Według U.Today delegat zarządzający MakerDAO padł ofiarą oszustwa phishingowego Permit, w wyniku którego stracił ponad 11 milionów dolarów w tokenach aEthMKR i Pendle USDe. Incydent został zgłoszony przez Scam Sniffer i dodatkowo potwierdzony przez Arkham Intelligence. Według doniesień ofiara podpisała wiele podpisów phishingowych typu Permit, co doprowadziło do znacznych strat.
Zezwolenie, funkcja dostępna w EIP-2612, eliminuje potrzebę wcześniejszej autoryzacji podczas interakcji z inteligentnymi kontraktami. Umożliwia generowanie podpisów autoryzacyjnych bez konieczności przeprowadzania transakcji on-chain. Oznacza to, że potencjalne ofiary mogą podpisać zezwolenie na złośliwą witrynę internetową bez rozpowszechniania jej w łańcuchu bloków. Ponieważ samo posiadanie podpisu wystarczy do udzielenia autoryzacji, funkcja ta niesie ze sobą znaczny poziom ryzyka, jak zauważyła firma SlowMist zajmująca się bezpieczeństwem blockchain.
Firma wyjaśniła dalej, że nieuczciwi aktorzy mogą oszukać ofiary, aby złożyły podpisy, udając legalną witrynę internetową. Ustalenie, czy podpis został naruszony, może być trudne, ponieważ transakcje odbywają się poza łańcuchem. SlowMist stwierdził: „Z naszego zrozumienia wynika, że niektóre portfele dekodują i wyświetlają informacje o podpisie w celu zatwierdzenia prób phishingu autoryzacyjnego, ale brakuje wystarczających ostrzeżeń dotyczących phishingu polegającego na zezwoleniu na podpis, co stwarza większe ryzyko dla użytkowników”. Ten incydent podkreśla potencjalne ryzyko związane z podpisami zezwoleń i potrzebą zwiększonych środków bezpieczeństwa.