По данным U.Today, представитель управления MakerDAO стал жертвой фишинговой аферы Permit, потеряв более 11 миллионов долларов в токенах aEthMKR и Pendle USDe. Об инциденте сообщил Scam Sniffer, а затем подтвердил Arkham Intelligence. Сообщается, что жертва подписала несколько фишинговых подписей Permit, что привело к значительным потерям.
Разрешение, функция, доступная через EIP-2612, устраняет необходимость предварительной авторизации при взаимодействии со смарт-контрактами. Это позволяет генерировать авторизационные подписи без необходимости внутрисетевых транзакций. Это означает, что потенциальные жертвы могут подписать разрешение на вредоносный веб-сайт, не передавая его в блокчейн. Поскольку для авторизации достаточно простого обладания подписью, эта функция несет в себе значительный уровень риска, как отмечает компания SlowMist, занимающаяся безопасностью блокчейнов.
Фирма также пояснила, что злоумышленники могут обманом заставить жертв предоставить подписи, выдавая себя за законный веб-сайт. Определить, была ли скомпрометирована подпись, может быть непросто, поскольку транзакции происходят вне цепочки. SlowMist заявил: «Насколько мы понимаем, некоторые кошельки декодируют и отображают информацию о подписи, чтобы одобрить попытки фишинга авторизации, но отсутствует достаточное предупреждение о фишинге разрешительной подписи, что представляет более высокий риск для пользователей». Этот инцидент подчеркивает потенциальные риски, связанные с подписями на разрешениях, и необходимость усиления мер безопасности.
