[Người dùng mất 11 triệu đô la vì các vụ lừa đảo tiền điện tử]
Theo báo cáo của Scam Sniffer, một nạn nhân đã mất số token aEthMKR và Pendle USDe trị giá hơn 11 triệu USD sau khi ký nhiều chữ ký lừa đảo Permit. Theo Arkham Intelligence, nạn nhân là đại diện quản trị MakerDAO.
Công ty bảo mật chuỗi khối SlowMist lưu ý rằng nạn nhân có thể phải đối mặt với tổn thất đáng kể do rủi ro về chữ ký.
Giấy phép là một tính năng được kích hoạt thông qua EIP-2612 giúp loại bỏ nhu cầu ủy quyền trước khi tương tác với hợp đồng thông minh. Tính năng này cho phép tạo chữ ký được ủy quyền mà không cần dựa vào các giao dịch trên chuỗi.
Một nạn nhân tiềm năng có thể ký Giấy phép cho một trang web độc hại mà trang web đó không được phát tán lên blockchain. Theo SlowMist, vì chỉ cần có chữ ký là đủ để cấp phép nên Permit tiềm ẩn những rủi ro đáng kể.
Những kẻ độc hại có thể lừa nạn nhân cung cấp chữ ký bằng cách mạo danh các trang web hợp pháp.
Vì các giao dịch diễn ra ngoài chuỗi nên việc xác định liệu chữ ký có bị xâm phạm hay không có thể khó khăn. Công ty cho biết: “Chúng tôi hiểu rằng một số ví giải mã và hiển thị thông tin chữ ký để phê duyệt các nỗ lực lừa đảo ủy quyền, nhưng thiếu cảnh báo đầy đủ về việc cho phép lừa đảo chữ ký, gây rủi ro cao hơn cho người dùng”.