Logika Dasar Penipuan Tanda Tangan Web3: Memahami Phishing Otorisasi, Permit, dan Permit2
Di bidang Web3, "phishing tanda tangan" telah menjadi salah satu metode penipuan yang paling umum digunakan oleh para hacker. Meskipun para ahli keamanan dan perusahaan dompet terus mempromosikan pengetahuan terkait, masih banyak pengguna yang tertipu setiap harinya. Salah satu penyebab penting dari situasi ini adalah kurangnya pemahaman sebagian besar orang tentang prinsip dasar interaksi dompet, sementara untuk non-teknisi, ambang batas pembelajaran pengetahuan terkait cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan mencoba menjelaskan logika dasar phishing tanda tangan dengan cara yang sederhana dan mudah dimengerti.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Skenario tanda tangan yang khas adalah untuk verifikasi identitas, seperti masuk ke dompet atau menghubungkan DApp. Misalnya, ketika Anda ingin menukar token di suatu DEX, pertama-tama Anda perlu menghubungkan dompet, dan pada saat itu Anda perlu menandatangani untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan mempengaruhi blockchain, sehingga tidak perlu membayar biaya.
Sebaliknya, interaksi melibatkan operasi on-chain yang sebenarnya. Sebagai contoh, untuk menukar token di DEX, Anda terlebih dahulu perlu membayar biaya, memberikan izin kepada kontrak pintar DEX untuk memindahkan token Anda (disebut "otorisasi"). Kemudian, Anda juga perlu membayar biaya lagi untuk melakukan operasi pertukaran yang sebenarnya.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah metode penipuan klasik yang memanfaatkan mekanisme otorisasi (approve). Hacker mungkin akan membuat situs palsu yang menyamar sebagai proyek NFT atau aktivitas airdrop. Ketika pengguna mengklik tombol "klaim airdrop", mereka sebenarnya sedang memberikan izin kepada alamat hacker untuk mengoperasikan token mereka. Meskipun metode ini memerlukan biaya Gas, masih banyak pengguna yang akan terjebak tanpa sengaja.
Tanda tangan Permit dan Permit2 dalam phishing semakin tersembunyi dan lebih sulit untuk dicegah. Karena pengguna terbiasa menandatangani untuk masuk ke dompet sebelum menggunakan DApp, mereka dengan mudah mengembangkan pola pikir "tindakan ini aman". Ditambah lagi, tanda tangan tidak memerlukan biaya, banyak orang tidak memahami arti di balik setiap tanda tangan, yang menciptakan peluang bagi hacker.
Permit adalah fitur ekstensi dari standar ERC-20, yang memungkinkan pengguna untuk menyetujui orang lain untuk memindahkan token mereka melalui tanda tangan. Singkatnya, seperti menandatangani "surat izin" yang memungkinkan seseorang untuk memindahkan token Anda. Orang yang memegang "surat izin" tersebut dapat membuktikan kepada kontrak pintar bahwa mereka memiliki izin untuk memindahkan token Anda. Peretas dapat memanfaatkan mekanisme ini untuk menggoda pengguna agar menandatangani Permit, sehingga mendapatkan izin untuk memindahkan token.
Permit2 adalah fungsi yang diperkenalkan oleh suatu DEX untuk meningkatkan pengalaman pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar kepada kontrak pintar Permit2 sekali saja, setelah itu setiap transaksi hanya memerlukan tanda tangan tanpa perlu memberikan otorisasi lagi. Meskipun ini menyederhanakan proses operasi, hal ini juga menciptakan kondisi untuk phishing. Jika pengguna pernah menggunakan DEX tersebut dan memberikan otorisasi tanpa batas kepada kontrak Permit2 (ini adalah pengaturan default DEX tersebut), maka peretas hanya perlu membujuk pengguna untuk menandatangani agar dapat memindahkan token mereka.
Secara keseluruhan, phishing otorisasi adalah membiarkan Anda secara langsung memberikan izin kepada peretas untuk memindahkan token Anda, sedangkan phishing tanda tangan adalah mengelabui Anda untuk menandatangani "kertas" yang memungkinkan orang lain memindahkan aset Anda. Permit adalah fitur perluasan otorisasi ERC-20, Permit2 adalah fitur baru yang diluncurkan oleh beberapa DEX, keduanya adalah daerah rawan phishing tanda tangan saat ini.
Jadi, bagaimana cara mencegah serangan phishing ini?
Membangun kesadaran akan keamanan sangat penting. Setiap kali melakukan operasi dompet, pastikan untuk memeriksa dengan cermat apa yang sebenarnya Anda lakukan.
Pisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Ketika Anda melihat permintaan tanda tangan yang berisi informasi berikut, harap berhati-hati:
Interaktif:alamat interaksi
Pemilik:Alamat pihak yang diberi wewenang
Spender:alamat pihak yang diberi wewenang
Nilai:Jumlah yang diotorisasi
Nonce:angka acak
Deadline:waktu kadaluarsa
Dengan memahami logika dasar dan langkah-langkah pencegahan ini, kita dapat lebih baik melindungi aset digital kita dan menghindari menjadi korban phishing tanda tangan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
3
Bagikan
Komentar
0/400
SignatureDenied
· 13jam yang lalu
Aduh, sudah menjadi suckers, masih terpaut beberapa kali.
Lihat AsliBalas0
StablecoinArbitrageur
· 13jam yang lalu
*menyesuaikan grafik* lagi-lagi 10,3% dari nilai portofolio hilang karena eksploitasi izin... kapan mereka akan belajar membaca bytecode
Analisis Phishing Tanda Tangan Web3: Risiko dan Pencegahan dari Otorisasi, Permit, dan Permit2
Logika Dasar Penipuan Tanda Tangan Web3: Memahami Phishing Otorisasi, Permit, dan Permit2
Di bidang Web3, "phishing tanda tangan" telah menjadi salah satu metode penipuan yang paling umum digunakan oleh para hacker. Meskipun para ahli keamanan dan perusahaan dompet terus mempromosikan pengetahuan terkait, masih banyak pengguna yang tertipu setiap harinya. Salah satu penyebab penting dari situasi ini adalah kurangnya pemahaman sebagian besar orang tentang prinsip dasar interaksi dompet, sementara untuk non-teknisi, ambang batas pembelajaran pengetahuan terkait cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan mencoba menjelaskan logika dasar phishing tanda tangan dengan cara yang sederhana dan mudah dimengerti.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Skenario tanda tangan yang khas adalah untuk verifikasi identitas, seperti masuk ke dompet atau menghubungkan DApp. Misalnya, ketika Anda ingin menukar token di suatu DEX, pertama-tama Anda perlu menghubungkan dompet, dan pada saat itu Anda perlu menandatangani untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan mempengaruhi blockchain, sehingga tidak perlu membayar biaya.
Sebaliknya, interaksi melibatkan operasi on-chain yang sebenarnya. Sebagai contoh, untuk menukar token di DEX, Anda terlebih dahulu perlu membayar biaya, memberikan izin kepada kontrak pintar DEX untuk memindahkan token Anda (disebut "otorisasi"). Kemudian, Anda juga perlu membayar biaya lagi untuk melakukan operasi pertukaran yang sebenarnya.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah metode penipuan klasik yang memanfaatkan mekanisme otorisasi (approve). Hacker mungkin akan membuat situs palsu yang menyamar sebagai proyek NFT atau aktivitas airdrop. Ketika pengguna mengklik tombol "klaim airdrop", mereka sebenarnya sedang memberikan izin kepada alamat hacker untuk mengoperasikan token mereka. Meskipun metode ini memerlukan biaya Gas, masih banyak pengguna yang akan terjebak tanpa sengaja.
Tanda tangan Permit dan Permit2 dalam phishing semakin tersembunyi dan lebih sulit untuk dicegah. Karena pengguna terbiasa menandatangani untuk masuk ke dompet sebelum menggunakan DApp, mereka dengan mudah mengembangkan pola pikir "tindakan ini aman". Ditambah lagi, tanda tangan tidak memerlukan biaya, banyak orang tidak memahami arti di balik setiap tanda tangan, yang menciptakan peluang bagi hacker.
Permit adalah fitur ekstensi dari standar ERC-20, yang memungkinkan pengguna untuk menyetujui orang lain untuk memindahkan token mereka melalui tanda tangan. Singkatnya, seperti menandatangani "surat izin" yang memungkinkan seseorang untuk memindahkan token Anda. Orang yang memegang "surat izin" tersebut dapat membuktikan kepada kontrak pintar bahwa mereka memiliki izin untuk memindahkan token Anda. Peretas dapat memanfaatkan mekanisme ini untuk menggoda pengguna agar menandatangani Permit, sehingga mendapatkan izin untuk memindahkan token.
Permit2 adalah fungsi yang diperkenalkan oleh suatu DEX untuk meningkatkan pengalaman pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar kepada kontrak pintar Permit2 sekali saja, setelah itu setiap transaksi hanya memerlukan tanda tangan tanpa perlu memberikan otorisasi lagi. Meskipun ini menyederhanakan proses operasi, hal ini juga menciptakan kondisi untuk phishing. Jika pengguna pernah menggunakan DEX tersebut dan memberikan otorisasi tanpa batas kepada kontrak Permit2 (ini adalah pengaturan default DEX tersebut), maka peretas hanya perlu membujuk pengguna untuk menandatangani agar dapat memindahkan token mereka.
Secara keseluruhan, phishing otorisasi adalah membiarkan Anda secara langsung memberikan izin kepada peretas untuk memindahkan token Anda, sedangkan phishing tanda tangan adalah mengelabui Anda untuk menandatangani "kertas" yang memungkinkan orang lain memindahkan aset Anda. Permit adalah fitur perluasan otorisasi ERC-20, Permit2 adalah fitur baru yang diluncurkan oleh beberapa DEX, keduanya adalah daerah rawan phishing tanda tangan saat ini.
Jadi, bagaimana cara mencegah serangan phishing ini?
Membangun kesadaran akan keamanan sangat penting. Setiap kali melakukan operasi dompet, pastikan untuk memeriksa dengan cermat apa yang sebenarnya Anda lakukan.
Pisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Ketika Anda melihat permintaan tanda tangan yang berisi informasi berikut, harap berhati-hati:
Dengan memahami logika dasar dan langkah-langkah pencegahan ini, kita dapat lebih baik melindungi aset digital kita dan menghindari menjadi korban phishing tanda tangan.