Seiring dengan perkembangan ekosistem Web3, "phishing tanda tangan" telah menjadi salah satu metode serangan yang paling disukai oleh hacker. Meskipun para ahli industri dan perusahaan keamanan terus melakukan sosialisasi, masih banyak pengguna yang terjebak setiap harinya. Ini terutama disebabkan oleh kurangnya pemahaman sebagian besar pengguna terhadap mekanisme dasar interaksi dompet, dan bagi non-teknisi, ambang belajar pengetahuan terkait cukup tinggi.
Untuk membuat lebih banyak orang memahami dan mencegah risiko ini, kami akan menjelaskan dua mode dasar operasi dompet Web3: "tanda tangan" dan "interaksi" dengan cara yang sederhana dan mudah dipahami.
Tanda tangan adalah operasi yang terjadi di luar blockchain, dan tidak memerlukan biaya Gas. Ini biasanya digunakan untuk otentikasi, seperti masuk ke dompet atau menghubungkan aplikasi terdesentralisasi (DApp). Misalnya, ketika Anda ingin menukar token di DEX tertentu, Anda harus terlebih dahulu menghubungkan dompet, yang melibatkan operasi tanda tangan untuk memberi tahu situs web "Saya adalah pemilik dompet ini". Proses ini tidak akan berdampak pada blockchain, sehingga tidak ada biaya yang diperlukan.
Interaksi adalah operasi yang dilakukan langsung di blockchain, yang memerlukan biaya Gas. Mengambil contoh pertukaran token di DEX, Anda terlebih dahulu perlu memberikan izin (approve) kepada kontrak pintar untuk menggunakan token Anda, kemudian melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan biaya Gas.
Setelah memahami perbedaan antara kedua jenis operasi ini, mari kita lihat tiga metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang disetujui dilakukan dengan menggunakan mekanisme approve. Hacker mungkin akan membuat situs phishing yang menyamar sebagai proyek NFT, menggoda pengguna untuk mengklik tombol "klaim airdrop". Sebenarnya, tindakan ini akan memicu permintaan otorisasi, yang memungkinkan hacker mengontrol token pengguna. Namun, karena tindakan ini memerlukan pembayaran biaya Gas, pengguna seringkali menjadi lebih waspada, sehingga metode phishing ini relatif mudah dikenali.
Tanda tangan Permit dan Permit2 phishing lebih tersembunyi, karena mereka memanfaatkan kepercayaan pengguna terhadap operasi tanda tangan. Permit adalah fitur tambahan dari standar ERC-20, yang memungkinkan pengguna memberikan izin kepada orang lain untuk memindahkan token mereka melalui tanda tangan. Hacker dapat membujuk pengguna untuk menandatangani pesan yang tampak tidak berbahaya, padahal sebenarnya itu adalah "izin" yang memberikan otorisasi kepada hacker untuk memindahkan aset pengguna.
Permit2 adalah fitur yang diluncurkan oleh suatu DEX, bertujuan untuk menyederhanakan operasi pengguna dan mengurangi biaya Gas. Namun, jika pengguna pernah menggunakan DEX tersebut dan memberikan batasan tanpa batas, maka setelah menandatangani pesan Permit2 yang berbahaya, hacker dapat dengan mudah memindahkan aset pengguna.
Untuk mencegah risiko-risiko ini, pengguna seharusnya:
Kembangkan kesadaran keamanan, periksa dengan cermat setiap kali melakukan operasi dompet.
Memisahkan dana besar dari dompet yang digunakan sehari-hari, untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2, termasuk URL interaksi, alamat pemberi kuasa, alamat penerima kuasa, jumlah yang diotorisasi, nomor acak, dan informasi waktu kedaluwarsa.
Singkatnya, pengguna Web3 perlu selalu waspada dan memahami arti dari setiap tindakan untuk melindungi keamanan aset digital mereka.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
11 Suka
Hadiah
11
6
Bagikan
Komentar
0/400
ApeWithNoChain
· 17jam yang lalu
suckers sudah terlalu banyak melihat...
Lihat AsliBalas0
WalletDetective
· 17jam yang lalu
Interaksi tanda tangan apa pun membuat saya terjebak.
Analisis Serangan Phishing Tanda Tangan Web3: Dari Mekanisme Dasar Hingga Strategi Pencegahan
Analisis Logika Dasar Phishing Tanda Tangan Web3
Seiring dengan perkembangan ekosistem Web3, "phishing tanda tangan" telah menjadi salah satu metode serangan yang paling disukai oleh hacker. Meskipun para ahli industri dan perusahaan keamanan terus melakukan sosialisasi, masih banyak pengguna yang terjebak setiap harinya. Ini terutama disebabkan oleh kurangnya pemahaman sebagian besar pengguna terhadap mekanisme dasar interaksi dompet, dan bagi non-teknisi, ambang belajar pengetahuan terkait cukup tinggi.
Untuk membuat lebih banyak orang memahami dan mencegah risiko ini, kami akan menjelaskan dua mode dasar operasi dompet Web3: "tanda tangan" dan "interaksi" dengan cara yang sederhana dan mudah dipahami.
Tanda tangan adalah operasi yang terjadi di luar blockchain, dan tidak memerlukan biaya Gas. Ini biasanya digunakan untuk otentikasi, seperti masuk ke dompet atau menghubungkan aplikasi terdesentralisasi (DApp). Misalnya, ketika Anda ingin menukar token di DEX tertentu, Anda harus terlebih dahulu menghubungkan dompet, yang melibatkan operasi tanda tangan untuk memberi tahu situs web "Saya adalah pemilik dompet ini". Proses ini tidak akan berdampak pada blockchain, sehingga tidak ada biaya yang diperlukan.
Interaksi adalah operasi yang dilakukan langsung di blockchain, yang memerlukan biaya Gas. Mengambil contoh pertukaran token di DEX, Anda terlebih dahulu perlu memberikan izin (approve) kepada kontrak pintar untuk menggunakan token Anda, kemudian melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan biaya Gas.
Setelah memahami perbedaan antara kedua jenis operasi ini, mari kita lihat tiga metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang disetujui dilakukan dengan menggunakan mekanisme approve. Hacker mungkin akan membuat situs phishing yang menyamar sebagai proyek NFT, menggoda pengguna untuk mengklik tombol "klaim airdrop". Sebenarnya, tindakan ini akan memicu permintaan otorisasi, yang memungkinkan hacker mengontrol token pengguna. Namun, karena tindakan ini memerlukan pembayaran biaya Gas, pengguna seringkali menjadi lebih waspada, sehingga metode phishing ini relatif mudah dikenali.
Tanda tangan Permit dan Permit2 phishing lebih tersembunyi, karena mereka memanfaatkan kepercayaan pengguna terhadap operasi tanda tangan. Permit adalah fitur tambahan dari standar ERC-20, yang memungkinkan pengguna memberikan izin kepada orang lain untuk memindahkan token mereka melalui tanda tangan. Hacker dapat membujuk pengguna untuk menandatangani pesan yang tampak tidak berbahaya, padahal sebenarnya itu adalah "izin" yang memberikan otorisasi kepada hacker untuk memindahkan aset pengguna.
Permit2 adalah fitur yang diluncurkan oleh suatu DEX, bertujuan untuk menyederhanakan operasi pengguna dan mengurangi biaya Gas. Namun, jika pengguna pernah menggunakan DEX tersebut dan memberikan batasan tanpa batas, maka setelah menandatangani pesan Permit2 yang berbahaya, hacker dapat dengan mudah memindahkan aset pengguna.
Untuk mencegah risiko-risiko ini, pengguna seharusnya:
Singkatnya, pengguna Web3 perlu selalu waspada dan memahami arti dari setiap tindakan untuk melindungi keamanan aset digital mereka.