据 Scam Sniffer 称,一名受害者在签署多个 Permit 网络钓鱼签名后,损失了价值超过 1100 万美元的 aEthMKR 和 Pendle USDe 代币。
值得注意的是,据 Arkham Intelligence 称,受害者是 MakerDAO 治理代表。
区块链安全公司 SlowMist 指出,受害者最终可能会因签名风险而面临重大损失。
通过 EIP-2612 启用的 Permit 可以消除与智能合约交互时需要事先授权的需要。
值得注意的是,该功能使得无需依赖链上交易即可产生授权签名。
潜在的受害者可以签署恶意网站的许可证,而无需将其广播到区块链。据慢雾科技称,由于拥有签名足以授予授权,因此许可证存在很大的风险。
不良行为者可能会透过伪装成合法网站来欺骗受害者提供签名。
由于交易是在链下进行的,因此确定签名是否泄露可能很困难。该公司表示:“据我们了解,一些钱包会解码并显示签名信息以批准授权网络钓鱼尝试,但对于许可签名网络钓鱼缺乏足够的警告,给用户带来了更高的风险。”
