Laut Scam Sniffer hat sich ein Opfer von aEthMKR- und Pendle USDe-Token im Wert von über 11 Millionen US-Dollar getrennt, nachdem es mehrere Permit-Phishing-Signaturen unterzeichnet hatte.
Laut Arkham Intelligence handelt es sich bei dem Opfer insbesondere um einen Governance-Delegierten von MakerDAO.
Wie das Blockchain-Sicherheitsunternehmen SlowMist anmerkt, könnten Opfer aufgrund von Signaturrisiken erhebliche Verluste erleiden.
Permit, das durch EIP-2612 aktiviert wurde, macht eine vorherige Autorisierung bei der Interaktion mit Smart Contracts überflüssig.
Insbesondere ermöglicht die Funktion die Generierung von Autorisierungssignaturen, ohne auf On-Chain-Transaktionen angewiesen zu sein.
Potenzielle Opfer können die Genehmigung für eine bösartige Website unterzeichnen, ohne sie an die Blockchain zu senden. Da der Besitz der Signatur ausreicht, um eine Autorisierung zu erteilen, birgt die Genehmigung laut SlowMist ein erhebliches Risiko.
Böswillige Akteure können ihre Opfer möglicherweise dazu verleiten, die Signaturen bereitzustellen, indem sie sich als legitime Website ausgeben.
Die Feststellung, ob eine Signatur kompromittiert ist oder nicht, kann schwierig sein, da Transaktionen außerhalb der Blockchain stattfinden. „Unseres Wissens nach dekodieren und zeigen einige Wallets Signaturinformationen an, um Autorisierungs-Phishing-Versuche zu genehmigen, aber es gibt keine ausreichende Warnung bezüglich des Autorisierungs-Signatur-Phishings, was ein höheres Risiko für die Benutzer darstellt“, sagte das Unternehmen.