Chainhunters Logo
C

Chainhunters

8 min
Blockchain Security
permit2
signatures
wallet security
oplichting
Permit2: Hoe je wallet leegloopt zonder dat je ooit een 'Approve' tekent
Signature-based scams zijn de sluipmoordenaars van Web3. Leer waarom 'gasless' tekenen allesbehalve gratis kan zijn.

"Maar ik heb helemaal niets goedgekeurd!"

Dat is de meest gehoorde kreet wanneer iemand ontdekt dat hun wallet is leeggetrokken. In het verleden was het simpel: je moest een on-chain transactie (een 'Approve') doen om een protocol toegang te geven tot je tokens. Dat kostte gas, was zichtbaar op Etherscan en gaf je een moment om na te denken.

Vandaag de dag gebruiken veel platforms Permit2. Het is sneller, goedkoper, maar voor scammers ook een stuk makkelijker om te misbruiken.

De 'Onzichtbare' Machtiging

Permit2 is door Uniswap ontwikkeld om de gebruikerservaring te verbeteren. In plaats van voor elke swap gas te betalen voor een goedkeuring, teken je één keer een 'master approval'. Daarna kun je transacties doen door simpelweg een off-chain signature te zetten.

Het verraderlijke? Zo'n signature kost $0 gas en verschijnt niet direct op de blockchain. Het is een digitaal briefje dat je ondertekent en aan de dApp geeft. De dApp kan dit briefje later 'innen' bij het Permit2-contract om je tokens te verplaatsen.

Waarom scammers van signatures houden

Omdat een signature geen gas kost, denken veel gebruikers dat het onschuldig is. Scammers maken hier gebruik van door je naar een fake site te lokken voor een airdrop of NFT-mint.

In plaats van een mint-transactie, schuiven ze je een Permit2 signature onder je neus. Omdat je gewend bent om signatures te zetten om in te loggen op sites zoals OpenSea, klik je op "Sign". Op dat moment geef je de scammer de juridische macht over je tokens, zonder dat er ook maar één cent van je wallet is afgeschreven... tot hij de tokens daadwerkelijk weghaalt.

Hoe herken je een "Giftige" Signature?

Je wallet (zoals MetaMask of Rabby) probeert je tegenwoordig te waarschuwen, maar je moet wel weten waar je op let:

  • De "Spender": Kijk naar het adres dat toestemming vraagt. Is dit een bekend contract of een willekeurig wallet-adres?
  • De Token-limiet: Staat er "Unlimited" of een bizar hoog bedrag?
  • Permit2 melding: Zie je de term 'Permit2' of 'EIP-712' in je wallet-scherm verschijnen op een site die daar niets mee te maken hoort te hebben? Wees dan extra alert.

De achterdeur weer op slot draaien

Heb je het gevoel dat je per ongeluk iets hebt getekend op een vage site? Geen paniek, maar kom wel direct in actie. Omdat signatures off-chain zijn, kun je ze niet altijd 'zien' in je standaard transactielijst.

  1. Gebruik een gespecialiseerde tool: Ga naar Revoke.cash of de Permit2-manager van ScamSniffer. Deze tools kunnen specifiek in de Permit2-contracten kijken welke handtekeningen er van jou nog actief zijn.
  2. Verplaats je assets: Als je een signature hebt gezet voor een onbeperkt bedrag en je vertrouwt het niet, is de veiligste weg om je tokens direct naar een 'schone' wallet te sturen.
  3. Check de bron: Gebruik sites als Uniswap's officiële helpcentrum om te begrijpen hoe hun legitieme Permit2-integratie eruitziet.

Gouden regel: Een signature is een contract. Teken nooit iets op een site die je via een DM, een advertentie of een 'urgent' social media bericht hebt gevonden.

Ben je slachtoffer geworden van een signature-scam?

Het is ongelooflijk frustrerend omdat het voelt alsof er "niets" is gebeurd, tot je balans plotseling weg is. Bij Chainhunters helpen we slachtoffers om te achterhalen welke signature de boosdoener was en waar de tokens naartoe zijn gegaan.

Heb je vragen of wil je direct een onderzoek laten uitvoeren naar een verdachte signature?

Factsheet: Opgelicht met crypto? En nu?
Laat je e-mailadres achter en ontvang direct de factsheet met heldere uitleg over wat je kunt doen na crypto-oplichting, welke stappen zinvol zijn en waar je rekening mee moet houden.