Según U.Today, un delegado de gobernanza de MakerDAO fue víctima de una estafa de phishing de permisos, perdiendo más de 11 millones de dólares en tokens aEthMKR y Pendle USDe. El incidente fue informado por Scam Sniffer y confirmado por Arkham Intelligence. Según los informes, la víctima firmó múltiples firmas de permiso de phishing, lo que provocó una pérdida significativa.
Permit, una función habilitada a través de EIP-2612, elimina la necesidad de autorización previa al interactuar con contratos inteligentes. Permite la generación de firmas de autorización sin necesidad de realizar transacciones en cadena. Esto significa que las víctimas potenciales pueden firmar el permiso para un sitio web malicioso sin transmitirlo a la cadena de bloques. Como la mera posesión de la firma es suficiente para otorgar la autorización, esta característica conlleva un nivel de riesgo significativo, como señaló la empresa de seguridad blockchain SlowMist.
La firma explicó además que los malos actores pueden engañar a las víctimas para que proporcionen las firmas haciéndose pasar por un sitio web legítimo. Determinar si una firma se ha visto comprometida puede resultar complicado ya que las transacciones se realizan fuera de la cadena. SlowMist declaró: "Según tenemos entendido, algunas billeteras decodifican y muestran información de firma para aprobar intentos de autorización de phishing, pero falta advertencia suficiente sobre permitir el phishing de firmas, lo que plantea mayores riesgos para los usuarios". Este incidente subraya los riesgos potenciales asociados con las firmas de permisos y la necesidad de mayores medidas de seguridad.
