Akhir-akhir ini, "phishing tanda tangan" telah menjadi metode penipuan yang paling disukai oleh peretas Web3. Meskipun para ahli keamanan dan perusahaan dompet terus-menerus mengedukasi tentang pengetahuan terkait, setiap hari banyak pengguna masih terjebak dalam perangkap. Salah satu alasan utama untuk situasi ini adalah bahwa kebanyakan orang kurang memahami prinsip dasar interaksi dompet, dan bagi non-teknisi, ambang pembelajaran cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan membahas logika dasar dari phishing tanda tangan dengan cara yang diilustrasikan dan berusaha menjelaskan dengan bahasa yang sederhana dan mudah dipahami.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain) dan tidak memerlukan biaya Gas; sementara interaksi terjadi di dalam blockchain (on-chain) dan memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk otentikasi, seperti saat masuk ke dompet. Ketika Anda ingin menukar token di DEX tertentu, Anda perlu terlebih dahulu menghubungkan dompet, dan pada saat itu Anda memerlukan tanda tangan untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan menghasilkan perubahan data atau status di blockchain, sehingga Anda tidak perlu membayar biaya.
Interaksi terjadi saat melakukan operasi secara nyata. Misalnya, ketika Anda ingin menukar token di DEX, pertama-tama Anda perlu membayar biaya untuk memberi tahu kontrak pintar: "Saya menyetujui Anda untuk menggunakan 100USDT saya", langkah ini disebut sebagai persetujuan (approve). Kemudian, Anda juga perlu membayar biaya lagi untuk memberi tahu kontrak pintar: "Sekarang mulai melakukan operasi pertukaran", setelah itu Anda telah menyelesaikan transaksi menukar 100USDT dengan token lainnya.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita perkenalkan tiga metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah salah satu metode penipuan yang paling klasik dalam Web3. Hacker akan membuat situs web palsu yang menyamar sebagai proyek NFT, dengan tombol "Klaim Airdrop" yang mencolok biasanya terletak di tengah halaman. Ketika pengguna mengkliknya, antarmuka yang muncul di dompet sebenarnya meminta pengguna untuk memberikan izin untuk mentransfer token ke alamat hacker. Jika pengguna mengonfirmasi tindakan tersebut, hacker dapat berhasil mendapatkan aset pengguna.
Namun, phishing dengan otorisasi memiliki satu kelemahan: karena perlu membayar biaya Gas, banyak pengguna menjadi lebih waspada saat terlibat dalam operasi keuangan, dan dengan sedikit perhatian, mereka dapat mendeteksi ketidaknormalan, sehingga relatif mudah untuk dicegah.
Penipuan tanda tangan Permit dan Permit2 adalah zona merah keamanan aset Web3 saat ini. Metode ini sulit untuk dicegah karena pengguna selalu perlu menandatangani untuk masuk ke dompet sebelum menggunakan DApp. Banyak orang telah membentuk pola pikir "operasi ini aman", ditambah dengan tidak perlu membayar biaya, dan mayoritas orang tidak memahami makna di balik setiap tanda tangan, yang membuat metode penipuan ini sangat berbahaya.
Mekanisme Permit adalah perluasan fungsi otorisasi di bawah standar ERC-20. Secara sederhana, ini memungkinkan Anda untuk menyetujui orang lain untuk memindahkan token Anda melalui tanda tangan. Berbeda dengan otorisasi tradisional, Permit adalah Anda menandatangani sebuah "sertifikat" yang memungkinkan seseorang untuk memindahkan token Anda. Orang yang memegang "sertifikat" ini dapat membayar biaya Gas kepada kontrak pintar, memberi tahu kontrak: "dia mengizinkan saya untuk memindahkan tokennya," sehingga memungkinkan transfer aset. Dalam proses ini, pengguna hanya menandatangani nama, tetapi sebenarnya mengizinkan orang lain untuk memanggil otorisasi dan memindahkan token. Hacker dapat membuat situs phishing, mengganti tombol masuk dompet dengan phishing Permit, dengan mudah mengakses aset pengguna.
Permit2 bukanlah fitur ERC-20, melainkan fitur yang diperkenalkan oleh beberapa DEX untuk meningkatkan pengalaman pengguna. Fitur ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar kepada DEX sekaligus, sehingga setiap transaksi berikutnya hanya memerlukan tanda tangan, dan biaya Gas dibayar oleh kontrak Permit2 (dipotong dari token yang ditukarkan pada akhirnya). Namun, untuk menjadi korban phishing Permit2, syaratnya adalah pengguna pernah menggunakan DEX tersebut dan memberikan otorisasi tanpa batas kepada kontrak pintar Permit2. Karena saat ini operasi default DEX tersebut adalah otorisasi tanpa batas, jumlah pengguna yang memenuhi syarat ini cukup signifikan.
Secara singkat, phishing otorisasi pada dasarnya adalah pengguna membayar biaya untuk memberi tahu kontrak pintar: "Saya setuju Anda mentransfer token saya ke hacker". Phishing tanda tangan adalah ketika pengguna menandatangani "bukti" yang memungkinkan orang lain memindahkan aset kepada hacker, yang kemudian membayar biaya untuk memberi tahu kontrak pintar: "Saya ingin mentransfer tokennya ke diri saya sendiri". Permit dan Permit2 adalah area dengan kasus phishing tanda tangan yang tinggi saat ini, Permit adalah fungsi perluasan otorisasi ERC-20, sedangkan Permit2 adalah fitur baru yang diluncurkan oleh suatu DEX.
Jadi, bagaimana cara mencegah serangan phishing ini?
Membangun kesadaran keamanan sangat penting. Setiap kali melakukan operasi dompet, Anda harus memeriksa dengan teliti apa yang sebenarnya Anda lakukan.
Pisahkan dana besar dan dompet yang digunakan sehari-hari untuk mengurangi kemungkinan kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Ketika Anda melihat tanda tangan yang berisi informasi berikut, harap waspada:
Interaktif:alamat interaksi
Pemilik:Alamat pemberi kuasa
Spender: Alamat pihak yang diberi wewenang
Nilai:Jumlah yang diberikan
Nonce:angka acak
Deadline:batas waktu
Dengan memahami prinsip-prinsip dasar ini dan mengambil langkah-langkah pencegahan yang tepat, kita dapat lebih baik melindungi keamanan aset Web3 kita.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
12 Suka
Hadiah
12
6
Bagikan
Komentar
0/400
MemeCurator
· 12jam yang lalu
Sekali lagi, ada suckers yang terjebak.
Lihat AsliBalas0
AlgoAlchemist
· 12jam yang lalu
Pemula semua tahu cara menghindari penipuan, tetapi para suckers tetap terjebak.
Lihat AsliBalas0
MEVHunterZhang
· 12jam yang lalu
Sudah ada yang menarik lagi beberapa puluh ribu.
Lihat AsliBalas0
WalletDetective
· 12jam yang lalu
Sudah dicuri lagi? Tidak heran, tidak memperhatikan isi tanda tangan dengan seksama.
Lihat AsliBalas0
OnchainArchaeologist
· 12jam yang lalu
Again played people for suckers, I can't learn at all.
Kedalaman analisis phishing tanda tangan Web3: identifikasi risiko dan strategi pencegahan
Analisis Logika Dasar Phishing Tanda Tangan Web3
Akhir-akhir ini, "phishing tanda tangan" telah menjadi metode penipuan yang paling disukai oleh peretas Web3. Meskipun para ahli keamanan dan perusahaan dompet terus-menerus mengedukasi tentang pengetahuan terkait, setiap hari banyak pengguna masih terjebak dalam perangkap. Salah satu alasan utama untuk situasi ini adalah bahwa kebanyakan orang kurang memahami prinsip dasar interaksi dompet, dan bagi non-teknisi, ambang pembelajaran cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan membahas logika dasar dari phishing tanda tangan dengan cara yang diilustrasikan dan berusaha menjelaskan dengan bahasa yang sederhana dan mudah dipahami.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain) dan tidak memerlukan biaya Gas; sementara interaksi terjadi di dalam blockchain (on-chain) dan memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk otentikasi, seperti saat masuk ke dompet. Ketika Anda ingin menukar token di DEX tertentu, Anda perlu terlebih dahulu menghubungkan dompet, dan pada saat itu Anda memerlukan tanda tangan untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan menghasilkan perubahan data atau status di blockchain, sehingga Anda tidak perlu membayar biaya.
Interaksi terjadi saat melakukan operasi secara nyata. Misalnya, ketika Anda ingin menukar token di DEX, pertama-tama Anda perlu membayar biaya untuk memberi tahu kontrak pintar: "Saya menyetujui Anda untuk menggunakan 100USDT saya", langkah ini disebut sebagai persetujuan (approve). Kemudian, Anda juga perlu membayar biaya lagi untuk memberi tahu kontrak pintar: "Sekarang mulai melakukan operasi pertukaran", setelah itu Anda telah menyelesaikan transaksi menukar 100USDT dengan token lainnya.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita perkenalkan tiga metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah salah satu metode penipuan yang paling klasik dalam Web3. Hacker akan membuat situs web palsu yang menyamar sebagai proyek NFT, dengan tombol "Klaim Airdrop" yang mencolok biasanya terletak di tengah halaman. Ketika pengguna mengkliknya, antarmuka yang muncul di dompet sebenarnya meminta pengguna untuk memberikan izin untuk mentransfer token ke alamat hacker. Jika pengguna mengonfirmasi tindakan tersebut, hacker dapat berhasil mendapatkan aset pengguna.
Namun, phishing dengan otorisasi memiliki satu kelemahan: karena perlu membayar biaya Gas, banyak pengguna menjadi lebih waspada saat terlibat dalam operasi keuangan, dan dengan sedikit perhatian, mereka dapat mendeteksi ketidaknormalan, sehingga relatif mudah untuk dicegah.
Penipuan tanda tangan Permit dan Permit2 adalah zona merah keamanan aset Web3 saat ini. Metode ini sulit untuk dicegah karena pengguna selalu perlu menandatangani untuk masuk ke dompet sebelum menggunakan DApp. Banyak orang telah membentuk pola pikir "operasi ini aman", ditambah dengan tidak perlu membayar biaya, dan mayoritas orang tidak memahami makna di balik setiap tanda tangan, yang membuat metode penipuan ini sangat berbahaya.
Mekanisme Permit adalah perluasan fungsi otorisasi di bawah standar ERC-20. Secara sederhana, ini memungkinkan Anda untuk menyetujui orang lain untuk memindahkan token Anda melalui tanda tangan. Berbeda dengan otorisasi tradisional, Permit adalah Anda menandatangani sebuah "sertifikat" yang memungkinkan seseorang untuk memindahkan token Anda. Orang yang memegang "sertifikat" ini dapat membayar biaya Gas kepada kontrak pintar, memberi tahu kontrak: "dia mengizinkan saya untuk memindahkan tokennya," sehingga memungkinkan transfer aset. Dalam proses ini, pengguna hanya menandatangani nama, tetapi sebenarnya mengizinkan orang lain untuk memanggil otorisasi dan memindahkan token. Hacker dapat membuat situs phishing, mengganti tombol masuk dompet dengan phishing Permit, dengan mudah mengakses aset pengguna.
Permit2 bukanlah fitur ERC-20, melainkan fitur yang diperkenalkan oleh beberapa DEX untuk meningkatkan pengalaman pengguna. Fitur ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar kepada DEX sekaligus, sehingga setiap transaksi berikutnya hanya memerlukan tanda tangan, dan biaya Gas dibayar oleh kontrak Permit2 (dipotong dari token yang ditukarkan pada akhirnya). Namun, untuk menjadi korban phishing Permit2, syaratnya adalah pengguna pernah menggunakan DEX tersebut dan memberikan otorisasi tanpa batas kepada kontrak pintar Permit2. Karena saat ini operasi default DEX tersebut adalah otorisasi tanpa batas, jumlah pengguna yang memenuhi syarat ini cukup signifikan.
Secara singkat, phishing otorisasi pada dasarnya adalah pengguna membayar biaya untuk memberi tahu kontrak pintar: "Saya setuju Anda mentransfer token saya ke hacker". Phishing tanda tangan adalah ketika pengguna menandatangani "bukti" yang memungkinkan orang lain memindahkan aset kepada hacker, yang kemudian membayar biaya untuk memberi tahu kontrak pintar: "Saya ingin mentransfer tokennya ke diri saya sendiri". Permit dan Permit2 adalah area dengan kasus phishing tanda tangan yang tinggi saat ini, Permit adalah fungsi perluasan otorisasi ERC-20, sedangkan Permit2 adalah fitur baru yang diluncurkan oleh suatu DEX.
Jadi, bagaimana cara mencegah serangan phishing ini?
Membangun kesadaran keamanan sangat penting. Setiap kali melakukan operasi dompet, Anda harus memeriksa dengan teliti apa yang sebenarnya Anda lakukan.
Pisahkan dana besar dan dompet yang digunakan sehari-hari untuk mengurangi kemungkinan kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Ketika Anda melihat tanda tangan yang berisi informasi berikut, harap waspada:
Dengan memahami prinsip-prinsip dasar ini dan mengambil langkah-langkah pencegahan yang tepat, kita dapat lebih baik melindungi keamanan aset Web3 kita.