Menurut U.Today, delegasi tata kelola MakerDAO menjadi korban penipuan Izin phishing, kehilangan lebih dari $11 juta dalam token aEthMKR dan Pendle USDe. Insiden tersebut dilaporkan oleh Scam Sniffer, dan selanjutnya dikonfirmasi oleh Arkham Intelligence. Korban dilaporkan menandatangani beberapa tanda tangan Izin phishing, yang menyebabkan kerugian yang signifikan.
Izin, fitur yang diaktifkan melalui EIP-2612, menghilangkan kebutuhan otorisasi sebelumnya saat berinteraksi dengan kontrak pintar. Hal ini memungkinkan pembuatan tanda tangan otorisasi tanpa memerlukan transaksi on-chain. Ini berarti calon korban dapat menandatangani izin situs web jahat tanpa menyebarkannya ke blockchain. Karena kepemilikan tanda tangan saja sudah cukup untuk memberikan otorisasi, fitur ini membawa tingkat risiko yang signifikan, sebagaimana dicatat oleh perusahaan keamanan blockchain SlowMist.
Perusahaan tersebut lebih lanjut menjelaskan bahwa pelaku kejahatan dapat menipu korbannya agar memberikan tanda tangan dengan menyamar sebagai situs web yang sah. Menentukan apakah suatu tanda tangan telah disusupi dapat menjadi tantangan karena transaksi terjadi secara off-chain. SlowMist menyatakan, 'Dari pemahaman kami, beberapa dompet memecahkan kode dan menampilkan informasi tanda tangan untuk menyetujui upaya otorisasi phishing, namun tidak ada peringatan yang memadai mengenai izin phishing tanda tangan, sehingga menimbulkan risiko lebih tinggi bagi pengguna.' Insiden ini menggarisbawahi potensi risiko yang terkait dengan penandatanganan Izin dan perlunya peningkatan langkah-langkah keamanan.
