วันที่ 16 กรกฎาคมที่ผ่านมา ผู้ใช้ Twitter คนไทยรายหนึ่ง ได้เตือนภัยเกี่ยวกับวงการคริปโต โดยระบุว่า

โดนเต็มๆ !!! แค่เข้าเว็บผิด กดต่อกระเป๋า โจรก็โอน USDT ออกไปได้เลยเนียนๆ เลยอยากมาแชร์ เพื่อจะได้ไม่มีใครโดนแบบผมครับ อันนี้เป็น Scam แบบใหม่ น่ากลัวจริงๆ คาดว่าโจรน่าจะ tool ที่ชื่อว่า Uniswap Permit2 ที่สร้างโดยเขาเจตนามีไว้ให้สำหรับ DEX, Defi ทั้งหลายใช้ เพื่อลดขั้นตอนการ Approve, Confirm, ฯลฯ ให้เหลือขั้นตอนเดียว ทำให้ UI ดูน่าใช้มากขึ้น แต่พอโจรเอามาใช้ เลยกลายเป็นอาวุธที่อันตรายสุดๆ

โดนกล่าวถึงเหตุการ์ณเบื้องต้นว่า เกริ่นก่อนว่า กระเป๋าที่โดน เป็นกระเป๋าที่ใช้ล่า airdrop โดยเฉพาะครับ โดยวันนึงความโลภบังตา อ่านทวิตผ่านๆ เจอ Lens มีแจก Invites เลยคลิกเข้าไป จอเขียวๆ โลโก้คุ้นเคย ไม่รอช้า… รีบต่อกระเป๋าไว้ก่อน ในใจคิดว่าไม่เป็นไรน่า.. ยังไม่ได้ approve อะไรสักนิด… แต่เอ๊ะ! พอกดต่อกระเป๋า กด Sign ทำไม Metamask มันเด้งให้ Sign ซ้ำอีก เลยไม่กด Sign แต่กด Reject แทน…จากนั้น เหลียวไปดูที่อยู่ (url) ปรากฎว่ามันอ่านแล้วเพี้ยนๆ จำไม่ได้ว่าเขียนว่าอะไร รีบกดปิดหน้านั้น ลบ cookies แล้วก็ออกมาเลย โดยมั่นใจว่าไม่น่ามีอะไรเกิดขึ้น เพราะแค่กดต่อกระเป๋าแค่คลิกเดียวเท่านั้น…หลังจากนั้นประมาณ 1-2 ชั่วโมง ก็มีแจ้งเตือนจาก Zerion ว่าเหรียญ USDT (Polygon) ก็ถูกโอนออกไปโดยเราไม่ได้ทำรายการ ตอนนั้นมี 170 กว่าเหรียญ โดนดูดเกลี้ยง!

ผมเลยเข้าไปดูใน Polygonscan ยิ่งงงไปอีก เพราะมันดูไม่คุ้นเคย มีใครก็ไม่รู้ สามารถใช้ smart contract โอนเหรียญจากกระเป๋าเรา ไปอีกกระเป๋านึงได้เฉยเลย พอไปดูที่ revoke.cash ปรากฏว่าไม่มีอะไรเลยในนั้น มีแต่รายการที่เราเคย Approve ไว้ทั้งนั้น เลยนั่งทบทวน ว่าไปทำอะไรมาแล้วจำไม่ได้หรือเปล่า เอาให้แน่! คิดสิคิด… นึกยังไง ก็นึกไม่ออก กลุ้มใจ หาข้อมูลอยู่หลายวัน กระเป๋าก็ทิ้งไม่ได้ ลงทุนค่าแก๊สกับเวลาไปเยอะ จนได้ไปเจอข้อมูลใน Dune ว่ากระเป๋าโจรก็อยู่ใน List ของโจรกลุ่มที่ใช้ฟังก์ชั่นนี้ (Permit+TransferFrom) https://dune.com/coldfire/permit-thefts เลยค่อนข้างแน่ใจแล้ว ว่าไปโดนตัวไหนมา (ขอไม่ลงรายละเอียดฟังก์ชั่นนะครับ แค่นี้ก็ไม่รู้เหลือกี่คนที่อ่านมาถึงตรงนี้ )ความโหดของมันคือ ถ้าเรา Sign ไปแค่ครั้งเดียว เท่ากับเรารวมมิตรยินยอม ​(permit, transferFrom) ในคลิกเดียว ให้โอนเหรียญจากกระเป๋า A ไป B ได้นานเท่าที่โจรกำหนดไว้ในคำสั่ง (ของผมโดนไป 9 ปี)ยังๆไม่พอ ยังโหดเพิ่มได้อีกโดยทาง ScamSniffer ได้บอกว่า การ Revoke แบบเดิมๆ ไม่สามารถแก้ไขได้ ต้องไป Revoke ที่ Permit2 Approval เท่านั้น เมื่อผมเอากระเป๋าผมไปเช็คที่ ScamSniffer ก็โป๊ะเช๊ะเลย Scammer โชว์หราเลย ที่ดีใจที่สุดคือ ได้เห็นปุ่ม Revoke ในบรรทัดนั้นด้วย ทางไป => app.scamsniffer.io/permit2