Ataque de phishing rouba mais de US$11 milhões de investidor DeFi

Um golpe de phishing resultou no roubo de mais de US$11 milhões em tokens aEthMKR e Pendle USDe de um investidor, que também é delegado de governança da MakerDAO, de acordo com dados da Arkham Intelligence. O ataque explorou uma vulnerabilidade na função “Permit”, um recurso que permite aprovações de transações sem a necessidade de confirmações on-chain.

O Permit, habilitado pela EIP 2612, foi projetado para agilizar as interações com contratos inteligentes, mas sua praticidade também a torna um alvo para ataques de phishing. Ao contrário das transações tradicionais, essas assinaturas podem ser obtidas por sites maliciosos sem que sejam registradas na blockchain, dificultando a identificação de fraudes.

“A posse da assinatura é suficiente para conceder autorização, o que torna o ‘Permit’ um recurso de alto risco. Golpistas podem enganar suas vítimas para fornecer assinaturas, fazendo-se passar por sites legítimos”, afirmou a SlowMist em um comunicado.

Conforme observado pela empresa, determinar se uma assinatura está comprometida ou não pode ser difícil, pois as transações ocorrem fora da blockchain.