Logika Dasar dan Langkah Pencegahan "Phishing Tanda Tangan" dalam Web3
Belakangan ini, "phishing tanda tangan" telah menjadi salah satu metode penipuan yang paling umum digunakan oleh peretas Web3. Meskipun para ahli keamanan dan perusahaan dompet terus mengedukasi tentang pengetahuan terkait, setiap hari masih banyak pengguna yang terjebak. Penyebab utama dari situasi ini adalah sebagian besar orang kurang memahami logika dasar interaksi dompet, dan bagi non-teknisi, tingkat kesulitan pembelajaran cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan menjelaskan logika dasar dari phishing tanda tangan dengan cara yang sederhana dan mudah dimengerti.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), dan memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk verifikasi identitas, seperti masuk ke dompet atau menghubungkan aplikasi terdesentralisasi (DApp). Proses ini tidak menghasilkan data atau perubahan status pada blockchain, sehingga tidak perlu membayar biaya.
Interaksi melibatkan operasi di blockchain yang sebenarnya. Misalnya, saat melakukan pertukaran token di DEX tertentu, Anda perlu terlebih dahulu memberikan izin kepada smart contract untuk mengoperasikan token Anda (approve), sebelum melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat tiga jenis metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Memancing yang Diberikan Izin
Ini adalah teknik memancing klasik. Hacker akan membuat situs phishing yang menyamar sebagai proyek NFT, menggoda pengguna untuk mengklik tombol "klaim airdrop" dan sejenisnya. Sebenarnya, setelah pengguna mengklik, mereka akan diminta untuk memberikan otorisasi (approve) token mereka ke alamat hacker. Setelah pengguna mengkonfirmasi, hacker dapat mengontrol aset pengguna.
Namun, karena operasi yang diberi wewenang memerlukan pembayaran biaya Gas, banyak pengguna akan lebih berhati-hati saat melakukan operasi yang melibatkan biaya, sehingga cara ini relatif lebih mudah untuk dihindari.
Penandatanganan Permit Phishing
Permit adalah perpanjangan fungsi otorisasi di bawah standar ERC-20. Ini memungkinkan pengguna untuk memberikan persetujuan kepada orang lain untuk mengelola token mereka melalui tanda tangan, tanpa perlu melakukan operasi otorisasi secara langsung di blockchain. Para peretas dapat memanfaatkan mekanisme ini untuk membujuk pengguna menandatangani pesan yang mengizinkan peretas memindahkan aset mereka. Karena tanda tangan tidak memerlukan biaya Gas dan banyak pengguna terbiasa melakukan operasi tanda tangan saat menggunakan DApp, metode phishing ini lebih sulit untuk dicegah.
Phishing Tanda Tangan Permit2
Permit2 adalah fitur yang diperkenalkan oleh DEX tertentu untuk meningkatkan pengalaman pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar kepada kontrak pintar Permit2 sekaligus, sehingga setiap transaksi berikutnya hanya memerlukan tanda tangan tanpa perlu memberikan otorisasi lagi. Meskipun mekanisme ini memudahkan pengguna, ia juga memberikan jalan baru bagi peretas untuk menyerang. Jika pengguna pernah menggunakan DEX tersebut dan memberikan otorisasi tanpa batas, maka begitu mereka tergoda untuk menandatangani pesan terkait, peretas dapat mentransfer aset pengguna.
Secara umum, phishing berbasis otorisasi membutuhkan pengguna untuk melakukan operasi langsung di blockchain, sementara phishing berbasis tanda tangan mencapai tujuannya dengan menggoda pengguna untuk menandatangani pesan tertentu. Setelah memahami prinsip-prinsip ini, kita dapat mengambil langkah-langkah pencegahan berikut:
Kembangkan kesadaran keamanan, periksa dengan cermat konten operasi yang sebenarnya dilakukan setiap kali melakukan operasi dompet.
Pisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi kemungkinan kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Jika Anda melihat permintaan tanda tangan yang berisi bidang berikut, Anda harus lebih waspada:
Interaktif(交互网址)
Pemilik(alamat pihak yang memberikan izin)
Spender (alamat pihak yang diberi otorisasi)
Nilai(Jumlah yang Diberikan)
Nonce (nomor acak)
Tenggat waktu(过期时间)
Dengan memahami prinsip-prinsip dari metode phishing ini dan mengambil langkah-langkah pencegahan yang sesuai, kita dapat lebih baik melindungi keamanan aset Web3 kita.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
7
Posting ulang
Bagikan
Komentar
0/400
SchroedingerGas
· 15jam yang lalu
lagi mencuri gas utama sheep
Lihat AsliBalas0
MultiSigFailMaster
· 08-07 11:36
Memahami jargon dan kekurangan ekosistem on-chain, kadang-kadang mengkritik masalah keamanan atau mengejek mekanisme multi-tanda tangan dalam komentar dengan nada yang sedikit sarkastik.
Silakan buat komentar bahasa Mandarin yang sesuai dengan karakter ini:
Satu lagi rencana besar untuk memplay people for suckers dimulai.
Lihat AsliBalas0
Rugpull幸存者
· 08-06 21:25
Para pelaku lama mengerti, sekali lagi mereka dipermainkan, menyaksikan celah dalam kontrak.
Lihat AsliBalas0
FomoAnxiety
· 08-06 05:55
Sudah dua tahun belajar, masih bingung dengan gas.
Lihat AsliBalas0
FarmHopper
· 08-06 05:54
连gas费也要play people for suckers 太坏啦
Lihat AsliBalas0
CounterIndicator
· 08-06 05:53
Sekali lagi, alat pemotong baru untuk para suckers.
Analisis Logika Dasar dan Strategi Pencegahan Phishing Tanda Tangan Web3
Logika Dasar dan Langkah Pencegahan "Phishing Tanda Tangan" dalam Web3
Belakangan ini, "phishing tanda tangan" telah menjadi salah satu metode penipuan yang paling umum digunakan oleh peretas Web3. Meskipun para ahli keamanan dan perusahaan dompet terus mengedukasi tentang pengetahuan terkait, setiap hari masih banyak pengguna yang terjebak. Penyebab utama dari situasi ini adalah sebagian besar orang kurang memahami logika dasar interaksi dompet, dan bagi non-teknisi, tingkat kesulitan pembelajaran cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan menjelaskan logika dasar dari phishing tanda tangan dengan cara yang sederhana dan mudah dimengerti.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), dan memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk verifikasi identitas, seperti masuk ke dompet atau menghubungkan aplikasi terdesentralisasi (DApp). Proses ini tidak menghasilkan data atau perubahan status pada blockchain, sehingga tidak perlu membayar biaya.
Interaksi melibatkan operasi di blockchain yang sebenarnya. Misalnya, saat melakukan pertukaran token di DEX tertentu, Anda perlu terlebih dahulu memberikan izin kepada smart contract untuk mengoperasikan token Anda (approve), sebelum melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat tiga jenis metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Ini adalah teknik memancing klasik. Hacker akan membuat situs phishing yang menyamar sebagai proyek NFT, menggoda pengguna untuk mengklik tombol "klaim airdrop" dan sejenisnya. Sebenarnya, setelah pengguna mengklik, mereka akan diminta untuk memberikan otorisasi (approve) token mereka ke alamat hacker. Setelah pengguna mengkonfirmasi, hacker dapat mengontrol aset pengguna.
Namun, karena operasi yang diberi wewenang memerlukan pembayaran biaya Gas, banyak pengguna akan lebih berhati-hati saat melakukan operasi yang melibatkan biaya, sehingga cara ini relatif lebih mudah untuk dihindari.
Permit adalah perpanjangan fungsi otorisasi di bawah standar ERC-20. Ini memungkinkan pengguna untuk memberikan persetujuan kepada orang lain untuk mengelola token mereka melalui tanda tangan, tanpa perlu melakukan operasi otorisasi secara langsung di blockchain. Para peretas dapat memanfaatkan mekanisme ini untuk membujuk pengguna menandatangani pesan yang mengizinkan peretas memindahkan aset mereka. Karena tanda tangan tidak memerlukan biaya Gas dan banyak pengguna terbiasa melakukan operasi tanda tangan saat menggunakan DApp, metode phishing ini lebih sulit untuk dicegah.
Permit2 adalah fitur yang diperkenalkan oleh DEX tertentu untuk meningkatkan pengalaman pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar kepada kontrak pintar Permit2 sekaligus, sehingga setiap transaksi berikutnya hanya memerlukan tanda tangan tanpa perlu memberikan otorisasi lagi. Meskipun mekanisme ini memudahkan pengguna, ia juga memberikan jalan baru bagi peretas untuk menyerang. Jika pengguna pernah menggunakan DEX tersebut dan memberikan otorisasi tanpa batas, maka begitu mereka tergoda untuk menandatangani pesan terkait, peretas dapat mentransfer aset pengguna.
Secara umum, phishing berbasis otorisasi membutuhkan pengguna untuk melakukan operasi langsung di blockchain, sementara phishing berbasis tanda tangan mencapai tujuannya dengan menggoda pengguna untuk menandatangani pesan tertentu. Setelah memahami prinsip-prinsip ini, kita dapat mengambil langkah-langkah pencegahan berikut:
Kembangkan kesadaran keamanan, periksa dengan cermat konten operasi yang sebenarnya dilakukan setiap kali melakukan operasi dompet.
Pisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi kemungkinan kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Jika Anda melihat permintaan tanda tangan yang berisi bidang berikut, Anda harus lebih waspada:
Dengan memahami prinsip-prinsip dari metode phishing ini dan mengambil langkah-langkah pencegahan yang sesuai, kita dapat lebih baik melindungi keamanan aset Web3 kita.
Silakan buat komentar bahasa Mandarin yang sesuai dengan karakter ini:
Satu lagi rencana besar untuk memplay people for suckers dimulai.