Selon U.Today, un délégué à la gouvernance de MakerDAO a été victime d'une escroquerie de phishing au permis, perdant plus de 11 millions de dollars en jetons aEthMKR et Pendle USDe. L'incident a été rapporté par Scam Sniffer et confirmé par Arkham Intelligence. La victime aurait signé plusieurs signatures de phishing Permit, entraînant une perte importante.
Permit, une fonctionnalité activée via EIP-2612, élimine le besoin d'autorisation préalable lors de l'interaction avec des contrats intelligents. Il permet la génération de signatures d'autorisation sans avoir besoin de transactions en chaîne. Cela signifie que les victimes potentielles peuvent signer le permis d’un site Web malveillant sans le diffuser sur la blockchain. Comme la simple possession de la signature suffit pour accorder une autorisation, cette fonctionnalité comporte un niveau de risque important, comme l'a noté la société de sécurité blockchain SlowMist.
La société a en outre expliqué que de mauvais acteurs peuvent inciter les victimes à fournir les signatures en se faisant passer pour un site Web légitime. Déterminer si une signature a été compromise peut être difficile car les transactions se déroulent hors chaîne. SlowMist a déclaré : « D'après notre compréhension, certains portefeuilles décodent et affichent des informations de signature pour approuver les tentatives de phishing par autorisation, mais il y a un manque d'avertissement suffisant concernant l'hameçonnage par signature d'autorisation, ce qui présente des risques plus élevés pour les utilisateurs. Cet incident souligne les risques potentiels associés aux signatures de permis et la nécessité de mesures de sécurité accrues.