Laut U.Today wurde ein Governance-Delegierter von MakerDAO Opfer eines Permit-Phishing-Betrugs und verlor über 11 Millionen US-Dollar in aEthMKR- und Pendle-USDe-Token. Der Vorfall wurde von Scam Sniffer gemeldet und von Arkham Intelligence bestätigt. Das Opfer unterzeichnete Berichten zufolge mehrere Permit-Phishing-Signaturen, was zu dem erheblichen Verlust führte.
Permit, eine durch EIP-2612 aktivierte Funktion, macht eine vorherige Autorisierung bei der Interaktion mit Smart Contracts überflüssig. Es ermöglicht die Generierung von Autorisierungssignaturen ohne die Notwendigkeit von On-Chain-Transaktionen. Dies bedeutet, dass potenzielle Opfer die Genehmigung für eine bösartige Website unterzeichnen können, ohne sie an die Blockchain zu senden. Da der bloße Besitz der Signatur ausreicht, um eine Autorisierung zu erteilen, birgt diese Funktion ein erhebliches Risiko, wie das Blockchain-Sicherheitsunternehmen SlowMist feststellt.
Das Unternehmen erklärte weiter, dass böswillige Akteure Opfer dazu verleiten können, die Signaturen bereitzustellen, indem sie sich als legitime Website ausgeben. Die Feststellung, ob eine Signatur kompromittiert wurde, kann schwierig sein, da Transaktionen außerhalb der Kette erfolgen. SlowMist erklärte: „Unseres Wissens entschlüsseln und zeigen einige Wallets Signaturinformationen an, um Autorisierungs-Phishing-Versuche zu genehmigen, aber es gibt nicht genügend Warnungen bezüglich des Phishings von Genehmigungssignaturen, was ein höheres Risiko für die Benutzer darstellt.“ Dieser Vorfall unterstreicht die potenziellen Risiken, die mit Genehmigungssignaturen verbunden sind, und die Notwendigkeit erhöhter Sicherheitsmaßnahmen.