen niet tegen het ondertekenen van een kwaadaardig bericht op een gecompromitteerde site.
Hoe groot is de financiële impact van approval-phishingaanvallen in crypto?
Approval phishing heeft sinds 2021 meer dan $1 miljard aan gemelde verliezen veroorzaakt. Het droeg bij aan de $14 miljard aan totale onchain-scamverliezen die door Chainalysis voor 2025 zijn geregistreerd, en uit gegevens van CertiK blijkt dat phishing en social engineering alleen al in januari 2026 $370 miljoen aan verliezen veroorzaakten. Ondanks een aanzienlijke daling in wallet-drainer-verliezen blijft approval phishing groeien omdat het afhankelijk is van andere, moeilijker af te breken infrastructuur.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Wat is Uniswaps Permit2 en waarom vormt het een phishingrisico?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Permit2 stelt gebruikers in staat om één enkele offchain-boodschap te ondertekenen om meerdere tokeninteracties tegelijk goed te keuren. Hoewel dit het gebruik van DeFi stroomlijnt, betekent het dat één enkele kwaadaardige handtekening een aanvaller brede, directe toegang kan geven tot de volledige wallet van een gebruiker — zonder extra bevestigingsstappen.”}},{“@type”:”Question”,”name”:”Hoe hebben phishingaanvallers Permit2 misbruikt in recente incidenten?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Aanvallers bouwden sites die legitieme DeFi-platforms imiteerden en vroegen gebruikers om Permit2-berichten te ondertekenen. Omdat Permit2 geen onchain-waarschuwing of bevestigingsscherm genereert, hadden slachtoffers geen indicatie dat ze een kwaadaardig contract autoriseerden. Het resultaat waren onmiddellijke, ongeautoriseerde fondsoverdrachten — waaronder één verlies van ongeveer $1 miljoen en een afzonderlijk verlies van rond de $196.000 met de $VIRTUAL-token.”}},{“@type”:”Question”,”name”:”Wat zijn praktische stappen om je te beschermen tegen Permit2-approval phishing?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Gebruikers moeten contractadressen in elke ondertekeningsprompt verifiëren vóór bevestiging, regelmatig token-toestemmingen controleren en intrekken met tools zoals Revoke.cash, en onverwachte Permit2-verzoeken met scepsis benaderen. Hardware wallets voegen een extra bevestigingslaag toe, maar beschermen niet tegen het ondertekenen van een kwaadaardig bericht op een gecompromitteerde site.”}},{“@type”:”Question”,”name”:”Hoe groot is de financiële impact van approval-phishingaanvallen in crypto?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Approval phishing heeft sinds 2021 meer dan $1 miljard aan gemelde verliezen veroorzaakt. Het droeg bij aan de $14 miljard aan totale onchain-scamverliezen die door Chainalysis voor 2025 zijn geregistreerd, en uit gegevens van CertiK blijkt dat phishing en social engineering alleen al in januari 2026 $370 miljoen aan verliezen veroorzaakten. Ondanks een aanzienlijke daling in wallet-drainer-verliezen blijft approval phishing groeien omdat het afhankelijk is van andere, moeilijker af te breken infrastructuur.”}}]}
Artikel geproduceerd met behulp van kunstmatige intelligentie en beoordeeld door de redactie.

