U.Today によると、MakerDAO のガバナンス代表者が Permit フィッシング詐欺の被害に遭い、aEthMKR と Pendle USDe トークンで 1,100 万ドル以上を失ったとのことです。この事件は Scam Sniffer によって報告され、Arkham Intelligence によってさらに確認されました。被害者は複数の Permit フィッシング署名に署名したと伝えられており、これが多額の損失につながりました。
EIP-2612 によって有効化された機能である Permit は、スマート コントラクトとやり取りする際に事前の承認を必要としません。オンチェーン トランザクションを必要とせずに承認署名を生成できます。つまり、潜在的な被害者は、ブロックチェーンにブロードキャストすることなく、悪意のある Web サイトの許可に署名できます。署名を所有するだけで承認が付与されるため、ブロックチェーン セキュリティ企業 SlowMist が指摘しているように、この機能には非常に高いレベルのリスクが伴います。
同社はさらに、悪意のある人物が正当なウェブサイトを装って被害者を騙し、署名を提供させる可能性があると説明した。取引はオフチェーンで行われるため、署名が侵害されているかどうかを判断するのは難しい場合がある。SlowMistは、「当社の理解では、一部のウォレットは署名情報をデコードして表示し、承認フィッシングの試みを承認しますが、許可署名フィッシングに関する十分な警告がないため、ユーザーに高いリスクをもたらします」と述べた。この事件は、許可署名に関連する潜在的なリスクと、セキュリティ対策の強化の必要性を強調しています。