За даними U.Today, представник управління MakerDAO став жертвою фішингової афери Permit, втративши понад 11 мільйонів доларів США в токенах aEthMKR і Pendle USDe. Про інцидент повідомив Scam Sniffer, а також підтвердив Arkham Intelligence. Повідомляється, що жертва підписала кілька дозволів на фішингові підписи, що призвело до значних збитків.
Дозвіл, функція, активована через EIP-2612, усуває необхідність попередньої авторизації під час взаємодії зі смарт-контрактами. Це дозволяє генерувати підписи авторизації без необхідності транзакцій у мережі. Це означає, що потенційні жертви можуть підписати дозвіл на шкідливий веб-сайт, не транслюючи його в блокчейн. Оскільки простого володіння підписом достатньо для надання авторизації, ця функція несе в собі значний рівень ризику, як зазначає фірма безпеки блокчейну SlowMist.
Далі фірма пояснила, що зловмисники можуть обманом змусити жертв надати підписи, видаючи себе за законний веб-сайт. Визначити, чи був підпис зламаний, може бути складно, оскільки транзакції відбуваються поза мережею. SlowMist заявив: «Наскільки ми розуміємо, деякі гаманці декодують і відображають інформацію про підписи, щоб схвалити спроби фішингу авторизації, але немає достатнього попередження щодо дозволу на фішинг підпису, що створює більший ризик для користувачів». Цей інцидент підкреслює потенційні ризики, пов’язані з підписами дозволів, і необхідність посилення заходів безпеки.