Um considerável roubo de criptomoedas atingiu um indivíduo associado à governança da MakerDAO, resultando em uma perda impressionante que excede US$11 milhões. Os tokens digitais envolvidos, aEthMKR e Pendle USDe, foram roubados por cibercriminosos que se aproveitaram de assinaturas de autorização enganosas – também conhecidas como phishing de Permit.
Esse roubo é particularmente preocupante devido à posição de confiança mantida pela vítima na comunidade de moedas digitais. A complexidade do golpe destaca uma crescente preocupação com a segurança identificada por especialistas em segurança em blockchain, como SlowMist. Esses especialistas apontam para os riscos inerentes associados ao sistema de assinaturas, que foi possibilitado por meio da implementação do EIP-2612.
As assinaturas de permissão oferecem uma abordagem simplificada para interações de contratos inteligentes, eliminando a necessidade de processos de confirmação tradicionais. Indivíduos podem autorizar transações de token apenas com assinaturas, sem a necessidade de executar transações on-chain. Essa funcionalidade, embora conveniente, cria uma vulnerabilidade que tem sido explorada por atores maliciosos. Alguém pode assinar inadvertidamente uma transação por meio de um site duvidoso, sem precisar transmitir a assinatura para o blockchain para que tenha efeito.
A natureza furtiva dessas transações, completadas fora da visão do blockchain, torna difícil discernir a legitimidade de uma assinatura. O que complica ainda mais as coisas é a artimanha insidiosa dos golpistas, que atraem suas vítimas imitando plataformas online confiáveis. A empresa de segurança em blockchain SlowMist alertou sobre os avisos inadequados fornecidos aos usuários sobre essas táticas de phishing, pedindo maior conscientização e medidas de defesa no cenário dinâmico das transações de criptomoedas.