- Topik
54k Popularitas
16k Popularitas
4k Popularitas
3k Popularitas
4k Popularitas
29k Popularitas
15k Popularitas
22k Popularitas
12k Popularitas
2k Popularitas
- Sematkan
54k Popularitas
16k Popularitas
4k Popularitas
3k Popularitas
4k Popularitas
29k Popularitas
15k Popularitas
22k Popularitas
12k Popularitas
2k Popularitas
Analisis Phishing Tanda Tangan Web3: Kuasai Prinsip untuk Meningkatkan Kesadaran Keamanan Aset
Phishing tanda tangan semakin menjadi metode penipuan yang paling disukai oleh hacker Web3. Meskipun para ahli industri terus mempromosikan pengetahuan terkait, masih ada banyak pengguna yang tertipu setiap harinya. Salah satu alasan penting untuk situasi ini adalah bahwa sebagian besar orang tidak memahami logika dasar interaksi dompet, dan bagi non-teknis, ambang belajar cukup tinggi.
Untuk membuat lebih banyak orang memahami prinsip phishing tanda tangan, kami akan mencoba menjelaskan logika dasarnya dengan cara yang mudah dimengerti.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain ( di bawah rantai ), dan tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain ( di atas rantai ), dan memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk autentikasi, seperti masuk ke dompet. Misalnya, ketika Anda ingin menukarkan token di DEX tertentu, pertama-tama Anda perlu menghubungkan dompet. Pada saat ini, Anda perlu menandatangani untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Langkah ini tidak akan mempengaruhi blockchain, jadi tidak perlu membayar biaya.
Dan interaksi terjadi saat melakukan pertukaran token secara nyata. Anda perlu membayar biaya terlebih dahulu, memberi tahu kontrak pintar DEX: "Saya ingin menukar 100USDT dengan satu token, saya memberi wewenang kepada Anda untuk menggunakan 100USDT saya". Langkah ini disebut sebagai otorisasi (approve). Kemudian Anda juga perlu membayar biaya lagi, memberi tahu kontrak pintar: "Saya sekarang ingin menukar 100USDT dengan satu token, Anda dapat melakukan operasi". Dengan begitu, pertukaran token selesai.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita perkenalkan tiga cara phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing otorisasi adalah salah satu metode penipuan paling klasik di awal Web3. Hacker akan membuat situs phishing yang menyamar sebagai proyek NFT, menggoda pengguna untuk mengklik tombol "klaim airdrop". Sebenarnya, antarmuka dompet yang muncul setelah pengguna mengklik meminta otorisasi untuk memindahkan token ke alamat hacker. Begitu pengguna mengonfirmasi, hacker dapat berhasil mencuri aset.
Namun, ada satu masalah dengan phishing yang diberi otorisasi: Karena perlu membayar biaya Gas, banyak pengguna akan lebih waspada saat terlibat dalam operasi keuangan, sehingga relatif mudah untuk dicegah.
Penipuan tanda tangan Permit dan Permit2 adalah daerah bencana di bidang keamanan aset Web3 saat ini. Sulit untuk mencegahnya karena pengguna perlu menandatangani untuk masuk ke dompet setiap kali menggunakan DApp. Banyak orang telah membentuk pola pikir yang menganggap operasi ini aman. Ditambah lagi, tidak perlu membayar biaya, dan kebanyakan orang tidak memahami makna di balik setiap tanda tangan, membuat metode penipuan ini semakin menipu.
Mekanisme Permit adalah fungsi tambahan yang diberikan pada standar ERC-20 untuk otorisasi. Secara sederhana, Anda dapat memberikan otorisasi kepada orang lain untuk memindahkan token Anda melalui tanda tangan. Berbeda dengan otorisasi biasa, Permit memungkinkan Anda untuk menandatangani sebuah "surat", yang menyatakan "Saya mengizinkan seseorang untuk memindahkan xxx jumlah token saya". Orang yang memegang "surat" ini dapat membayar biaya Gas kepada kontrak pintar, memberi tahu kontrak: "Dia mengizinkan saya untuk memindahkan xxx jumlah tokennya". Dalam proses ini, Anda hanya menandatangani, tetapi sebenarnya memberikan otorisasi kepada orang lain untuk memanggil fungsi approve dan memindahkan token Anda. Hacker dapat membuat situs phishing dengan mengganti tombol login Dompet dengan phishing Permit, sehingga dengan mudah mencuri aset pengguna.
Permit2 bukanlah fitur ERC-20, melainkan fitur yang diluncurkan oleh suatu DEX untuk memudahkan pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi jumlah besar sekaligus, setelah itu setiap kali pertukaran hanya memerlukan tanda tangan, dan biaya Gas dibayar oleh kontrak Permit2 (yang dipotong dari token yang ditukarkan). Namun, untuk terjebak dalam phishing Permit2, syaratnya adalah pengguna pernah menggunakan DEX tersebut dan memberikan otorisasi tanpa batas kepada kontrak pintar Permit2. Karena saat ini operasi default DEX tersebut adalah otorisasi tanpa batas, jumlah pengguna yang memenuhi syarat ini cukup banyak.
Secara singkat, phishing otorisasi pada dasarnya adalah pengguna yang membayar untuk memberi tahu kontrak pintar: "Saya memberi izin kepada Anda untuk memberikan token saya kepada Hacker". Phishing tanda tangan adalah ketika pengguna menandatangani "surat" yang memungkinkan orang lain untuk memindahkan aset kepada Hacker, dan Hacker kemudian membayar untuk memberi tahu kontrak pintar: "Saya ingin memindahkan tokennya kepada saya".
Untuk mencegah serangan phishing ini, kita dapat mengambil langkah-langkah berikut:
Kembangkan kesadaran keamanan, setiap kali melakukan operasi dompet, pastikan untuk memeriksa konten secara teliti.
Pisahkan dana besar dari Dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Harap waspada ketika melihat format tanda tangan berikut:
Dengan memahami prinsip dan langkah pencegahan dari teknik phishing ini, kita dapat lebih baik melindungi keamanan aset digital kita.