Theo U.Today, một đại biểu quản trị MakerDAO đã trở thành nạn nhân của một vụ lừa đảo Permit lừa đảo, mất hơn 11 triệu đô la dưới dạng token aEthMKR và Pendle USDe. Vụ việc đã được Scam Sniffer báo cáo và được Arkham Intelligence xác nhận thêm. Nạn nhân được cho là đã ký nhiều chữ ký Permit lừa đảo, dẫn đến tổn thất đáng kể.
Giấy phép, một tính năng được kích hoạt thông qua EIP-2612, loại bỏ nhu cầu ủy quyền trước khi tương tác với hợp đồng thông minh. Nó cho phép tạo chữ ký ủy quyền mà không cần giao dịch trên chuỗi. Điều này có nghĩa là các nạn nhân tiềm năng có thể ký giấy phép cho một trang web độc hại mà không cần phát nó lên blockchain. Theo ghi nhận của công ty bảo mật blockchain SlowMist, vì chỉ cần sở hữu chữ ký là đủ để cấp quyền, tính năng này tiềm ẩn mức độ rủi ro đáng kể.
Công ty giải thích thêm rằng những kẻ xấu có thể lừa nạn nhân cung cấp chữ ký bằng cách giả dạng một trang web hợp pháp. Việc xác định xem chữ ký có bị xâm phạm hay không có thể là một thách thức khi các giao dịch diễn ra ngoài chuỗi. SlowMist cho biết: 'Theo hiểu biết của chúng tôi, một số ví giải mã và hiển thị thông tin chữ ký để phê duyệt các nỗ lực lừa đảo ủy quyền, nhưng thiếu cảnh báo đầy đủ về việc cấp phép lừa đảo chữ ký, gây ra rủi ro cao hơn cho người dùng.' Sự cố này nhấn mạnh những rủi ro tiềm ẩn liên quan đến chữ ký Giấy phép và sự cần thiết phải tăng cường các biện pháp bảo mật.
